公務機關是否得任意要求診所提供病人個資?
一、案例事實
霹靂牙醫診所負責醫師素還真,接到國稅局承辦人鬼王棺電話告知,因其所填載102年度醫師執行業務狀況訪(函)查記錄表自費項目金額有偏低之嫌,故需要素還真填具102年度該診所所有接受根管治療病人姓名、身分證字號等個人資料交付供其調查,此時到底素還真是否須配合此要求?也就是說當財政部國稅局若要求醫療機構,提供「非僅限於特定對象」之個人資料文件檔案,俾供稅務帳證查核,此時醫療機構是否必須提供患者個人資料?還是可因涉違反個資法而得拒絕?
二、相關法律
(一)何謂個人資料?
根據個人資料保護法(以下簡稱個資法)第2條第1款,「個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」,皆屬於個人資料的範圍,保護範圍較舊法(粗體字為新增部分),相形擴大。其中醫療、基因、性生活、健康檢查、犯罪前科,乃所謂特種(敏感)資料(但很奇怪,卻不包含病歷)。雖然個資法第6條[1]目前尚未實施,惟有關「醫療、基因、性生活、健康檢查及犯罪前科」等特種個人資料或不具特殊性或敏感之個人資料,例如個資法第2條第1款之「聯絡方式」(例如地址、電話),或醫師法第12條第1項規定之「住址等基本資料」,即使與上開特種資料一起記載於病歷內,該等資料仍屬一般個人資料,其蒐集、處理、利用仍適用個資法有關一般個人資料之規定[2]。
個資法第2條第1款中,新增部分與醫療資訊填具較有關係除原有病歷部分外,尚有醫療、健康檢查、聯絡方式等。所稱病歷之個人資料,依施行細則第4條第1項,乃指醫療法第67條[3]第2項所列之各款資料(其第1款所謂醫師依醫師法執行業務所製作之病歷,便是醫師法第12條[4]所規定之內容);所稱醫療之個人資料,依施行細則第4條第2項,乃指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料,也就是指病歷與因醫療行為所生之記錄統稱之,其範圍較病歷為廣。所稱健康檢查之個人資料,依施行細則第4條第5項,為指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。雖然此三者之定義有部分為重疊,不易明顯區隔,但其目的乃針對增大保護病人隱私之範圍,故較舊法僅限於病歷則更廣泛,相對醫療院所需擔負之責任與義務,亦較舊法更多更重。
(二) 稅捐稽徵機關
1.個人資料保護法
(1)公務機關對個資之蒐集或處理
個資法第15條,「公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、執行法定職務必要範圍內。二、經當事人書面同意。三、對當事人權益無侵害。」,因此公務機關對於個人資料之蒐集、處理,除需有特定目的外,並須符合前述三款事由,如係因執行法定職務者,更應於「必要範圍內」始得為之;且應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯[5]。按個資法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」,行政程序法第7條規定:「行政行為,應依下列原則為之︰一、採取之方法應有助於目的之達成。二、有多種同樣能達成目的之方法時,應選擇對人民權益損害最少者。三、採取之方法所造成之損害不得與欲達成目的之利益顯失均衡。」,因此公務機關蒐集、處理或利用個人資料,應符合個資法第5條及行政程序法第7條比例原則之要求,於執行法定職務「必要範圍內」為之,且不得逾越特定目的之「必要範圍」。
(2) 公務機關對個資之利用
個資法第16條規定:「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為維護國家安全或增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。六、有利於當事人權益。七、經當事人書面同意。」,故公務機關對個人資料之利用,除但書所列事項外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符,兩者皆須同時具備,方得合法利用其所蒐集之個資。
2.稅捐稽徵法
(1)第30條第1項原規定,「稅捐稽徵機關或財政部賦稅署指定之調查人員,為調查課稅資料,得向有關機關、團體或個人進行調查,要求提示有關文件,或通知納稅義務人,到達其辦公處所備詢,被調查者不得拒絕。」,準此,稅捐稽徵機關或財政部賦稅署指定之調查人員依上開稅捐稽徵法之規定,依法有權得向有關機關、團體或個人進行調查,要求提示為調查課稅資料之執行業務所需之有關文件。
但因原條文第1項,僅概括規定得要求提示「有關文件」,相對於第三項所定「提供帳簿、文據」,範圍顯屬籠統、不確定,相較美國之「課稅事實相關之帳簿、文件、紀錄或其他任何資料」、日本之「帳簿文書」亦有不足,衡酌納稅人權利保護,為求法規具體明確,並達最小侵害原則,故採例示規定,以為明確。另外因稅法之協力義務,原則上即為對納稅人資訊權之干預,對人民自由權利之限制,除須有法律規定外,該法規亦應力求明確,且必須在「必要範圍」內為之,爰增列第二項,明定「前項調查,不得逾課稅目的之必要範圍。」,綜合此兩大原因,本條文便於103年修正第1項及增訂第2項,修正後新條文為:
①稅捐稽徵機關或財政部賦稅署指定之調查人員,為調查課稅資料,得向有
關機關、團體或個人進行調查,要求提示帳簿、文據或其他有關文件,或
通知納稅義務人,到達其辦公處所備詢,被調查者不得拒絕。
②前項調查,不得逾課稅目的之必要範圍。
③被調查者以調查人員之調查為不當者,得要求調查人員之服務機關或其上
級主管機關為適當之處理。
④納稅義務人及其他關係人提供帳簿、文據時,該管稽徵機關或財政部賦稅
署應掣給收據,除涉嫌違章漏稅者外,應於帳簿、文據提送完全之日起,七
日內發還之;其有特殊情形,經該管稽徵機關或賦稅署首長核准者,得延長
發還時間七日。
故修正後稅捐稽徵法第30條將稅捐稽徵機關之調查人員於執行調查課稅資料之職務時,有權限調閱之資料限縮為「帳簿、文據或其他有關文件」,同時規定調查人員所為之調查範圍,不得逾課稅目的之必要範圍[6],以保障納稅人之資訊隱私。
(2)罰則
稅捐稽徵法第46條,「拒絕稅捐稽徵機關或財政部賦稅署指定之調查人員調查,或拒不提示有關課稅資料、文件者,處新臺幣三千元以上三萬元以下罰鍰。納稅義務人經稅捐稽徵機關或財政部賦稅署指定之調查人員通知到達備詢,納稅義務人本人或受委任之合法代理人,如無正當理由而拒不到達備詢者,處新臺幣三千元以下罰鍰。」,也就是不配合調查或拒絕不提供資料者,有可能被罰三千至三萬元之罰鍰。
(二)醫療機構
1. 個人資料保護法
(1)非公務機關對個人資料之利用
個資法第20條第1項規定:「非公務機關對個人資料之利用,除第6條第1項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。…六、經當事人書面同意。」,非公務機關原則應於蒐集資料之特定目的內利用個人資料(例如為診療利用所蒐集之個資);如非屬特定目的內利用(例如本案),應有本法第20條第1項但書各款所列情形,如法律明文規定或經當事人書面同意,始得為特定目的外利用[7]。
(2)罰則
個資法第41條,「違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」。也就說當個資利用違反第二十條第一項規定時,還必須因此違反而生損害他人,方有刑事責任,並非一違反便須負擔刑事責任。
2.醫療法
(1)醫療法第72條,「醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。」,違反則依醫療法第103條第1項第1款,處新臺幣五萬元以上二十五萬元以下罰鍰。
(2)醫療法第26條,「醫療機構應依法令規定或依主管機關之通知,提出報告,並接受主管機關對其人員配置、設備、醫療收費、醫療作業、衛生安全、診療紀錄等之檢查及資料蒐集。」,若違反則依醫療法第102條第一項第一款,處新臺幣一萬元以上五萬元以下罰鍰,並令限期改善;屆期未改善者,按次連續處罰。
三、法律適用
(一)稅捐稽徵機關
1. 調查之權利
按中央法規標準法第 16 條前段規定:「法規對其他法規所規定之同一事項而為特別之規定者,應優先適用之。」,個人資料保護法(簡稱個資法)之性質為普通法,稅捐稽徵法有關個人資料蒐集、處理或利用之規定,屬個資法之特別規定,自應優先適用各該特別規定。是以,稅捐稽徵機關或財政部賦稅署指定之調查人員,依稅捐稽徵法第30條規定,有權向有關機關、團體或個人進行調查,要求提示為調查課稅資料之執行業務所需之帳簿、文據或其他有關文件,但所要求提供之文件,不可超過課稅目的之必要範圍。
2.調查時之義務
公務機關蒐集、處理或利用個人資料,有義務自我檢視就所執行職務時,是否符合個資法第5條及行政程序法第7條比例原則之要求,也就是於執行法定職務「必要範圍內」為之,且不得逾越特定目的之「必要範圍」。因此公務機關向醫療機構請求提供病患資料,受個資法第5條比例原則之拘束,而應於調查具體課稅案件之「必要範圍」內為限。倘係請求醫療機構廣泛性、非特定性提供全部之病患資料,則有逾越必要範圍之虞。也就說如同修正後稅捐稽徵法第30條,將稅捐稽徵機關之調查人員於執行調查課稅資料之職務時,有權限調閱之資料限縮為「帳簿、文據或其他有關文件」,同時規定調查人員所為之調查範圍,不得逾課稅目的之必要範圍[8],以保障納稅人之資訊隱私。
(二)醫療機構
1.有受調查之義務[9]
(1)醫療法第26條明定,「醫療機構應依法令規定或依主管機關之通知,提出報告,並接受主管機關對其人員配置、設備、醫療收費、醫療作業、衛生安全、診療紀錄等之檢查及資料蒐集」。按稅捐稽徵法第30條第1項規定,稅捐稽徵機關或財政部賦稅署指定之調查人員,為調查課稅資料,得向有關機關、團體或個人進行調查, ... .被調查者不得拒絕。依上開規定,稅捐稽徵機關依稅捐稽徵法第30條規定向醫療機構進行調查及要求提示有關文件,醫療機構即得依該法令規定逕予提供,更無須再經由醫療機構所在地之衛生主管機關轉請索取之程序。
(2)醫療法第72條雖規定,醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏。但醫療機構依稅捐稽徵法上開規定不得拒絕,是醫療機構為配合課稅調查而提供病人個人資料,且係依稅捐稽徵法第30條明文規定為之,爰並不構成醫療法第72條所定「無故洩漏」之情形。
2..受調查時可行使之權利
個資法第20條但書規定,醫療機構(非公務機關)對個人資料之利用,除依特定目的之利用外,尚包括「特定目的外」之利用,故於有本條但書規定各款情形之一時,醫療機構有權自行經合法性判斷後即允許為特定目的外之利用。例如當公務機關函文查詢病人資料是否有違個資法,醫療機構便應判斷公務機關函文查詢病人資料,屬蒐集個人資料之行為,是否符合個資法第15條規定,「公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、執行法定職務必要範圍內。二、經當事人書面同意。三、對當事人權益無侵害。」,因此公務機關對於個人資料之蒐集、處理,除需有特定目的外,如係因執行法定職務者,更應於「必要範圍內」,始為合法之蒐集。
因此院所提供病人資料之行為是否符合個資法第20條但書規定,院所除已先經當事人書面同意外,則需本於權責認定公務機關對於所要求個資之情形是否符合個資法第20條但書條文「法律明文規定」、「增進公共利益」或「防止他人權益之重大危害而有必要」,而據以決定是否提供其持有之個人資料;且本條但書規定係由醫療機構判斷,第三人尚不得據此規定請求提供,惟可提供理由及說明,以便院所為合法性之判斷。如院所決定提供相關個人資料時,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。另院所於本條但書如遇有適用上疑義時,亦可先洽詢中央目的事業主管機關既行政院衛生福利部之意見[10],再做決定。
另外因公務機關蒐集或處理個人資料應於法令職掌「必要範圍內」為之,且不得逾越特定目的之「必要範圍」。準此,稅捐稽微機關依稅捐稽徵法第30條第1項規定,向醫療機構請求提供病人資料,仍應受前揭比例原則之拘束,而應於調查具體課稅案件之「必要範圍」內為限。是以,醫療機構在提供稅捐稽徵機關有關病人資料,如疑有前揭之疑義時,院所應洽詢原請求提供資料之稅捐稽徵機關予以說明[11],以助責任與法律疑慮之釐清。
四、小結
當霹靂牙醫診所負責醫師素還真,接到國稅局承辦人鬼王棺電話告知,要求填具102年度該診所所有接受根管治療病人姓名、身分證字號等個人資料交付供其調查時,其因應方式,個人建議如下:
- 雖國稅局有權依稅捐稽徵法第30條第1項規定,向醫療機構請求提供病人資料,而醫療機構便有義務依法提供,不得拒絕,且醫療機構係因依稅捐稽徵法第30條明文規定為之,亦不構成醫療法第72條所定「無故洩漏」之情形。但本案因該承辦人鬼王棺是以電話口頭告知,為求自保,更免於日後不必要之爭議下,應先請該承辦人員以正式行文通知院所為宜,而非口頭要求。
2.修正後稅捐稽徵法第30條,將稅捐稽徵機關之調查人員於執行調查課稅資料之職務時,有權限調
閱之資料限縮為「帳簿、文據或其他有關文件」,同時規定調查人員所為之調查範圍,不得逾課
稅目的之必要範圍,故稅捐稽微機關蒐集或處理個人資料,有義務應於法令職掌「必要範圍內」
為之,且不得逾越特定目的之「必要範圍」,故醫療機構若對稅捐稽微機關於調查具體課稅案件
之「必要範圍」內為限有疑義時,有權利向原請求提供資料之機關予以說明原因及法律依據。也
就是當霹靂牙醫診所對該區國稅局所提出提供全年度之所有接受根管治療病人姓名、身分證字號
之要求,認為有可能違法律規定「必要範圍」之時,為求慎重與自保,有權向該區國稅局要求書
面說明其索取如此大範圍而非具體個案個資之原因及其法律依據。
3.另依個資法第20條但書規定,當醫療機構對個人資料之利用,除依特定目的之利用外,尚包括
「特定目的外」之利用,故當有個資法第20條但書規定各款情形之一時,經醫療機構合法性判斷
後,可允許為特定目的外之利用。也就是說當霹靂牙醫診所蒐集病人個資之目的,原本並不包括
提供病歷或個資於其他機構,故當面對「特定目的外」之利用時(也就是其他公務機關來函要求提
供病人個資),院所可依該條但書自行判定其適法性時,但若院所於個資法第20條但書有適用上疑
義時,亦可先洽詢行政院衛生福利部之意見,除可釐清法律適用[12]外,更可達到自我之保護之
作用。
個資問題因為個資法之修訂,與我們產生了與以往更不一樣的關係。小至病歷填寫保存,大至病人資料蒐集、利用與應用,甚而病人照片如何合法使用與利用,與我們行醫執業皆息息相關,操作過程較以往更易發生法律上適用不當或違法之風險,希望藉由本篇資料與資訊之提供,能讓大家對個資問題有較多之認識,日後如有機會老鄧會再對其他個資問題作介紹,敬請期待。
[1]個資法第6條,「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。」。
[2]法務部102. 10.31.,法律字第 10203511120 號。
[3]醫療法第67條,醫療機構應建立清晰、詳實、完整之病歷。前項所稱病歷,應包括下列各款之資料:一、醫師依醫師法執行業務所製作之病歷。二、各項檢查、檢驗報告資料。三、其他各類醫事人員執行業務所製作之紀錄。醫院對於病歷,應製作各項索引及統計分析,以利研究及查考。
[4]醫師法第12條,醫師執行業務時,應製作病歷,並簽名或蓋章及加註執行年、月、日。前項病歷,除應於首頁載明病人姓名、出生年、月、日、性別及住址等基本資料外,其內容至少應載明下列事項:一、就診日期。二、主訴。三、檢查項目及結果。四、診斷或病名。五、治療、處置或用藥等情形。六、其他應記載事項。病歷由醫師執業之醫療機構依醫療法規定保存。
[5]法務部102.12.04,法律字第10203511550 號。
[6] 例如,99. 03.17.,秘台廳民二字第 990002303 號函釋,「….. 依稅捐稽徵法第30條第1項規定,應係指稅捐稽徵機關對於「具體個案」為調查課稅資料時,得要求有關機關提示相關文件,尚非得謂稽徵機關得依該規定,請求有關機關繼續性提示得據為課稅資料之有關文件。準此,有關臺灣省中區國稅局函請本院資訊管理處提供法院拍賣案件建檔資料乙節,尚難認與稅捐稽徵法第 30 條第1項規定旨意相符。
[7]法務部98.1.8.,法律決字第 097 0042838 號函。
[8] 例如,99 年 03 月 17 日,秘台廳民二字第 990002303 號函釋,「….. 依稅捐稽徵法第30條第1項規定,應係指稅捐稽徵機關對於「具體個案」為調查課稅資料時,得要求有關機關提示相關文件,尚非得謂稽徵機關得依該規定,請求有關機關繼續性提示得據為課稅資料之有關文件。準此,有關臺灣省中區國稅局函請本院資訊管理處提供法院拍賣案件建檔資料乙節,尚難認與稅捐稽徵法第 30 條第1項規定旨意相符。
[9] 101.5.28.,衛署醫字第1010069592號
[10] 法務部99.08.03.,法律決字第0999023710號。
[11] 101.5.28.,衛署醫字第1010069592號。又如法務部,法律字第 10100211340 號,「….., 四、至於個資法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」本件蒐集及利用個人資料有無逾越必要範圍,應就個案情事判斷,本件已敘明限縮在近 3個月內曾經進行咽喉切除手術之男性病患之可得特定之範圍內。倘仍有疑慮,宜請國立○○大學醫學院附設醫院逕與臺灣高雄地方法院檢察署聯繫確認之。」。
[12] 例如與本案相似案件,中華民國醫師全聯會便在101年5月21日以全醫聯字第1010000814號函,詢問衛生福利部有關稅捐稽徵機關索取病歷資料相關函釋疑義一案,而衛福部則在101年5月28日以衛署醫字第1010069592號函釋其適用準則。
