第二章 遠距醫療與遠距健康照護的管制
第三節 健康紀錄的個資保護
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
24
第三節 健康紀錄的個資保護
健康紀錄是屬於敏感性的個人資料,在過去傳統的醫療型態,採用紙本 記錄的方式,個資的洩漏或被不當利用的情形較少發生,進入資訊網路時代 以後,個人資料很容易藉由資訊技術做蒐集、處理及利用,因此容易發生洩 漏、竄改、竊取為不當利用之風險。個人資料的保護不僅個資的各方當事人,
也牽涉到醫療器材與資訊設備軟硬體是否有資安保護機制,更重要的是醫療 體系中的醫療機構、健康照護流程是否有安全維護管理、緊急應變措施。以 下就我國現行相關法規包括個人資料保護法、醫療機構電子病歷製作及管理 辦法(母法為醫療法)、醫院個人資料檔案安全維護計畫實施辦法(母法為 個資法)及資通安全管理法。
壹、個人資料保護法
個人資料保護法是修訂 1995 公告施行的電腦處理個人資料保護法46,在 2012 年公告施行,其中第 6 條針對有關健康的敏感性個人資料,做了最大保 護,除了法律規定、執行法定職務義務,合法公開、及基於醫療、衛生、預 防犯罪由公務機關或學術機構進行之統計研究,均不得蒐集。因為影響重大 窒礙難行,各方仍有疑義而暫緩實施。為此在 2016 年再度修法將第 6 條做 了大幅修正,重新公告施行。
第 6 條在修訂前太過嚴格,實務上很難實施,修訂後放寬很多,幾乎與 一般個資差異不大,且擴大授權至公務機關的協助執行者,個資法其他相關 條文也規範了委託機關的範圍與保密義務。
個資法第 6 條修法後對於健康紀錄有關之敏感個資的蒐集、處理與利用 大幅的放寬,只要經當事人書面同意,其他有關不得逾越特定目的與告知義 務規範與一般個資幾乎相同。
46 法務部,電腦處理個人資料保護法,1995 年。 https://www.6laws.net/6law/law/電腦處理個人 資料保護法.htm 最後瀏覽日: 2020 年 7 月 30 日。
‧
https://www.moj.gov.tw/dl-19655-1ee7a1f07adf437ca0111373ca0a1402.html 最後瀏覽日: 2020 年 7 月 30 日。
‧
https://www.mohw.gov.tw/cp-18-54747-1.html 最後瀏覽日: 2020 年 7 月 30 日。
49 行政院,資通安全管理法,2018 年,全國法規資料庫。
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297 最後瀏覽日: 2020 年 7 月 30 日。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
27
機關中屬於關鍵基礎設施(Critical Infrastructure)涵蓋的 CI 醫院有 64 家。這 些醫院依法做到的資安管理包括:
一、事前規劃:須有資通安全維護計畫與資通安全事件通報應變機制。
二、事中維運:須定期提報資通安全維護計畫之實施情況。
三、事後改善:發生資通安全事件或於稽核時發現缺失,各機關應提出改善 報告,並針對缺失進行追蹤評估,以確認缺失改善之情形。
至於另外四百多家非 CI 醫院與兩萬多家診所醫療機構,因為均為接受中 央健保署特約委託執行法定職務之公務機關或法定義務之非公務機關,故仍 然須接受相關規範。依據資通安全管理法第 10 條與第 13 條規定,中央健保 署對其各層級特約醫療機構使用健保雲端醫療資訊查詢系統,批次下載之醫 療資訊資訊安全,已委託臺灣醫學資訊學會進行查核,建立資訊安全規範與 管理機制。另外依據「資通安全責任等級分級辦法」50第 4 條及第 5 條,醫 學中心屬 A 級單位,區域醫院或公立地區醫院屬 B 級單位,這兩級單位皆需 於核定等級後 2 年內導入 CNS 27001 資訊安全管理系統國家標準或同等,並 於 3 年內完成公正第三方驗證。小醫院或診所導入要導入資訊安全管理系統 時,常面臨預算、人力與能力不足問題,越趨嚴格的資安法對大部分的醫院 診所醫事人員是一個很大的壓力與負擔。
50 行政院,資通安全責任等級分級辦法,2019,全國法規資料庫
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304 最後瀏覽日: 2020 年 7 月 30 日。
‧
MDR(Medical Device Regulation, 2017)醫材法 德國:
TMG(Telemediengesetz, 2007)電信媒體法52 2018 年德國醫學會通過遠距醫療規範放寬遠端治療 Fernbehandlung
美國:各州規定不同,21 USCS § 829(2)(A)
EU Data Protection Directive, 1995
GDPR (General Data Protection Regulation, 2018)
美國加州:
CCPA California Consumer Privacy Act, 2020)
電子健康
HIPPA(Health Insurance Portability and Accountability Act, 1996)
HITECH(Health Information Technology for Economic and Clinical Health Act, 2009)
貳、遠距醫療診察規範
歐美有關遠距醫療並沒有如同臺灣有醫師法第 11 條的但書,加上歷年
51 本文作者自製。
52 Federal Ministry of Justice and Consumer Protection ,Telemediengesetz Germany, 2007.
https://www.gesetze-im-internet.de/tmg/最後瀏覽日: 2020 年 7 月 30 日。