2011年4月12日 星期二

參加醫院協會舉辦的「個人資料保護法因應研討會」分享

立法院於99年5月26日將原「電腦處理個人資料保護法」廢止,另修訂為「個人資料保護法」,此次修法擴大保護客體為所有個人資料(包含電腦處理及人工紙本的個資),並調整民事、刑事與行政罰責,最高可達新台幣二億元,以及二年以上有期徒刑等。然而對醫療院所而言,最大之影響在於特種個人資料蒐集之限制,未來有關醫療、基因、犯罪前科等個人資料,必須在符合法律明文規定的嚴格要件下,始得蒐集、處理或利用,對於醫療院所之研究調查、醫療業務外包、病歷資訊交換等將產生重大的衝擊。


目前「個人資料保護法」修訂後擴大適用所有產業,因此,為了讓施行細則的修法能夠切實可行,法務部於近期內積極網羅產業建議,擬定施行細則,法律中仍待釐清之事項都會在施行細則中有具體的規範,惟醫院應即早瞭解,及早因應為宜。


有鑑於此,醫院協會為使全國醫院掌握「個人資料保護法」之影響,以及早規劃因應對策,強化迎戰未來之策略能力,在今年4月1日舉辦「如何因應個人資料保護法改革研討會」,邀請交通大學科技法律研究所陳鋕雄副所長說明「個人資料保護法」之修正重點及內涵;並邀請法務部法律司鄭銘謙副司長針對目前正研議中之施行細則研議方向做第一手之說明;另由衛生署醫事處周道君科長說明修法對醫療院所之衝擊;接著也邀請醫院協會健康資訊管理委員會劉立召集人與長庚醫院管理中心范仲玫高專從醫療產業談「個人資料保護法」對醫療機構之影響,以及醫療機構將會面臨之問題,以提醒各醫療院所應有之準備方向。最後此次研討會透過綜合討論蒐集醫院對於「個人資料保護法」之疑義及實務執行困難,由政府官員進一步說明,並做為制訂施行細則之參考。 [註]


「個人資料保護法」的特點  
「個人資料保護法」已於99年5月26日由總統公布,取代原來的「電腦處理個人資料保護法」,目的在透過規範個人資料的蒐集、處理及利用,以避免人格權受侵害,並促進個人資料合理利用。此法的施行細則仍由法務部研擬中,實施日期待行政院核定。


個人資料保護法的修正重點(相較於電腦處理個人資料保護法)有以下幾點:


1.保護客體從經電腦處理之個人資料擴大至經電腦與非經電腦電腦處理之個人資料。此法中之個人資料係指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」(§2-1)
 
2.適用主體從原先的14類行業擴及任何行業,包括醫療服務業在內。


3.個人資料中的醫療、基因、性生活、健康檢查、犯罪前科五類資料為特種資料,受到特別保護。此規範對醫療業的衝擊尤其顯著。§6規定此五類資料,除了以下情況外,不得蒐集、處理與利用:
     一、法律明文規定。
     二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
     三、當事人自行公開或其他已合法公開之個人資料。
     四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。


4.機關對於非特種資料之蒐集、處理或利用,應有符合第19與20條條文所明列的特定目的,始得為之。


5.不論直接或間接蒐集個人資料,均有告知當事人之義務。


6.資料蒐集時當事人書面同意內容必須明確化並須單獨為之,也就是每次蒐集都須取得當事人的同意,使用目的必須載明,若後續使用與當初蒐集的目的不同時,除非再取得當事人同意,否則不得利用。


7.資料的正確性與通知義務。前者是指資料蒐集、處理與利用的機關應主動或依當事人之請求刪除、更正或補充資料(§11);後者是指機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人(§12)。


8.機關合法使用個人資料進行行銷時,若當事人拒絕接受行銷之方式,應即停止利用其個人資料行銷(§20)。


9.中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查(§22)。


10.為促進民眾參與個人資料保護及損害發生後方便行使民事賠償權,個資法規定符合一定要件之財團法人或公益社團法人,得代替當事人提起團體訴訟(§32)。


11.大幅加重違反本法行為者的民事、刑事與行政罰則(§28; §41, 45; §47-50),並要求非公務機關負舉證責任(§29)。
 
面對「個人資料保護法」的兩種心情
 
參加此次研討會之後,我有兩種截然不同的心情,一方面是悲觀的見解,另一方面是樂觀的期待。


一、悲觀的看法:


1.若在沒有任何配套的情況下實施個資法,將對醫療院所產生巨大的衝擊,許多現行的醫療、教學、研究和行政管理作業可能都無法執行。醫療院所蒐集、處理與利用的資料大多為特種資料,這些資料的利用受到嚴格的限制。比如(1)依照個資法的規範,轉診、代檢的資料是不可以在醫療院所之間傳遞;醫院的處方籤釋出也會碰到問題。現在衛生署鼓勵醫療院所將病人診斷影像上傳至影像交換中心,讓其他院所的醫師下載參考,依照個資法條文,即使有病人的同意,這也是不被允許的。事實上個資法的規範與醫療政策想推動的醫療資訊交換分享的方向是背道而馳的。(2)個資法實施後,很有可能醫療院所便不能再從事臨床研究工作。臨床研究絕大多數都是利用病人的醫療資料來作分析,但按照個資法的規定,只有公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集或處理之個人資料,才可以做為研究的用途(§6-4)。醫療院所若不被認定為公務機關或學術研究機構,便不能從事臨床研究。(3)在個資法之下,病人的資料也不能做為個案研討或教學的使用,因為當初蒐集病人的醫療資料之目的是為了診療,而不是教學。(4)目前醫療院所若接到家暴、性侵、傳染病、癌症、自殺、精神病個案,都必須通報相關主管機關,未來除非法律有明文規定,否則通報就可能觸犯個資法。(5)許多醫院在執行慢性病個案管理,或定期通知民眾接受健康篩檢,都會利用到病人的個人資料,然而這也和當初資料蒐集時的目的不符。(6)未來醫師問診時,要蒐集病人家屬的健康資料(家族病史等)也會有困難。(7)醫療院所與病人有關的外包業務(如病人傳送)幾乎都不可進行。(8)對於私人保險公司或勞保局因被保險人理賠作業來函要求提供病人的診斷或病情資料,就算有病人的同意書或授權書,醫療院所也不能提供。


2.醫療院所蒐集、處理與利用的資料大多為個人隱私,若過程中一有疏漏,很容易導致當事人權益受損,醫療院所因此須承擔沉重的民事、刑事與行政責任,風險實在過大。特別是個資法要求非公務機關(如民營醫療院所)必須負舉證責任,也就是證明本身並無故意或過失,否則便要賠償當事人。法界有一句諺語說:「舉證之所在,敗訴之所在」,台灣司法又賦予法官甚大的裁量權,醫療院所可以說完全處於挨打的處境。


3.醫療院所的病歷不在特種資料之列,而且受到醫療法與醫師法的規範,相關的蒐集、處理與利用比較於法有據。可是醫療作業中有許多病人的相關資料尚未成為正式病歷文件時,處理與利用便受到限制。這個問題在實施電子病歷之後會更為突顯,許多病人的臨床資料在未電子簽章之前,已經被資訊系統所蒐集與處理,甚至被不同的臨床人員使用,這些資料會處於法律爭議的地帶。


4.個資法實施後,臨床作業會變得很繁複,光是每次要跟病人說明資料蒐集、處理、利用的目的與範圍,取得其同意,就要花上不少時間,耗費大量的行政成本。此外,病人若要求更正、補充、刪除或停用病歷或個人資料,也會是很有爭議、麻煩的問題。


5.對於醫界期望從個資法施行細則特別考量醫療院所處理病人資料之特殊性,為個資法在醫療院所的適用做出解套,目前正在草擬個資法施行細則的法務部鄭銘謙副司長表示施行細則的功能是有限的,我們不能完全寄望透過施行細則去處理母法的疑義或不完整。
 
二、樂觀的看法:


1.個資法為普通法,在法律位階上低於特別法,如醫療法、醫師法或健保法。因此當醫療法規與個資法均有規定者,可優先適用醫療法規;醫療法規未規定者,適用個資法。衛生署醫事處的周道君科長表示,若個資法在醫界的適用有太多無法解決的疑義,衛生署會考慮修訂相關的醫療法規予以補強,甚至在醫療法中予以排除個資法對醫療院所的適用(特別是特種資料的法條)。從當天會中演講者和與會者所提出的林林總總的問題來看,個資法對醫界的適用似乎有根本上的難題,連衛生署官員和法務部專家也都發現問題比解決方案多很多,我預測醫療法修訂的可能性應該相當高。


2.法務部鄭副司長也表示施行細則會盡可能兼顧個人資料保護與合理利用。若資料蒐集確有必要,而且過程將導致過度成本負擔之情形,會考慮加以排除。


3.有關醫療院所是否為學術研究機構,衛生署官員表示將試圖從寬認定。


4.施行細則中將明定非公務機關對個人資料之適當安全維護措施事項,包括:(1)必要之組織、(2)界定個人資料之範圍、(3)個人資料蒐集、處理或利用之程序、(4)當事人行使權力之處理程序、(5)資料安全、(6)資料稽核、(7)人員管理及教育訓練、(8)設備管理、(9)紀錄與證據之保存、(10)緊急應變措施及通報、(11)改善建議措施、(12)其他安全維護事項;讓各個機關有所依循,進行必要的資料安全維護措施。若萬一當事人提出告訴時,非公務機關能夠提出證明,讓法官相信該機關已經做到應盡的義務,以免除或減輕責任。


5.衛生署也將依照第27-3條規定,訂定非公務機關之個人資料檔案安全維護計畫資料處理標準辦法,讓醫療院所有所依循和準備。衛生署也將輔導醫療機構訂定個資處理作業模式。


6.個資法的實施代表我國對個人資料保護與人權的重視又更上一層樓,對每位國民的隱私也將更有保障,使台灣邁向先進國家的行列。惟法規精神必須與實務運作能夠接軌,不可陳義過高,才不至於造成實施上過高的副作用與成本。


[註]以上背景介紹文字摘自醫院協會本研討會報名簡章

沒有留言: