病歷已屬特種病歷,你該知道的新個資法
個人資料保護法(以下簡稱個資法)已於104.12.30修訂公告(修訂前簡稱舊法),其中最重要的便是第六條的修訂,將病歷增列為特種資料,而非像未修正之前僅屬一般個人資料,e該條敏感性個資的部分,包括病歷、醫療、基因、 性生活、健康檢查及犯罪前科等項目,對於個人隱私權來說都是非常重要的,所以有關敏感性個資部分的規定,原則是禁止蒐集、處理或利用,對於病歷在個資法本次修訂前後,到底差在哪裡呢?對我們的影響有哪些呢? 以下老鄧看法,
ㄧ、關於舊法病歷之蒐集、處理、利用
(一)蒐集、處理
由於病歷在舊法時期屬一般個資,因此院所對於病歷蒐集或處理得依個資法第19條操作。但因修法後,病歷之蒐集或處理便無該條之適用,而應直接適用第6條之6款但書事項,因此以下狀況便不再適用
1.契約關係或類似契約關係
2.增進公共利益所必要
3..對當事人權益無侵害
(二)利用
僅可依第六條之六款但書,其餘狀況下皆不得利用。
(三)目的外利用
對於病歷,已刪除得為目的外利用之條件,也就是不可再依第20條但書,將病歷做蒐集目的外之利用。
二、新修法說明
第六條修正條文
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
(一)法律明文規定
對於病歷之蒐集、處理及利用,只要依照醫療法及醫師法之規定,我們便屬為合法為之。
(一)法律明文規定
對於病歷之蒐集、處理及利用,只要依照醫療法及醫師法之規定,我們便屬為合法為之。
(二)公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
本款新增除必要外,還需限定範圍內,避免過度擴張必要之程度。另外為更保障特種資料之使用,更增訂事前或事後,需有適當安全維護措施,以避免個資外洩,例如如警察今天在執行犯罪前科資料的蒐集時,旁邊不可以有閒雜人或記者。
又例如公務機關基於衛生行政特定目的,將符合篩檢資格民眾個人資料,提供所轄癌症篩檢及診斷治療機構,作為通知癌症篩檢服務使用,似亦符合執行癌症防治法、該公務機關處務規程所定法定職務,該公務機關自亦得於執行法定職務必要範圍內,為個人資料利用。
(三)當事人自行公開或其他已合法公開之個人資料。
你自己都不介意了,那就不算什麼隱私了。
(四)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常會蒐集、處理或利用特種資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,基於資料之合理利用,促進學術研究發展,自得允許之。
(五)為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
本款為完全新增之條文,主要是為了使公務機關執行法定職務或非公務機關履行法定義務時,如有請求相關單位協助提供特種資料之必要能有所依據,解決個資法修正前實務窒礙難行之窘境(修正條文第6條),但相對的就本條所定之限制條件,亦較一般個資來得嚴格,特別是事前或事後需有適當安全維護措施,以避免個資外洩。
(六)經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
此款亦為新增,雖然基本上只要經過當事人的書面同意下,可以合法取得特種資料,但是必須不是違反他的自由意願,因為有時候為了謀職,或在所謂權力不對等被迫、被強暴脅迫的情況下,不是依照當事人的自由意願,而把當事人的敏感性個資提供出來。在這種情形之下,不是依照自由意願所提供的書面同意,這個就不算是同意,對方仍然不可以蒐集、利用或處理你的個人資料。
另外,敏感性個資即使經過書面同意,還是不可以逾越特定目的的必要範圍,或者其他法律另有規定者,你不可以僅依照當事人的書面同意,蒐集、利用或處理,譬如人體器官移植條例等等這些,原則上都不可以隨便去利用。
三、刑法只罰「意圖營利」
新修訂之個資法已取消,因「非意圖營利」而違反本法需以刑事處分處二年以下有期徒刑、拘役或科或併科新臺幣二十萬
元以下罰金之相關規定,原則僅以民事損害賠償主。
(三)當事人自行公開或其他已合法公開之個人資料。
你自己都不介意了,那就不算什麼隱私了。
(四)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常會蒐集、處理或利用特種資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,基於資料之合理利用,促進學術研究發展,自得允許之。
(五)為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
本款為完全新增之條文,主要是為了使公務機關執行法定職務或非公務機關履行法定義務時,如有請求相關單位協助提供特種資料之必要能有所依據,解決個資法修正前實務窒礙難行之窘境(修正條文第6條),但相對的就本條所定之限制條件,亦較一般個資來得嚴格,特別是事前或事後需有適當安全維護措施,以避免個資外洩。
(六)經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
此款亦為新增,雖然基本上只要經過當事人的書面同意下,可以合法取得特種資料,但是必須不是違反他的自由意願,因為有時候為了謀職,或在所謂權力不對等被迫、被強暴脅迫的情況下,不是依照當事人的自由意願,而把當事人的敏感性個資提供出來。在這種情形之下,不是依照自由意願所提供的書面同意,這個就不算是同意,對方仍然不可以蒐集、利用或處理你的個人資料。
另外,敏感性個資即使經過書面同意,還是不可以逾越特定目的的必要範圍,或者其他法律另有規定者,你不可以僅依照當事人的書面同意,蒐集、利用或處理,譬如人體器官移植條例等等這些,原則上都不可以隨便去利用。
三、刑法只罰「意圖營利」
新修訂之個資法已取消,因「非意圖營利」而違反本法需以刑事處分處二年以下有期徒刑、拘役或科或併科新臺幣二十萬
元以下罰金之相關規定,原則僅以民事損害賠償主。
因此 如果意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項足生損害於他人者,則可處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
四、病歷適用疑義
(一)如何合法蒐集
1.依法便可蒐集
由於特別法(如醫療法及醫師法)之法律適用位階大於普通法(個資法),因此依照醫療法及醫師法所賦予院所之權利,便可合法蒐集病歷之特種個資。
(一)如何合法蒐集
1.依法便可蒐集
由於特別法(如醫療法及醫師法)之法律適用位階大於普通法(個資法),因此依照醫療法及醫師法所賦予院所之權利,便可合法蒐集病歷之特種個資。
2.經當事人書面同意
另一個方式為得到病人「書面」同意,本次修法另一重點便是,鑑於現今社會活動多元及人際關係複雜,資訊科技網路、電子商務之發展也日益蓬勃,書面同意已不足以因應當今社會,便將現行一般個人資料蒐集、處理及利用之「書面同意」修正為「同意」,不再限定以書面方式為之(修正條文第7條、第15條、第16條、第19條及第20條)。
另一個方式為得到病人「書面」同意,本次修法另一重點便是,鑑於現今社會活動多元及人際關係複雜,資訊科技網路、電子商務之發展也日益蓬勃,書面同意已不足以因應當今社會,便將現行一般個人資料蒐集、處理及利用之「書面同意」修正為「同意」,不再限定以書面方式為之(修正條文第7條、第15條、第16條、第19條及第20條)。
也就是說除第六條之同意,嚴格限制需以書面同意外,其他同意並未強制需以書面方式呈現。
(二)如何合法處理
所謂「處理」乃指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
基本上這部分與(ㄧ)如何合法蒐集同,再加上病歷之使用、修正、增刪或保存傳遞,醫療法亦有相關規定,因此問題並不大。
(三)如何合法利用
利用:指將蒐集之個人資料為處理以外之使用。
這是將病歷歸屬特種資料後,目前最困擾院所者,如何使用才不會有犯法之虞。
1. 目的外利用
這是目前新修訂個資法所禁止的,也就是說以往有些院所將病歷個資當作宣傳該院所之管道,在舊法時期可以個資法第20條七款但書來操作,但現在已禁止,除非當初在蒐集時直接告知病人,並獲得其書面同意,否則禁止將病歷資料做目的外利用。
2. 依法協助
為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施時,則可合法提供。
(二)如何合法處理
所謂「處理」乃指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
基本上這部分與(ㄧ)如何合法蒐集同,再加上病歷之使用、修正、增刪或保存傳遞,醫療法亦有相關規定,因此問題並不大。
(三)如何合法利用
利用:指將蒐集之個人資料為處理以外之使用。
這是將病歷歸屬特種資料後,目前最困擾院所者,如何使用才不會有犯法之虞。
1. 目的外利用
這是目前新修訂個資法所禁止的,也就是說以往有些院所將病歷個資當作宣傳該院所之管道,在舊法時期可以個資法第20條七款但書來操作,但現在已禁止,除非當初在蒐集時直接告知病人,並獲得其書面同意,否則禁止將病歷資料做目的外利用。
2. 依法協助
為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施時,則可合法提供。
因此,當國稅局要求提供病人個資及醫療內容,只要符合其法律所規定之權限範圍,院所便得依法提供,但釐清日後責任歸屬,則仍需請該單位以正式書資料來函,以求自保。
又如依學生健康檢查實施辦法第七條第一項第三款規定:「學校對罹患特殊疾病學生……應妥適安排其參與之活動。」當舉辦校外活動,配合學校辦理活動之公務或非公務機關,於擬訂配合處理措施時,須瞭解該生之醫療或健康檢查資料,便亦可依此款以為妥適因應。
3. 科內或院內案例討論
原則上此部分優先適用屬醫療法及醫師法所規範(特別法優於普通法),為醫師執行業務所需之合理範圍,因此病歷資料使用上並不須去識別(去識別乃指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。),當然更無違法之虞,惟仍須遵守醫療法規定之保密義務。
4. 將病歷發表於期刊、paper、或其他醫學刊物上
(1) 病人書面同意
這是最理想方式,甚至可在同意書上請人勾選願意揭露之程度,例如影像完全去識別化、部分去識別化或全都露,病歷個人資訊匿名或全去識別化等,如此便可將病歷資訊使用適法化。
但須注意當使用逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,皆為無效同意。
(2) 公務機關或學術研究機構
若基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人,則法令同意其使用。
a.公務機關
基本上個資法所定之公務機關,係指依法行使公權力之中央或地方機關或行政法人,故公立學校如係各級政府依法令設置實施教育之機構,而具有機關之地位,應屬個資法之公務機關,國立大學醫學院附設醫院或公立醫院亦屬之。
b.學術研究機構
個資法中並未定義學術研究機構,但若依教育部之「學術研究機構設立辦法」所設立之機構而言,並不包含一般國立研究院及公私立大學研究所等學術研究機構,且需一定程序而得設立之機構。
3. 科內或院內案例討論
原則上此部分優先適用屬醫療法及醫師法所規範(特別法優於普通法),為醫師執行業務所需之合理範圍,因此病歷資料使用上並不須去識別(去識別乃指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。),當然更無違法之虞,惟仍須遵守醫療法規定之保密義務。
4. 將病歷發表於期刊、paper、或其他醫學刊物上
(1) 病人書面同意
這是最理想方式,甚至可在同意書上請人勾選願意揭露之程度,例如影像完全去識別化、部分去識別化或全都露,病歷個人資訊匿名或全去識別化等,如此便可將病歷資訊使用適法化。
但須注意當使用逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,皆為無效同意。
(2) 公務機關或學術研究機構
若基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人,則法令同意其使用。
a.公務機關
基本上個資法所定之公務機關,係指依法行使公權力之中央或地方機關或行政法人,故公立學校如係各級政府依法令設置實施教育之機構,而具有機關之地位,應屬個資法之公務機關,國立大學醫學院附設醫院或公立醫院亦屬之。
b.學術研究機構
個資法中並未定義學術研究機構,但若依教育部之「學術研究機構設立辦法」所設立之機構而言,並不包含一般國立研究院及公私立大學研究所等學術研究機構,且需一定程序而得設立之機構。
至於一般學會或社團法人等牙醫師之組織,是否符合該定義,目前尚無明確規範,仍需透過案例解釋,方能清楚區別。
因此為資料之合理利用,促進學術研究發展,公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常會蒐集、處理或利用病歷特種資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,依法便可使用。
當然對於此款亦有學者反對,認為賦予學術機構過多特權,舉例來說,醫療資訊的利用通常就是學術研究或者基於醫療衛生之目的,故此款之限制反而等同無任何限制,導致原本應特別受保護的資訊反倒容易受到侵害,表面上提高了特種個人資料之保護,但實行起來卻可能徒具形式。
(3) 私人院所
目前法令並未授權私人院所或個人得基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,使用經過提供者處理後或經蒐集者依其揭露方式無從識別特定當事人之病歷資料。
因此對於私人院所或個人而言,最保險的方式還是取人病人書面同意後,才將該病歷資訊以其同意揭露之方式,投稿或發表於期刊或論文中,以免有違法之虞。
因此為資料之合理利用,促進學術研究發展,公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常會蒐集、處理或利用病歷特種資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,依法便可使用。
當然對於此款亦有學者反對,認為賦予學術機構過多特權,舉例來說,醫療資訊的利用通常就是學術研究或者基於醫療衛生之目的,故此款之限制反而等同無任何限制,導致原本應特別受保護的資訊反倒容易受到侵害,表面上提高了特種個人資料之保護,但實行起來卻可能徒具形式。
(3) 私人院所
目前法令並未授權私人院所或個人得基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,使用經過提供者處理後或經蒐集者依其揭露方式無從識別特定當事人之病歷資料。
因此對於私人院所或個人而言,最保險的方式還是取人病人書面同意後,才將該病歷資訊以其同意揭露之方式,投稿或發表於期刊或論文中,以免有違法之虞。
五、小結
目前個資法第六條才剛修正公告,其真正執行情形,仍需日後法令補充及解釋,方能真正清楚落實及執行程度,老鄧提出粗淺看法,還望大家指正,謝謝大家。
