病人就診完畢後,可否要求診所依個資法規定刪除個人病歷資料?
因應個人資料保護法(以下簡稱個資法)之實行,及診所該如何更準確地
應對種種個資相關問題, 特就一些可能發生或已發生的問題,
期待能對診所與牙醫師們有所助益。
一、 案例
秦假仙出差至外地,臨時因牙痛便找了一家煙都牙醫診所就診後,秦假仙認為他應該不可能再來此診所就診,腦中突然想起個資法有可要求刪除個人資料之規定,於是便向煙都牙醫診所要求刪除個人就醫資訊與個人相關資料,請問此時煙都牙醫診所是否得依秦假仙之要求刪除個資,或是該拒絕,如何應對方符合法令規範?或者秦假仙可否要求診所立刻答覆其查詢、請求閱覽自己病歷等個資呢?
二、法律分析
(一)何謂個人資料?
根據個資法第2條第1款,「個人資料,指自然人之姓名、出生年月日、
國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、
醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動
及其他得以直接或間接方式[1]識別該個人之資料。」。
其中所稱病歷之個人資料,依施行細則第4條第1項,乃指醫療法第67條[2]第2項所列之各款資料(其第1款所謂醫師依醫師法執行業務所製作之病歷,便是醫師法第12條[3]所規定之內容);
所稱醫療之個人資料,依施行細則第4條第2項,乃指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料,也就是指病歷與因醫療行為所生之記錄統稱之,其範圍較病歷為廣。
所稱健康檢查之個人資料,依施行細則第4條第5項,
為指非針對特定疾病進行診斷或治療之目 的,而以醫療行為施以檢查所產生之資料。
雖然此三者之定義似有部分重疊,不易明顯區隔,
但其目的乃為擴大保護病人隱私之範圍,相對醫療院所需擔負之責任與義務亦更多更重。
(二)病人就個資法中被非公務機關(亦例如診所)所蒐集之個資可行使之權利
當事人就被蒐集資訊得主張之權利,主要乃依個資法第3條,「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」,並且該條特別規定此五大權利不得以任何告知或文件形式,造成當事人同意預先拋棄或放棄上述權利中某些項目,否則該類同意皆為無效。
因此相較於醫療法中病人僅可取得病歷複製本[4]或摘要[5],個資法提供病人取得醫療資訊權有更多選擇可行使,其中除第1款在醫療法有類似規範外,其他權利之行使模式皆是為醫療法所沒有之規定。
1.查詢、請求閱覽
個資法第10條規定,「公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。」,另依第13條第一項規定,「公務機關或非公務機關受理當事人依第十條規定之請求,應於15日內,為准駁之決定;必要時,得予延長,延長之期間不得逾15日,並應將其原因以書面通知請求人。」,因此依個資法規定診所對於病人要求查詢及請求閱覽有准駁與否之權,法令規定應於15日內決定是否答覆或提供,故不需當下回覆或應答病人之請求。另若個人資料種類及數量繁多,如申請人數眾多,15日恐不及辦理,是以另規定必要時得予延長,但不得逾15日,也就是最多30日需答覆准許與否,且應將延長原因以書面通知請求人,讓其知曉。惟若診所駁回拒絕或未於規定期間內決定病人之請求時,病人則得依相關法律提起訴願或訴訟。
2請求製給複製本
第10條規定:「公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。」。但公務機關或非公務機關可依同法第13條第一項,對於當事人查詢或請求閱覽於規定時間內准駁與否,若同意提供複製本,則依同法第14條規定,就當事人查詢或請求閱覽個人資料或製給複製本者,得向當事人酌收必要成本費用。
3.請求補充或更正
第11條第1項規定,公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。這也是「個人參與原則」的具體規定,一方面要求公務機關及非公務機關負有保護個人資料正確的義務,另一方面賦予當事人有主動請求更正或補充的權利。依同法第13條第2項規定,當事人依第11條規定,請求更正、補充,之准駁決定期間,規定為30日,必要時得予延長,但不得逾30日,且應將延長原因以書面通知請求人。惟個人資料有關意見與鑑定部分,涉及專業或個人價值判斷,與事實資料對錯無關,因此應不屬於得要求更正範圍,僅有事實部分可予更正[6]。故當事人請求更正或補充其個人資料時,應舉其原因及事實而適當之釋明即為已足。
4.請求停止蒐集、處理或利用
(1) 請求停止蒐集
依個資法第11條第4項,違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
(2)請求停止處理或利用
個資法第11條第2項規定,個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,並需註明其爭議或經當事人書面同意者,不在此限。另依同法同條第3項,特定目的消失[7]或期限屆滿時,亦應主動或依當事人之請求,停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。另依同法第13條第2項,當事人依第11條規定,請求停止蒐集、處理或利用其個人資料,因需較多時間查證該資料之正確性或其請求是否合理,15日內恐無法處理完畢,將此種情形之准駁決定期間,規定為30日,必要時得予延長,但不得逾30日,且應將延長原因以書面通知請求人。
5.請求刪除
依個資法第11條3項,個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。而所謂職務或業務所必須,依施行細則第21條係指,「一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。」。故若依個資法施行細則規定,有法令規定或契約約定之保存期限,當事人不得要求刪除。
6.罰則
當非公務機關違反或不履行個資法第10或第11條有關個人可行使同法第3條五大權利之規定時,除依個資法第48條可由中央目的事業主管機關或直轄市、縣(市)政府先限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰外,當事人亦可依相關法律對非公務機關提起訴訟,來請求履行。
(三)醫療法中病人就個資可行使之權利
醫療法原本就有病人可取得病歷複製本或摘要之規範,第71條之規定:「醫療機構應依其診治之病人要求,提供病歷複製本,必要時提供中文病歷摘要,不得無故拖延或拒絕;其所需費用,由病人負擔。」,及同法第74條亦規定「醫院、診所診治病人時,得依需要,並經病人或其法定代理人、配偶、親屬或關係人之同意,商洽病人原診治之醫院、診所,提供病歷摘要及各種檢查報告資料。原診治之醫院、診所不得拒絕;其所需工本費,由病人負擔。」,可知病人有病歷全本(廣義病歷而言)複製本及病歷摘要之交付請求權,而且全本病歷之複製本除需由病人本人或其法定代理人申請為原則[8]外,除非取得其委託同意書,其他人皆無法直接申請。至於取得病歷摘要所需之同意人範圍則較廣[9],但不論病歷全本複製本或病歷摘要,目前依據衛生署函釋皆需3-14天方可取得[10],院所並不需馬上給予病人。
(四)診所就醫療法中個人資料需負之義務
1.保存義務
醫療法第70條規定,「1.醫療機構之病歷,應指定適當場所及人員保管,並至少保存七年。但未成年者之病歷,至少應保存至其成年後七年;人體試驗之病歷,應永久保存。2.醫療機構因故未能繼續開業,其病歷應交由承接者依規定保存;無承接者時,病人或其代理人得要求醫療機構交付病歷;其餘病歷應繼續保存六個月以上,始得銷燬。3.醫療機構具有正當理由無法保存病歷時,由地方主管機關保存。4.醫療機構對於逾保存期限得銷燬之病歷,其銷燬方式應確保病歷內容無洩漏之虞。」,故診所對於病歷至少有7年之法定保存期限,醫療機構因故如未能繼續開業,依條文規定仍由承接者保存;無承接者至少應繼續保存六個月以上,始得銷燬。但若無承接者時,則可能由非醫療人員保存病歷,便可能無法受醫療法第72條[11]保密之規範,病人隱私權將有遭侵害之虞。故為確保病人之隱私權,與利於日後另覓診治之醫療機構,依第2項規定醫療機構診治之病人本人,得要求交付病歷;若無人要求交付,該醫療機構應繼續保存六個月以上,始得銷燬。
2.提供病歷複製本與摘要義務
醫療機構依醫療法第71條對病人有提供病歷複製本義務,依同法第74條,亦有提供病歷摘要及各種檢查報告資料之義務。
3. 保密義務
醫療法第72條,醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。
4.罰則
當診所違反醫療法第70條未適當保存病歷,或第71條未提供病人所需病歷時,依同法第102條,處新臺幣一萬元以上五萬元以下罰鍰,並令限期改善;屆期未改善者,按次連續處罰。若違反第72條保密義務,則依同法第103條,處新臺幣五萬元以上二十五萬元以下罰鍰。
三、 案例分析
當秦假仙依個資法行使要求刪除個資權利,與煙都牙醫診所(亦既為個資法中之非公務機關)依醫療法規行使之相對應權利,兩者之間若有衝突時,該如何適用?
在區分兩者如何適用前,應先瞭解所謂普通法與特別法兩者之不同。法律依其所適用之人、事、時、地範圍之不同,可區分為「特別法」與「普通法」。所謂「普通法」,是指得以適用於一般之人、事、時、地之法律,例如民法、刑法;而特別法,則指專門適用於特定人、事、時、地之法律等,例如會計師法、醫師法等。區別特別法與普通法之實益,即在於當二者之規定相互間有所抵觸時,有「特別法優於普通法」法理之適用。此參諸中央法規標準法第16條之規定:「法規對其他法規所規定之同一事項而為特別之規定者,應優先適用之。其他法規修正後,仍應優先適用。」即可知其梗概。例如個資法為規範一般人所遵守之規定故為普通法,而醫療法則規範醫療機構所應遵守之法規,故為特別法,因此就個人資料在適用上,當醫療法有規定時,應先適用醫療法,若醫療法無規定時,方以個資法為準則。
(一)請求刪除
1.優先適用醫療法
雖依個資法第11條3項,秦假仙有權因特定目的消失(就診完畢且不再至該診所就診)而請求煙都牙醫診所刪除個人資料,但因醫療法第70條有規定,醫療機構至少病歷得保存7年,依醫療法為特別法應優於個資法之普通法適用原則,煙都牙醫診所便有權合法拒絕秦假仙之請求。但若七年之後呢? 醫療法第70條第3項僅規定醫療機構「得」銷毀之,而非「應」銷毀,但卻仍必須考量特定醫療資訊之存在,如有較當事人資訊自決權保護之更重大利益需維護時,如病患罹患法定傳染病之醫療資訊(例如第三類法定傳染病AIDS等),得否於七年期限屆滿後應病患要求刪除,實該依相關法律與事實一併權衡。故當事人就病歷資料刪除請求權行使之限制與實際應用,為個資法與醫療法尚待磨合之處,有待相關單位修法或做出更明確解釋來處理了。
2.直接依個資法
秦假仙有權因特定目的消失而有權請求煙都牙醫診所依個資法第11條3項刪除個人資料,但同項但書規定,因執行職務或業務所必須或經當事人書面同意者,不在此限。而所謂職務或業務所必需,依個資法施行細則第21條係指,「一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。」,故若依該規定,有法令規定或契約約定之保存期限,當事人便不得要求刪除;而醫療法第70條第1項便為此法令規定,故秦假仙依個資法亦無權要求煙都牙醫診所刪除個人資料。
(二)查詢、請求閱覽
當秦假仙要求刪除個資不成後,再依個資法第10條規定向煙都牙醫診所要求查詢及請求閱覽病歷,此時醫療法因未有病人申請閱覽病歷相關規定,而病人申請閱覽自己病歷資料之權利,屬於個人自主控制個人資料之資訊隱私權之範疇,故可優先適用個資法之規定。雖醫療法第 71 條規定係就病人得申請病歷複製本及費用負擔為規定,但此與得否限制病人申請「閱覽」病歷無涉。換言之,請求閱覽與請求製給複製本係二種不同之權利,醫療機構即應適用本法第10條有關提供閱覽之規定,尚難逕以製給複製本而拒絕其閱覽[12]。
除非煙都牙醫診所有依個資法第10條但書規定之適用,「公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:一、……。三、妨害該蒐集機關或第三人之重大利益。」,也就是當病人依個資法向醫療機構申請,請求閱覽本人之病歷資料,考量病歷資料之性質,倘有妨害該蒐集機關之重大利益者(例如:病歷有遭受毀損、滅失、塗改或散佚之虞而無其他方法防止者),診所得依該規定拒絕提供閱覽,否則應依秦假仙之請求閱覽而提供閱覽,亦不得以製給複製本代替[13]。
因此煙都牙醫診所除適用個資法第10條但書規定外,原則上需提供答覆查詢、提供閱覽,但依個資法第13條第1項,最多有30日時間可決定是否同意,並不需馬上答覆查詢、提供閱覽。
四、 小結
個資法雖實施不久,但由於資訊發達及取得容易,少數病人會利用診所常疏忽或從未注意之法律規定找診所麻煩,因此診所就個資法施行後的操作模式,實應認真思考個資法與本身所發生之相關性及重要性,個人建議,目前應儘量以保守的方式、謹慎的態度,及符合個資法中病患資訊自主權與隱私權的保護精神來應對,畢竟這部法律是實實在在的存在,更是與我們每天生活有密切關係。「勿峙敵之不來,正峙吾有以待之」,大家如能熟悉多一點規定,至少還可不挖洞給自己跳吧!
[1] 個資法施行細則第3條,「本法第2條第1款所稱得以間接方式識別,
指保有該資料之公務或非公務機關僅以該資料不能直接識別,
須與其他資料對照、組合、連結等,始能識別該特定之個人。」
[2]醫療法第67絛,醫療機構應建立清晰、詳實、完整之病歷。前項所稱病歷,
應包括下列各款之資料:一、醫師依醫師法執行業務所製作之病歷。
二、各項檢查、檢驗報告資料。三、其他各類醫事人員執行業務所製作之紀錄。
醫院對於病歷,應製作各項索引及統計分析,以利研究及查考。
[3] 醫師法第12條,醫師執行業務時,應製作病歷,並簽名或蓋章及加註執行年、月、日。
前項病歷,除應於首頁載明病人姓名、出生年、月、日、性別及住址等基本資料外,
其內容至少應載明下列事項:一、就診日期。二、主訴。三、檢查項目及結果。
四、診斷或病名。五、治療、處置或用藥等情形。六、其他應記載事項。
病歷由醫師執業之醫療機構依醫療法規定保存。
[4]醫療法71條之規定:「醫療機構應依其診治之病人要求,提供病歷複製本,必要時提供中文病歷
摘要,不得無故拖延或拒絕;其所需費用,由病人負擔。」
[5]醫療法第74條亦規定「醫院、診所診治病人時,得依需要,並經病人或其法定代理人、配偶、親
屬或關係人之同意,商洽病人原診治之醫院、診所,提供病歷摘要及各種檢查報告資料。原診治
之醫院、診所不得拒絕;其所需工本費,由病人負擔。」
[6]呂錦峯、謝持恆著,個人資料保護法教戰守則,永然文化出版,2012年11月,頁78。
[7] 個資法施行細則第20條,本法第十一條第三項所稱特定目的消失,指下列各款情形之一:
一、公務機關經裁撤或改組而無承受業務機關。
二、非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。
三、特定目的已達成而無繼續處理或利用之必要。
四、其他事由足認該特定目的已無法達成或不存在
[8] 94年01月19日衛署醫字第0930220492號函。
[9] 96年01月10日衛署醫字第 0950061797 號函。
[10] 93年09月30日衛署醫字第0930217501號函。但「醫療法」修正草案和「醫療糾紛處理及醫療
事故補償辦法」草案強制要求,未來民眾申請病歷時,醫院必須在2個工作天之內交付,即使是
病情再複雜、病歷再多的病患,最遲也不能超過3天。
[11] 醫療法第72條,醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。
[12] 102.07.04,法律字第10200118830號。
[13] 102.03.12,法律字第10100271950號