第三章 敏感性資料法律保護概念
第三節 我國醫療和健康個人資料保護法制
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
未受到保護124,尤其新興物聯網應用下,裝置蒐集而來的資料不一定會進入傳統 醫療體系中,諸如健康應用軟體透過消費者端的產品,創造和分享健康追蹤資訊,
傳遞給其他非被涵蓋機構,該軟體和機構並不屬於 HIPAA/HITECH 之適用主體,
即使傳遞的資訊係屬應保護之客體,仍無法適用 HIPAA/HITECH125。
第三節 我國醫療和健康個人資料保護法制
我國憲法並未明文將隱私(privacy)權列舉為憲法保障之權利,至司法院釋 字第 293 號解釋才首次出現隱私權一詞,而透過大法官解釋可以窺見隱私權和資 訊隱私權在我國法治制度的保護。司法院釋字第 585 號解釋理由書指出,基於人 性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活秘密空間免於 他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第 22 條所保障126。司法院釋字第 603 號解釋則指出個人自主控制個人資料之資訊 隱私權內涵為「保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、
以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控 制權及資料記載錯誤之更正權127」。
一、個人料保護法修法背景
我國自 1995 年 8 月 11 日第一次公布「電腦處理個人資料保護法」後,於 2010 年 5 月 26 日首次全文修正公布,並將該法更名為「個人資料保護法」。除 當時條文第 19 至 22 條、第 43 條之刪除自公布日施行外,其餘條文施行時間由 行政院定之。然而行政院考量修正後第 6 條特種資料蒐集處理利用要件條款及第
124 Sharon R. Klein, Beyond HIPAA: Connected Health Care and the Internet of Things (April 14, 2015),
http://www.pepperlaw.com/publications/beyond-hipaa-connected-health-care-and-the-internet-of-things -2015-04-14/.
125 FTC Staff Report, Internet of Things: Privacy & Security in a Connected World (January, 2015) 52, https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2 013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf.
126 司法院釋字第 585 號解釋理由書。
127 司法院釋字第 603 號解釋。
‧
http://pipa.moj.gov.tw/cp.asp?xItem=1184&ctNode=379&mp=1(最後瀏覽日:2017 年 10 月 12 日)。
129 個人資料保護法修正公布第 6~8、11、15、16、19、20、41、45、53、54 條條文。
130 個人資料保護法第 6 條 0990427 全文修正立法理由。
131 個人資料保護法施行細則第 2 條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
47
但並非自然人、法人以及團體的所有行為皆會涉入本法適用範圍。若自然人 為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料,或個資法適用主 體於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音 資料132,以上兩種情況排除適用個資法。以在社群媒體或在部落格張貼與他人合 影的照片為例,基於合照本身之共同使用目的明確,不構成違反個資法133。
(二)特種個人資料
舊個資法(2010 年版)第六條所列之五種特種個人資料包含醫療、基因、
性生活、健康檢查及犯罪前科。個資法修法前僅將醫療資料列為特種資料,其認 病歷資料乃屬醫療資料內涵之一。惟個資法第二條例示之個人資料將「病歷」及
「醫療」分別列出,為免本條適用爭議,此次修法將「病歷」增加至特種個人資 料中,故病歷、醫療、基因、健康檢查等醫療照護物聯網可能會利用之個人資料,
皆屬於特種個人資料,受到較嚴格之利用規範所保護。
三、適用主體
個資法第二條第七款:「公務機關:指依法行使公權力之中央或地方機關或 行政法人。」以及同條第八款:「非公務機關:指前款以外之自然人、法人或其 他團體。」指出該法適用範圍涵蓋所有自然人、法人以及團體。與最早之電腦處 理個人資料保護法相比,個資法不再採取以「行業別」作為受規範對象的立法方 式,將原先體制下,不需要負擔個人資料保護義務的自然人和法人都納入規範適 用主體內134,適用範圍擴大。
此外,個資法在地的效力上也較電腦處理個人資料保護法擴增135。公務機關 及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用的
132 個人資料保護法第五十一條第一項。
133 劉靜怡,前揭註 1,頁 151。
134 劉靜怡,前揭註 1,頁 148。
135 劉定基,前揭註 1,頁 2。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
前或事後有適當安全維護措施;
(3)當事人自行公開或其他已合法公開之個人資料;
(4)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無 從識別特定之當事人;
(5)為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,
且事前或事後有適當安全維護措施;
(6)經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在 此限。
本項與修法前不同之處,在於(1)第二款修正適當安全維護措施得於「事 後」為之;(2)第四款統計或學術研究得使用程序從「經一定程序所為蒐集、處 理或利用」修正為「資料經過提供者處理後或經蒐集者依其揭露方式無從識別特 定之當事人」,將「一定程序」明確修改為須以無法識別特定個人之方法去識別 化,才能用於研究用途;(3)增列第五款「協助」履行法定職務或義務情形,本 款係公務機關或非公務機關無第二款規定之適用時,如為協助公務機關或非公務 機關必要範圍內,得利用之規定;(4)增列第六款經當事人「書面同意」,但不 得以非利用權勢、強暴、脅迫等違反當事人意願之方法取得書面同意140。在例外 規範體例,我國多以法定職務或義務為出發141,其他目的則為保護研究發展和尊 重個人資料自主權。
(一)告知義務
在告知義務規範部分,原本個資法第六條第二項刪除,並增訂第二項告知義 務和書面同意準用條款。若特種個人資料係向當事人蒐集,則必須於蒐集時履行
140 個人資料保護法第六條第一項但書第六款立法理由:「本款所稱違反其意願者,例如公務機關 或非公務機關利用權勢、強暴、脅迫等違反其意願之方法取得當事人書面同意。」
141 徐彪豪,前揭註 90,頁 68。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
50
告知義務142。而蒐集非由當事人提供之個人資料,除免除告知義務情形143外,則 應於處理或利用前,向當事人告知個人資料來源及個資法第八條第一項所列事 項。
(二)特定目的利用
我國個資法第五條規定:「個人資料之蒐集、處理或利用,應尊重當事人之 權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目 的具有正當合理之關聯。」原則上蒐集、處理及利用資料時必須符合「目的特定 原則」,係指資料利用者僅得有「特定目的」蒐集、處理資料,並僅得於「原始 蒐集目的內」利用個人資料144。
惟在特種個人資料條文部分,不若個資法第十五條:「公務機關對個人資料 之蒐集或處理,除第六條第一項所規定資料外,應有特定目的……」,以及第十 九條:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,
應有特定目的……」明確表示蒐集或處理應有特定目的。也不若個資法第十六條:
「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職 務必要範圍內為之,並與蒐集之特定目的相符……」,以及第二十條:「非公務機 關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要 範圍內為之……」表示利用資料應與蒐集之特定目或必要範圍內的相符。
上開條文之差異應不代表特種個人資料不須依特定目的蒐集、處理資料,或 不須合於原始目的利用資料。而是因個資法第五條已形成「不得逾越特定目的之 必要範圍」和「應與蒐集之目的具有正當合理之關聯」雙重套環,即使個資法第 六條未有明文,仍不可踰越「特定目的」,並且要符合「原始蒐集目的」。另一方 面,特種個人資料規範較為嚴格,原則上禁止其他目的蒐集、處理、利用,特種 個人資料例外條款,應即為得蒐集、處理、利用之「特定目的」及「範圍」。因
142 個人資料保護法第六條第二項、第八條、第九條。
143 個人資料保護法第九條第二項。
144 個人資料保護法第十五條、第十九條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
此,只要在特種個人資料例外條款範圍內,應即屬於「特定目的」蒐集、處理資 料,並屬於「原始蒐集目的」內利用個人資料。
個資法第六條第一項但書第六款未以明文限於特定目的,而只須經當事人書 面同意之條文,但書也限制本款使用特種個人資料者,應限於當事人所同意之特 定目的且必要範圍內蒐集、處理或利用該等資料,逾越特定目的之必要範圍時,
不得僅由當事人書面同意而蒐集、處理或利用特種個人資料,仍符合「目的特定 原則」。
(三)二次目的利用限制
至於「原始蒐集目的外」,也尌是「二次目的」之利用,須符合法定要件始 得為之145。值得注意的是,不同於個資法第十六條:「公務機關對個人資料之利 用,……但有下列情形之一者,得為特定目的外之利用」及第二十條:「非公務 機關對個人資料之利用,……但有下列情形之一者,得為特定目的外之利用」,
特種個人資料條文並未明文規定得為特定目的外利用之例外,特種個人例外得利 用之六款條文應如前述,蒐集、處理不可踰越「特定目的」,並且利用時要符合
「原始蒐集目的」。
但參酌一般個人資料得為特定目的外之利用條文,個資法第十六條第一項第 五款及第二十條第一項第五款規定:「公務機關或學術研究機構基於公共利益為 統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無
但參酌一般個人資料得為特定目的外之利用條文,個資法第十六條第一項第 五款及第二十條第一項第五款規定:「公務機關或學術研究機構基於公共利益為 統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無