WFU

網站頁籤

2015/3/24

老鄧會說法(三)新三角關係 “診所”,"病歷","個資法"

新三角關係
診所"""個資法"
  
     原名電腦處理個人資料保護法(以下簡稱舊法)」已於99427日由立法院三讀通過,並正式修改為個人資料保護法(以下簡稱個資法)」,其中除第 654 條條文施行日期,由行政院定之外,其餘條文自101101日施行。除了名稱上作了修改,由於個資法與舊法的差異,對醫療機構,特別是在診所[1](因為舊法僅規範醫院,不包括診所),對於病歷及隱私權保護方面,便產生了以往所沒有的影響及如何適用的問題。

壹、      新舊個資法之差異
首先就個資法與舊法差異中,對診所較有影響的部分介紹:
一、      新增個人資料
     
      根據個資法第2(以下如僅有條號,皆為個資法之條文)1款,「個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式[2]識別該個人之資料。,皆屬於個人資料的範圍,保護範圍與過去比較(粗體字為新增部分),相形擴大。其立法理由指出,本法所保障之法益為人格權,惟個人資料種類繁多,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,故將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」。本款中新增部分與醫療資訊填具較有關係除原有病歷部分外,尚有醫療、健康檢查、聯絡方式等。所稱病歷之個人資料,依施行細則第4條第1項,乃指醫療法第67[3]2項所列之各款資料(其第1款所謂醫師依醫師法執行業務所製作之病歷,便是醫師法第12[4]所規定之內容;所稱醫療之個人資料,依施行細則第4條第2項,乃指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料,也就是指病歷與因醫療行為所生之記錄統稱之,其範圍較病歷為廣。所稱健康檢查之個人資料,依施行細則第4條第5項,為指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。雖然此三者之定義有部分為重疊,不易明顯區隔,但其目的乃針對增大保護病人隱私之範圍,故較舊法僅限於病歷則更廣泛,相對醫療院所需擔負之責任與義務,亦較舊法更多更重。

、擴張適用主體
  
      第2條第7款,公務機關:指依法行使公權力之中央或地方機關或行政法人」,較舊法僅增加行政法人部分。而同條法第8款,「非公務機關:指前款以外之自然人法人其他團體」,也就是適用主體較舊法第3條第7[5]非公務機關所謂的八大行業範圍更廣,其中舊法僅包括醫院,並不包含診所,故之前許多的規範原只及於醫院。但個資法中,非公務機關因取消了八大行業限制,也就是與個人資料相關行業或個人都將一併適用,因此對於診所而言,除診所本身外,醫師、醫事人員、牙科助理或行政人員皆被個資法所包含與規範,亦使得醫師及診所除原有醫師法及醫療法之限制外,更得面對全新個資法之挑戰。故本文便主要針對其中與診所有關之非公務機關」部分介紹與說明

、擴大保護客體
   
     第2條第2款,個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。,也就是說舊法第3條第2款個人資料保護客體,原僅及於基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合[6]但個資法則擴大至所有的個人資料,不再僅以電磁紀錄為限。舉例來說,以前只有存放在電腦裡的病歷資料或是將病歷儲存為另一個檔案,故當資料(包括經電腦輸出之紙本[7])遺失的時候,才適用舊法;但在個資法實施後,病人填寫之手寫病歷或當事人填寫之資訊表格,就算未儲存於電腦檔案中,都在個資法適用範圍。換句話說,只要包含有個人資料,不論是用何種方式呈現,都屬於個資法所保護的範圍;更因包含非經電腦處理之個人資料,故日後診所若不慎洩露病人個人資料,不論電子資料或紙本資料,皆視為觸犯個資法。

、增加告知對象
  
     不論是公務或非公務機關,常會出現因填具表格,問卷、意見調查表等方式而取得當事人的個人資料。但由於個人資料之蒐集,事涉當事人之隱私權益,為使當事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等,故第8[8] (本條新增)於第1項規定蒐集時應告知當事人之事項,俾使當事人能知悉其個人資料被他人蒐集之情形。也就是說,日後公務或非公務機關在向當事人蒐集個人資料時(直接蒐集),應明確告知當事人,而其告知內容應含機關的名稱、蒐集之目的、個人資料之類別、個人資料利用之期間地區對象方式等,並需告知當事人依第三條[9]規定得行使之權利及方式,同時告知當事人得自由選擇提供個人資料時,不提供將對其權益之影響等事項,原則上向當事人蒐集個人資料時,僅在部分特別情形下,或已有法律規定,或當事人已明知,或履行第一項告知義務恐有礙職務之執行或無必要,方可適用第2項規定得免告知之情形。
    
      另第9[10](亦為新增),規定公務機關或非公務機關依第十五條[11]或第十九條[12]規定蒐集非由當事人提供之個人資料(間接蒐集)應於處理或利用前,向當事人告知個人資料來源及第8條第1項第1-5款(名稱目的類別期間對象方式等)所列事項。其立法理由指出,當蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。因此依個資法之規定無論直接蒐集或間接蒐集,皆須告知其資訊被蒐集之當事人。

貳、操作應注意事項

   由於個資法相較於舊法只適用醫院,現擴大至一般基層院所及個人,故就病人隱私權保護,與診所如何適用該法中告知及同意之規定,更甚而與醫療法之規定如有重疊或不同時,該注意哪些或該如何適用與操作,分別說明如下:
      
      在操作之前,就原有醫療法之規定與適用方式先做一說明,以往病患個人資訊權益之保護機制,主要見於醫療法及其施行細則,並以醫療機構為規範對象且以病歷為中心的管理方式。而原本醫療法與病歷相關的規定僅有兩條,2004年修法時,因感當時醫療作業程序日趨精細複雜,及為了提供醫事人員執行醫療業務時能有更具體明確的行為準則,並且因應推行電子病歷等管理需求,便增訂新的規範。修正後的醫療法為求涵蓋範圍更明確與具體,除原先課以醫療機構製作病歷之義務外,並以列舉的方式規範將病歷所應包含的內容,且明訂其記載方式。另外,也規定醫事人員於執行業務時,應親自記載病歷及製作之方式。其後,於2009年又針對醫療機構因故如未能繼續開業,若依原條文規定仍由承接者保存;無承接者至少應繼續保存六個月以上,始得銷燬。但若無承接者時,則可能由非醫療人員保存病歷,便可能無法受醫療法第72[13]保密之規範,病人隱私權將有遭侵害之虞。故為確保病人之隱私權,與利於日後另覓診治之醫療機構,便再修訂醫療法第70[14]2項,規定醫療機構診治之病人本人,得要求交付病歷;若無人要求交付,該醫療機構應繼續保存六個月以上,始得銷燬。而在醫療法之外,與醫療資訊保護相關之規定則散見於其他醫事法規,如醫師法、人工生殖法、人體生物資料庫管理條例、人體器官移植條例、人類免疫缺乏病毒傳染防治及感染者權益保障條例,以及全民健康保險法與其施行細則等規定,還有經醫療法第69條授權制訂之醫療機構電子病歷製作及管理辦法,這些規定便與前述之醫療法規定,共同形成臺灣對於病患個人資訊與醫療資訊保護之法制基礎[15]
   
        由於醫療相關法規與個資法有部分重疊之處,當適用時須先明瞭所謂普通法與特別法之差異。按法律依其所適用之人、事、時、地範圍之不同,可區分為「特別法」與「普通法」。所謂「普通法」,是指得以適用於一般之人、事、時、地之法律,例如民法刑法;而特別法,則指專門適用於特定人、事、時、地之法律等,例如會計師法、醫師法等。區別特別法與普通法之實益,即在於當二者之規定相互間有所抵觸時,有「特別法優於普通法」法理之適用。此參諸中央法規標準法第16條之規定:「法規對其他法規所規定之同一事項而為特別之規定者,應優先適用之。其他法規修正後,仍應優先適用。」即可知其梗概。特別法優於普通法之實例,例如個資法為規範一般人所遵守之規定故為普通法,而醫療法則規範醫療機構所應遵守之法規,故為特別法,因此在適用上當醫療法有規定時,應先適用醫療法,若醫療法無規定時,則以個資法為準則。當瞭解此基本法理後,以下所討論操作規範,當面對法律適用時,便以此為依循原則。

    了解醫療法與個資法之適用順序與原則後,診所面對個資法課題便是,診所就需蒐集病人資訊時,有無個資法之適用或限制?如有,與醫療相關規定有何不同或衝突之處?如無,則又該適用及如合適用哪些個資法條文?

、醫療資訊搜集
 
(ㄧ)醫師是否有權搜集病患資訊?
   
      第6[16]1項雖規定,有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,原則上不得蒐集、處理或利用,但由於醫師法第12條第1項及醫療法第67條第1項,要求執行醫療業務時應製作病歷紀錄,便屬於第6條第1項但書所規定,法律明文規定及非公務機關履行法定義務所必要且有適當安全維護措施之情況,因此當病患前來就診時,醫師有法律所賦予權限,有權向病患搜集醫療資訊。
  
(二)搜集資訊前是否有需依個資法履行告知及同意之義務?
    
       第1條明白規定,制定該法主要為規範個人資料之蒐集[17]、處理[18]及利用[19],以避免人格權受侵害,並促進個人資料之合理利用。對於蒐集、處理、利用之行為階段分類,以及規範對象各階段應遵循的行為準則,此乃醫療法上所無之規定,尤其以往醫療活動中所為之告知後同意,往往適用於醫事人員於醫療行為或手術前,並非針對病患本身醫療資訊之蒐集、處理、利用方式與範圍,因此病患往往面對院所蒐集其資訊部分,並無機會行使其資訊自主權,亦無從瞭解其隱私權受保護之情形及可能受侵害之風險,故若醫療機構在符合個資法規定下之蒐集、處理、利用時,需負有個資之告知義務時,便可補充以往醫事法規對於病患資訊權益程序性保障之不足[20]
  
       因此若依第8條,雖規定當搜集資訊時原應向病患告知[21],包括「機關名稱」、「蒐集目的」、「資料類別資料利用之期間、地區、對象及方式」與「病患得依第三條規定行使之權利與方式」等資訊,但因醫療法與醫師法規定執行醫療業務須確實製作病歷,且醫師的業務本來就是診察與治療病患,基於此工作上需求而向病患蒐集個人資料時,依第8條第2項第2款規定的精神,屬於非公務機關履行法定義務[22]所必要,便可得免除其告知義務,由於可免除告知,此時便無第7[23]需行使書面同意之問題。

   萬一真的醫療院所所蒐集之資訊,與患者就醫之目的不相同時,例如在病歷上有是否接受本院所之醫療行銷文宣之文句時,院所該如何操作方為適法?
  依第19條規定,非公務機關若要蒐集或處理,應有特定目的,及第20[24],非公務機關若要為特定目的外之利用,至少需符合6款所規定其中之一的方式,其中1款便是需經當事人書面同意。 而蒐集或處理之書面同意,依第7條第1項明白規定,第19條第5款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示;而第20條有關利用之書面同意,依第7條第2項,乃指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示,也就是說當事人同意資料蒐集者將其個人資料作與蒐集目的不同之其他目的使用,因不符原先蒐集資料之特定目的,該書面同意自應特別審慎,除應特別明確告知該其他利用目的為何及其利用範圍外,同時亦應讓當事人明瞭,特定目的外利用之同意與否,對其權益是否會發生任何影響。另外為避免該特定目的外利用個人資料之同意與其他事項作不當聯結,或被列入定型化契約之約定條款中被概括同意,而不利於當事人,特規定關於特定目的外利用其個人資料之書面同意,應獨立作書面意思表示,以保護當事人之權益。
       
        舉例來說,當病患在填寫病歷時,若在病歷上有是否接受本院所之醫療行銷文宣之文句,此部分內容乃與原蒐集病患為就醫之資訊目的不同,此時最理想之狀態便是呈現一張單獨之書面資訊表格,以免病患未特別注意而誤為為概括同意。但往往診所行銷所欲蒐集之資訊若與病歷已經在同一份書面資料時,此時診所應將此欲病患同意之文句,置於使病患得以知悉其內容並確認同意知適當位置[25](就像辦信用卡時,須將重要字句以粗體或不同顏色表示[26]),方便病患辨識之用,以免日後徒增爭議。但若診所違反第19條或第20條第一項之規定,依第47[27],將由中央目的事業主管機關或直轄市、縣(市)政府先處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(請看清楚喔,是直接先罰鍰,才限期改正,並且是按次處罰)
    
(三)若非直接蒐集,而系間接蒐集而需處理或利用時,是否該告知?若當事人不表同意時,該如何進行後續程序?

 1.告知與否?
     
      第9條規定,非公務機關依第19條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及第8條第1項第1款至第5款所列事項(也就是機關名稱目的種類利用期間地區對象方式等)。除非有1.有第8條第2項所列各款情形之一。2.當事人自行公開或其他已合法公開之個人資料。3.能向當事人或其法定代理人為告知。4.基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。5.大眾傳播業者基於新聞報導之公益目的而蒐集個人資料,等以上五款情形之一者,方得不需告知,而可直接處理或利用。
    該條之立法理由便明確指出,蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。是以,第一項明定間接蒐集個人資料者(因屬間接蒐集,自無從於蒐集時併為告知),應於該資料處理或利用前,告知當事人資料來源及第8條條第1項第1 -5款所列事項。另外其中第4款規定,因學術研究機構基於統計或學術研究目的,經常會蒐集個人資料,如依其統計或研究計畫,當事人資料經過提供者匿名化處理,或蒐集者就其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可允許其蒐集、處理個人資料,以促進資料之合理利用。但為避免寬濫,僅限制學術研究機構基於公共利益而有必要者,始得為之,
   
     最後第9條第3項之規定,當間接蒐集個人資料時,原則上應於處理或利用前,向當事人告知個人資料來源等事項,但如能於首次對當事人為利用時(例如:對當事人進行商品行銷),併同告知,不但能提高效率,亦可減少勞費,更無損於當事人之權益。
       
      舉例而言,病歷基本資料表是由病人自己填寫的,上面當然包括了許多個人資料,對診所來說,這就是直接蒐集;但是當病歷有時要求病患所提供緊急聯絡人資料時,此份資料並非由其緊急聯絡人本人所提供,便屬於間接蒐集。此間接蒐集之資訊,如僅因醫療上業務所需,避免病人有突發狀況,或無意識能力決定醫療處置時方便聯絡與告知之用,應便屬於第9條第2項,因非公務機關履行法定義務所必要之規定,故得免為告知,亦無需經該緊急聯絡人同意。
  
      但若診所利用該間接蒐集之資訊,行銷該醫院之醫療服務項目或招攬醫療業務時,便與醫療法所賦予之法定義務相違。因此院所在首次利用緊急聯絡人的個人資料對其行銷時,按個資法規定,應即向該緊急聯絡人告知其資料來源及診所名稱、蒐集之目的、個人資料類別及其行使之權利、方式、權益,並表示當有拒絕接受行銷的意思表示時,可免費利用電話、附回郵信封等方式表示拒絕接受行銷的意思表示;另一方面,該緊急聯絡人如果覺得困擾的話,也可以日後得隨時以自費方式,表示拒絕再接受行銷。此時診所便應即停止再利用其個人資料進行行銷。亦即只要該緊急聯絡人已向該診所表示拒絕,該診所應即停止利用其個人資料行銷。若診所違反第9條規定,依第48[28]規定,由中央目的事業主管機關或直轄市、縣(市)政府先限期改正(與第47條為先罰鍰不同),屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰。

2. 但若該緊急聯絡人不接受診所得適用第9條第2項之可免為告知規定時,該緊急連絡人有何可主張之程序?
   
       首先由於第3條規定,賦於該緊急聯絡人可要求向診所查詢、閱覽或停止蒐集、處理與利用個人資料等權利,故可依第10[29],要求診所就所蒐集之個人資料答覆查詢、提供閱覽或製給複製本,以了解診院所所蒐集個人資訊為何。若該緊急聯絡人並無診所就診病歷時(此時便不適用醫療法中關於病歷之相關規定),該被請求之診所則依第13[30]規定,就該請求應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,也就是最遲於30 日內,診所需以書面告知其請求准駁與否。另外該緊急聯絡人亦得以其蒐集不合法為由,請求補為告知,或依第11[31]4項規定,違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。」,請求診所刪除、停止處理或利用該個人資料。若診所違反第11條或第13條之規定時,則依第48條處分。         

二、蒐集內容
    
     當病患前來院所就診時,通常需填寫個人基本資料及病史等相關資訊,但在個資法實施後,所填具詢問內容之限制為何?
    醫師法第12條規定,病歷首頁至少需記載病人姓名、出生年、月、日、性別及住址等基本資料,而第2條第1款則定義基本資料包括,自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因[32]、性生活[33]、健康檢查、犯罪前科[34]、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。其中醫療、基因、性生活、健康檢查、犯罪前科,乃所謂特種(敏感)資料。由於個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害,是以許多國家依其國情不同均有特種(敏感)資料不得任意蒐集、處理或利用之規定。經審酌國情與民眾之認知,第6條規定(雖然該條目前尚未實施,但就蒐集之限制條件而言仍有第2條第1款之適用),除有該條但書所列之情形為特許蒐集外,原則不許公務及非公務機關任意蒐集該類之個人資訊,以加強保護個人之隱私權益。
   
         以往因為法令對於項目沒有規定得那麼詳細,最常碰到的情形,就是蒐集機關為求便宜行事,不管與其有關或無關,往往要求當事人填具一堆個人資訊,而極易造成個人資料蒐集過多的狀況。舉個例子,明明就是做一個健康檢查,卻要受檢當事人把詳細的公司行號、姓名、地址、電話,甚至把家中成員的姓名、身分證字號、出生年月日等全部填上。或者是明明只是到牙科診所作一般檢查治療,卻被要求填具婚姻、職稱、住址、工作地址、以前地址、住家電話號碼、行動電話、即時通帳號、通訊及戶籍地址、電子郵遞地址,甚至一位以上之聯絡人及其個人詳細資料等,都是可能涉及過度蒐集的例子。
   
       故依醫師法所規定之基本資料如病人姓名、出生年、月、日、性別及住址等基本資料,乃法令所賦予之病患必須填具之例式內容,至於其他個資法所規範之個人資料內容,院所仍得視自己實際所需之情況蒐集,但請記住,蒐集得越多,就代表著要承受的風險越多。但是若醫療院所認為其所要求病患提供之個人資訊有其必要性,但患者仍拒絕提供時,此時依第8條第1項第6款,應明確告知病患,不提供將對其權益之影響,以保障病患之權益。

三、     可要求提供病歷、醫療等個人資訊之主體
   
      因個資法之修訂,賦予個人資訊當事人,較醫療法更多之權利與更廣之權限。個人資訊除當事人本就有權索取外,是否還有其他機關可依法取得呢?

()、當事人   

1.     醫療法
    
    醫療法原本就有病人可取的病歷複製本或摘要之規範,根據93年修正之醫療法71條之規定:「醫療機構應依其診治之病人要求,提供病歷複製本,必要時提供中文病歷摘要,不得無故拖延或拒絕;其所需費用,由病人負擔。」,及第74條亦規定「醫院、診所診治病人時,得依需要,並經病人或其法定代理人、配偶、親屬或關係人之同意,商洽病人原診治之醫院、診所,提供病歷摘要及各種檢查報告資料。原診治之醫院、診所不得拒絕;其所需工本費,由病人負擔。」,可知病人有病歷全本(廣義病歷而言)複製本及病歷摘要之交付請求權,而且全本病歷之複製本除需由病人本人或其法定代理人申請為原則[35]除非取得其委託同意書,其他人皆無法直接申請。至於取得病歷摘要所需之同意人範圍則較廣[36],但不論病歷全本複製本或病歷摘要,依據衛生署函釋皆需3-14天方可取得[37]因此以往如果病人如需取得個人醫療資訊,便僅能依上述規定向醫療機構索取,或者透過刑事訴訟方式方可一窺醫療資訊全貌。

2.     個資法
    
    原本醫療法僅賦予病患病歷複製本及病歷摘要之索取權,不過個資法,適用主體已由醫院擴大至診所或個人,對於當事人所被蒐集資訊得主張之權利,更依第3條可直接對機關行使以下五大權利,(1) 請求製給複製本(2) 查詢或請求閱覽(3)請求補充或更正(4)請求停止蒐集、處理或利用(5)請求刪除;並且規定蒐集機關不得預先拋棄或以特約限制之,也就說當蒐集機關無論以任何告知或文件形式,所造成當事人同意預先拋棄或放棄上述權利中某些項目,皆為無效。因此相較於醫療法規定,個資法提供病患取得醫療資訊權有更多選擇可行使,其中除第2款在醫療法有類似規範外,其他權利之行使模式皆是以往對於僅適用醫療法之診所全新挑戰。


(1)請求製給複製本
  如前述,特別法優於普通法之法理,在適用上當醫療法有規定時,應先適用醫療法,若醫療法無規定時,則以個資法為準則。例如病歷複製本依醫療法及衛生署函釋規定病人取的時間,最少3天,最多不可超過14天;但若依第13條第1項規定,准駁與否,最多30日內得決定。因此當病患請求病歷複製本時,依前述法理便需依醫療法相關規定辦理,而不可適用個資法之規定。

(2)查詢、請求閱覽
10條規定:「公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。,因此不論是公務機關或非公務機關,都負有上述答覆查詢、提供閱覽或製給複製本之義務。但公務機關或非公務機關可依第14條,就當事人查詢或請求閱覽個人資料或製給複製本者,得向當事人酌收必要成本費用。另外當事人查詢或請求閱覽之准駁與否,依第13條第1項規定,應於十五日內為准駁之決定,必要時得以延長,但延長之期間不得逾十五日。也就是說,最晚機關必需於當事人請求後30日內答覆同意與否。
 舉例而言,依據個資法,病患有權向該牙科診所查詢或請求閱覽當初所留下的個人資料,也可以依醫療法請求製給病歷複製本或病歷摘要,此外,病患亦有權詢問牙科診所使用其個人資料之情形;而該牙科診所對於上述請求,雖然依第13條第1項規定,最遲應於30天內准駁之決定,並應將其原因以書面通知病患,但這同意與否通知,並不包括病歷複製本在內。因為依據醫療法第71條規定,醫療機構提供病歷複製本,而診所並無同意與否之權利。

(3)請求補充或更正
   11條第1項規定,公務機關或非公務機關應維護個人資料之正確,並應主動依當事人之請求更正或補充之。這也是「個人參與原則」的具體規定,一方面要求公務機關及非公務機關負有保護個人資料正確的義務,另一方面賦予當事人有主動請求更正或補充的權利。惟個人資料有關意見與鑑定部分,涉及專業或個人價值判斷,與事實資料對錯無關,因此應不屬於得要求更正範圍,僅有事實部分可予更正[38]

(4)請求停止蒐集、處理或利用
   依第11條第2項規定,個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,並需註明其爭議或經當事人書面同意者,不在此限。

(5)請求刪除
  依第1134項,個人資料蒐集之特定目的消失或期限屆滿時,或違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。而所謂職務或業務所必需,依施行細則第21條係指,「一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。」。故若依個資法施行細則規定,有法令規定或契約約定之保存期限,當事人不得要求刪除;但醫療法第70條第1項規定,「醫療機構之病歷,應指定適當場所及人員保管,並至少保存七年。但未成年者之病歷,至少應保存至其成年後七年;人體試驗之病歷,應永久保存。」,那麼七年之後,成年病人是否可要求院所刪除其個人資料呢?醫療法第70條第3項僅規定醫療機構「得」銷毀之,而非銷毀,但卻仍必須考量特定醫療資訊之存在,如有較當事人資訊自決權保護之更重大利益需維護時,如病患罹患法定傳染病之醫療資訊(例如第三類法定傳染病AIDS),得否於期限屆滿後應病患要求刪除,實該依相關法律與事實一併權衡。故當事人其請求權之行使之限制與實際應用,為個資法與醫療法尚待磨合之處,有待相關單位修法或做出更明確解釋來處理了。
  因此依第8條之規定,需告知當事人第3條所賦予其得行使之權利及方式。舉例而言,診所若依法需告知而方得蒐集資訊時,便需告知病人這句話,病患了解在符合個資料相關法令規定下,其得向本診所,對上開個人資料請求查詢、閱覽、製給複製本、補充或更正、停止蒐集、處理或利用及請求刪除」之字句。
     但若診所依個資法規定,不同意病患上述之請求而拒絕,病人可如何主張?  
   依法若當事人向非公務機關請求行使第3條之權利時,遭駁回拒絕或未於規定期間內決定時,除可依第48條處置外,亦可依相關法律對診所提起訴訟,來請求診所履行。

()保險業
   由於新公布之個資法,關對特種資料之蒐集、處理或利用要件,並未納入「經當事人書面同意」之規定,故在施行實務上,特別是保險公司,將會發生嚴重的問題。此乃因以往保險公司為了辦理保險業務,常會要求投保人提供醫療資料或健康檢查資料,亦可能依醫療法或函釋規定檢具病人或其法定代理人載明委託意旨及範圍之委託同意書,始得到院所調閱投保人之相關醫療資料。但醫療資料或健康檢查資料,因屬個資法第6條規定之特種資料,因未將「經當事人書面同意」納入得蒐集特種資料之許可範圍,若依本條規定,則保險公司將不得再蒐集、處理或利用投保人的醫療或健康檢查資料,如此必對保險業務造成極大衝擊。為了解決此一立法疏漏造成之問題,金管會於2011614日立即新增訂並公布保險法第1771[39],明確規定保險業、保險代理人、經紀人、公證人等,經當事人書面同意後,得蒐集、處理或利用病歷、醫療、健康檢查等個人資料。同前述,特別法優先適用普通法之原則,便排除了保險業者適用個資法之規定,避免了因個資法疏漏之規定,對保險業務實務運作產生妨礙的問題。但也由於保險法之修訂,同時也依法賦予保險人員得持有病患書面同意而直接向醫療機構蒐集病歷之法源,不必再依衛生署醫療法之函釋而適用,診所亦再無拒絕其蒐集資料之模糊空間。

()公務機關
    
     特別是當檢察官或警察單位來函要求提供特病患資訊之時,該如何依個資法處理?法務部民國860508日(86)法律字第12894號函釋,檢察或司法警察機關依刑事訴訟法規定偵查犯罪,符合第16條但書第1款之「法令明文規定者」、第2款「為增進公共利益者」及同法第20條但書第2款「為增進公共利益者」及第4款「為防止他人權益之重大危害而有必要者」之情形,各醫療院所應可援引上揭規定提供個人資料,不得藉詞拒絕。1011123日法律字第10100211340號亦指出,參照個資法第 1516 條等規定,地方法院檢察署係為偵辦案件目的,屬於執行法定職務,又公文業已表明案號,符合上述規定;國立大學醫學院附設醫院所持有病患就醫資料,因非為檢察官偵查目的蒐集,故提供檢察機關實施偵查,屬特定目的外利用,應可認為符合上述相關規定。因此不管是舊法還是個資法,只要符合其要件,院所還是有提供資訊之義務。

參、安全措施
     
      舊法時期非公務機關有關個人資料安全維護,準用舊法第17條公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏之規定。但如前述,依照個資法規定「非公務機關」適用主體不僅包含醫院更已將診所包括在內,故非公務機關便不再沿用舊法準用之規定,而是在第27條第1項規定,非公務機關保有個人資料檔案者,應採行適當之安全措施[40],防止個人資料被竊取、竄改、毀損、滅失或洩漏。及第2項,中央目的事業主管機關亦得指定非公務機關訂定個人資料檔案安全維護計畫業務終止後個人資料處理方法,來替代舊法之規範。
   非公務機關因舊法準用公務機關規定,故亦準用舊法施行細則第34條有關安全維護內容之規定,其內容包括資料安全、資料稽核,設備管理及其他安全維護等事項。由該細則可知,公務機關或非公務機關(包含醫院),對於安全維護之規範,該內容多較不具體,且未有明確詳細之規範。
     
      但個資法修訂後,如何保護現行機關內所保存的個人資料,變成修訂後非常重要之課題。第27條所稱之「安全措施」,依施行細則第12條第1 項,乃指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。也就是可分二方面觀之,硬體方面,係指對資料檔案應設置保全或防範設施。例如上鎖、加密、嚴格保管等;軟體方面,則指應加強對資料檔案存取程序之管制,避免人為疏失。例如訓練員工具有個人資料保護意識、制訂標準蒐集處理個人資料流程、嚴格限制接觸個人資料權限等。唯有防護設備與人員管控雙管齊下,才能落實資料之安全維護,有效避免資料檔案發生被竊取、竄改、毀損、滅失或洩漏等情事[41]。而這些必要的措施,依施行細則第12條第2項規定,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。與舊法相比,其安全措施規範詳盡及明確許多,亦較有可遵循之依據。
    
          而「個人資料檔案安全維護計畫」在舊法時代便已出現,例如「金融業個人資料檔案安全維護計畫標準」或「醫院電腦處理個人資料登記管理辦法」等,因為適用上有特定行業的限制,所以對於個人資料的蒐集是採事先核可制,申請許可前就須具備這份計畫。但因其重要性,故在個資法修訂後,雖取消准用舊法部分,但卻在第27條第2項直接規定,中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫業務終止後個人資料處理方法之內容。其立法理由便指出,由於非公務機關行業別限制取消,但如銀行、電信、醫院、保險等,因保有大量且重要之個人資料檔案,其所負之安全保管責任應較一般行業為重,故法律規定授權中央目的事業主管機關得指定特定之非公務機關(如前述機關),要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理,確保個人資料之安全維護。且依第27條第3項規定,理論上衛生署除督導診所本該有之安全措施外,或許有可能要求診所訂定個人資料檔案安全維護計畫業務終止後個人資料處理方法,惟此部分須衛生署先訂定有相關規範,以供診所依循,方可要求診所進行。故「個人資料檔案安全維護計畫」便有可能成為各診所對於個人資料保護的另一道又新又陌生的功課。
    
       如果診所未據實訂定安全措施或具備該項計畫,依照第48條規定,會被要求限期改正,或得以按次處新台幣二萬元以上二十萬元以下的罰鍰。而且依第29條第1項規定,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,更需負損害賠償責任。但能證明其無故意或過失者,不在此限。也就是個資法就當事人權利如遭侵害,例如診所於候診間或診療室,常有LED顯示器播放衛教資料或是將病患掛號資訊連結於上,方便醫師進行病歷輸入或健保作業,但若是就診病患可看見其他已預約或已診療完成病人之姓名或聯絡方式,此時診所便有洩漏個資之虞。依個資法規定,原則上就診所而言,因採推定該診所具有過失,除非診所能自己舉證,證明其無故意或過失者,否則不能免除其損害賠償責任。因此為了盡量避免面臨此類訴訟,診所便需有能有防衛自己的武器,此時安全措施或「個人資料檔案安全維護計畫」便顯現出其重要性了,還望各位應重視及多加注意其發展。


肆、結論   
    由於個資法剛實施不久,因此診所就個資法施行後的操作模式、或應有哪些認知及如何應對?還需相關權責單位日後之裁判與實務上法條之解釋或函釋,方知如何落實及更準確執行。也許診所目前還未有明確的行為準則可依循,但由於診所擁有相當之個人資訊,故應開始認真思考與個資法與本身所發生之相關性及重要性,在此個人建議,目前應儘量以保守的方式及謹慎的態度,盡量以符合個資法中病患資訊自主權隱私權的保護精神。自主權部分,有關個資法所賦予病患得行使之權利,診所應充分了解其範圍與應對,哪些蒐集或利用是診所需告知及需得其同意,那些請求是診所不得無故拒絕,應在法令規範內明瞭與熟悉;資訊隱私權方面,特別是「安全措施」與「個人資料檔案安全維護計畫」,尤其是第27條所強制規定之「安全維護計畫」,該如何操作雖還不得而知,亦不知衛生署會如何規範,但因法律已做出規定,落實應只是時間問題。也許日後衛生署不一定會將診所納入指定需具備安全維護計畫之機關,但一般院所仍有 「安全措施」之強制規定必需遵守,故診所至少必須提早規劃適當之「安全措施」,包含涉及需蒐集病患個人資訊之作業、保密、保管及保護流程,特別是針對於病患若是行使個資法第3條所賦予之權利時,診所行政管理應具備之流程及操作準則。另外應將醫療機構對內部人員之教育訓練列為最為重要一環,畢竟現行個資法將病患主張院所有洩漏或不當使用個人資訊時,依法推定診所是有過失,必須診所自己舉證並無過失,否則極易陷於難以勝訴之地步。而可能洩露資訊的因素,除了醫療機構中的個人(包括所雇用之醫師、護士、助理及行政人員)外,更常常都是因為內部管理不佳造成。如果能透過事前對於醫療資訊處理流程適當沙盤推演與人員的教育訓練,並擬定行政及臨床醫療作業準則,除了能落實個資法的精神與規定外,更能降低診所許多不必要之責任與風險。
     
       本文為筆者針對個資法精神與條文,嘗試整理與歸納目前現有之資料,希望能提供當各位醫師面對一個陌生且又不熟悉的新法時,多一些參考與助益。或許該法日後定位及執行,未必如筆者之闡述,更也許個資法日後不一定會依照該條文具體實施?或者只是虛位法律,而被淡忘?目前仍是未定之數,但法律畢竟已存在,不會消失。在這病患意識高張的現在,「勿峙敵之不來,正峙吾有以待之」,大家如能多熟悉一點規定,至少才能不挖洞給自己跳吧!





[1]醫療法第12條第 1項,醫療機構設有病房收治病人者為醫院,僅應門診者為診所。
[2] 個資法施行細則第3條,「本法第2條第1款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」
[3]醫療法第67絛,醫療機構應建立清晰、詳實、完整之病歷。前項所稱病歷,應包括下列各款之資料:一、醫師依醫師法執行業務所製作之病歷。二、各項檢查、檢驗報告資料。三、其他各類醫事人員執行業務所製作之紀錄。醫院對於病歷,應製作各項索引及統計分析,以利研究及查考。
[4] 醫師法第12條,醫師執行業務時,應製作病歷,並簽名或蓋章及加註執行年、月、日。前項病歷,除應於首頁載明病人姓名、出生年、月、日、性別及住址等基本資料外,其內容至少應載明下列事項:一、就診日期。二、主訴。三、檢查項目及結果。四、診斷或病名。五、治療、處置或用藥等情形。六、其他應記載事項。病歷由醫師執業之醫療機構依醫療法規定保存。
[5] 舊法第3條第7款,非公務機關:指前款以外之左列事業、團體或個人: () 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。() 醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。() 其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。
[6] 舊法第3條第2款,「個人資料檔案:指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合」
[7] 法務部,民國961008日,法律決字第 0960030614 號函。
[8] 個資法第8條,公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。有下列情形之一者,得免為前項之告知:一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。
[9] 個資法第3條,當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除
[10] 個資法第9條,公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。有下列情形之一者,得免為前項之告知:一、有前條第二項所列各款情形之一。二、當事人自行公開或其他已合法公開之個人資料。三、不能向當事人或其法定代理人為告知。四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。第一項之告知,得於首次對當事人為利用時併同為之。
[11]個資法第15條,公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、執行法定職務必要範圍內。二、經當事人書面同意。
三、對當事人權益無侵害。
[12]個資法第19條,非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係。三、當事人自行公開或其他已合法公開之個人資料。
[13] 醫療法第72醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。
[14] 醫療法第70條,醫療機構之病歷,應指定適當場所及人員保管,並至少保存七年。但未成年者之病歷,至少應保存至其成年後七年;人體試驗之病歷,應永久保存。醫療機構因故未能繼續開業,其病歷應交由承接者依規定保存;無承接者時,病人或其代理人得要求醫療機構交付病歷;其餘病歷應繼續保存六個月以上,始得銷燬。醫療機構具有正當理由無法保存病歷時,由地方主管機關保存。醫療機構對於逾保存期限得銷燬之病歷,其銷燬方式應確保病歷內容無洩漏之虞。
[15] 陳鋕雄,劉庭妤.,從「個人資料保護法看病患資訊自主權與資訊隱私權之保護,月旦民商法雜誌,第34期,201112月,頁32
[16] 個資法第6條,有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個人資料蒐集、處裡或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。
[17] 個資法第2條第3款,搜集:指以任何方式取得個人資料。
[18] 個資法第2條第4款,處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
[19] 個資法第2條第5款,利用:指將蒐集之個人資料為處理以外之使用。
[20] 陳鋕雄,劉庭妤,同註15,頁46
[21] 個資法施行細則第16條,依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
[22] 個資法施行細則第11條,本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。舉例而言,當醫生依傳「染病防治法」第39條規定,於發現傳染病或疑似傳染病時,應立即向當地主管機關報告,且依同法第3條規定,當醫療機構人員(包含醫師)於病人就診時,應詢問其病史、就醫紀錄、接觸史、旅遊史及其他與傳染病有關之事項,病人或其家屬應據實陳述,因此,醫師發現有疑似傳染病而對病人蒐集必要之個人資料時,便毋需再履行告知義務。
[23]個資法第7條,第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。
[24] 個資法第20條,非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。六、經當事人書面同意。非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
[25] 個資法施行細則第15條,本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。
[26] 告知或手術同意書之操作亦可利用此規範精神,因為往往醫療糾紛發生後病患常爭執醫師未明確告知某部分重點,而只要求病患簽具同意書。此時若在同意書中重要部分,以粗體或其他顏色著明,方便病患辨識與說明,或甚而要求病患在該處亦簽名確認,如此應更可增加醫師舉證自己善盡說明責任之強度與可信度,提供大家參考。
[27] 個資法第47條,非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:一、違反第六條第一項規定。二、違反第十九條規定。三、違反第二十條第一項規定。四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
[28]個資法第48條,非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:一、違反第八條或第九條規定。二、違反第十條、第十一條、第十二條或第十三條規定。三、違反第二十條第二項或第三項規定。四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
[29]個資法第10條,公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。二、妨害公務機關執行法定職務。三、妨害該蒐集機關或第三人之重大利益。
[30] 個資法第13條,公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
[31]個資法第11條,公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
[32]個資法施行細則第4條第3項,本法第2條第1款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。
[33]個資法施行細則第4條第4項,本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。
[34]個資法施行細則第4條第6本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。
[35] 940119日衛署醫字第0930220492號函。
[36] 960110日衛署醫字第 0950061797 號函。
[37] 930930日衛署醫字第0930217501號函。但「醫療法」修正草案和「醫療糾紛處理及醫療事故補償辦法」草案強制要求,未來民眾申請病歷時,醫院必須在2個工作天之內交付,即使是病情再複雜、病歷再多的病患,最遲也不能超過3天。
[38]呂錦峯、謝持恆著,個人資料保護法教戰守則,永然文化出版,201211月,頁78
[39] 保險法第 177-1 (蒐集、處理個資之特定範圍),符合下列各款規定之一者,於經本人書面同意,得蒐集、處理或利用病歷、醫療、健康檢查之個人資料:一、依本法經營或執行業務之保險業、保險代理人、經紀人、公證人。二、協助保險契約義務之確定或履行而受保險業委託之法人。三、辦理爭議處理、車禍受害人補償業務而經主管機關許可設立之保險事務財團法人。前項書面同意方式、第一款業務範圍及其他應遵行事項,由主管機關訂定辦法管理之。保險業為執行核保或理賠作業需要,處理、利用依法所蒐集保險契約受益人之姓名、出生年月日、國民身分證統一編號及聯絡方式,得免為個人資料保護法第九條第一項之告知。中華民國一百年六月十四日修正之本條文施行前,第一項各款之人已依法蒐集之病歷、醫療、健康檢查之個人資料,於修正施行後,得繼續處理及為符合蒐集之特定目的必要範圍內利用。
[40] 個資法施行細則第12條,本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。
[41] 劉佐國,李士德著,個人資料保護法釋義與實務:如何面臨個資保護的新時代,碁峰資訊,201211月,頁123
[42]此項告知甚為必要,因近日已有民眾接到國健局追蹤訪查電話後,向診所質疑為何篩檢之資料,外流至其他單位,而引起診所許多不要之困擾。其起因便是診所未確實告知病患此篩檢,乃國健局之計畫,並且日後可能該單位會與其聯絡有關追蹤事宜等相關資訊,更甚至於有些診所連已幫病人篩檢並申報,但病人卻完全不知情,除可能漠視病人隱私與自主權,更可能涉及虛報費用。