自律與他律

第四章強化醫療資訊隱私權利保護(一)

第一節自律與他律

對於醫療資訊之保護有賴於機構對於資訊安全風險管理的落實與政府的高密度法規管制。由第三章結論可知，影響隱私權的失效模式中，安全性管理問題所佔比例最高達 53.3%，由此可知安全管理措施之重要性。而落實安全性管理，除了資料持有管理者須善盡機構本身的企業責任，更需要仰賴法規作外部的規範指引，自律與他律缺一不可。

第一項問題分析

在安全管理措施的問題中，依據失效原因的性質再予以類別化，

發現以授權相關的管理問題，如人員資格管理、資料範圍管理等與內部授權相關之授權管理問題最多，約占三成；其次；是資訊系統登入管理問題，約占兩成；查核與資料庫安全防駭或傳輸安全保護問題各占一成；可辨識資料去連結的問題占 7.5%，而其他資料正確性或完整性維持約占 5%。此外有 16.8%為系統登入安全管理問題例如雲端藥歷查詢(如圖十)，因此類問題本質為授權同意問題，將併於第五章討論。

圖八：安全措施問題之類別

授權問題所涉及的是資訊安全金三角中的機密性問題，包括內部人員可能接觸個人資料時，機構如何進行個別授權的行政保障，對於機構內部授權或是當事人之外部授權如何進行安全查核、如何確保依授權目的、範圍或時限處理利用個人資料的科技保障。至於資訊系統登入方式、資料庫或網路安全也是資安機密性問題，需仰賴科技保障。

資料更新、毀損或刪除則是資安完整性與可用性問題，在於機構資訊安全管理系統是否建立流程，是否有風險管理及措施。而去辨識問題，

則涉及機密性與可用性問題。

雖然前述問題多屬機構內部管理，但若是法規未對機構做出適當、

明確的規範，將難以落實資訊安全管理。關於安全管理措施，在我國

「個人資料保護法」中要求無論是公務機關或非公務機關均須實施安全管理，但施行細則中對於安全措施的要求僅作例示參考，欠缺系統性與完整性的安全建置規定，對於資訊安全管理似乎略為不足。而且對於未實施安全管理措施，僅在第 48 條對非公務機關有罰鍰之規定，

但對公務機關則無相關處罰之規定，僅僅在造成當事人隱私侵害時方有賠償責任，如此將大大削弱機構對於設置安全管理措施的強制力，

而間接弱化資訊保護之目的。

第二項他律—安全措施之法規要求

2010 年我國制定「個人資料保護法」並於 2012 年施行，該法對於公務機關或非公務機關於資料保管上均訂有安全措施之規定¹⁰¹。法務部於 2012 年依據該法第 55 條之授權訂定施行細則。關於安全措施之內容，該細則第 12 條第 2 項列出 11 款的內容提供機構參考，各款之內容乃是基於與國際接軌並以 P-D-C-A 方法論建立¹⁰²。

本文認為該條文內容確實將資訊安全國際標準的精神與概念納入，但細究其內容僅僅是將國際標準規範之條文標題寫入，恐空有資訊保護之殼，但缺少實質提高資訊保護之效果。其一、該條文所云「所欲達成之保護目的間，得包括下列事項」，條文中所指之所欲達成保護目的，是誰所欲？如果是國家所欲達到之資訊保護目的，則於母法中應有明確標準，如以「個人資料保護法」觀之，保護之目的應是第 1 條所提之「避免人格權受侵害」，但此目的又過於空泛，難以讓蒐集

101 關於安全措施之規定，如「個人資料保護法」第 6 條第 1 項第 2 款所稱適當安全維護措施、

第 18 條所稱安全維護事項、第 27 條第 1 項所稱適當之安全措施。

102 參閱「個人資料保護法施行細則」第 12 條立法理由

處理或利用醫療資訊的機構能有所依循。若該目的所指，並非是國家之資訊保護目的而是機構之資訊保護之目的，則個人資料保護目標將不一致，目的強度不同也將影響維護資訊安全必要之措施設置。其二、

安全措施應有必須符合與得符合之差別，才能使資訊安全得到有一定之保障以符合保護之目的；例如第 2 款「界定個人資料之範圍」應由法規命令明定之，而非由機構自行界定，機構所需做的是依循法規命令進行所持有資料的清查盤點，是否讓該資料列入保護之範圍；而第 4 款「事故之預防、通報及應變機制」涉及損害發生後之減少傷害，

第 10 款「使用紀錄、軌跡資料及證據保存」涉及證據保全與責任認定問題，此兩款規定應列入必要之措施，不應僅僅是「得包括」；而第 9 款之資料安全稽核機制，應要求包括外部稽核，以確認資訊安全管理系統運作之無虞。此外，該項各款之規定僅為「使各企業得參考所列之 11 款內容，考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上與組織上之措施。」，而非明確規定機關組織應建構的安全措施¹⁰³。「個人資料保護法施行細則」，其法律位階屬於授權命令，依大法官會議釋字 367 號解釋之標準，授權命令應就執行法律有關之細節性、技術性之事項訂定，但不可逾越母法規定之限度內。

但從立法理由觀之，「得參考」、「考量組織規模····依比例原則建立··」

等語句之使用，該項各款之規定僅有建議性質，並非賦予法律上強制力來督促機關組織實施應有之安全管理，亦即該項只有行政指導的作用而非行政命令，縮減行政命令應有之功能。美國資訊「安全規則」

中對於機構所必須執行之安全措施也有因應機構規模大小、所需費用等提出彈性措施，但是資訊「安全規則」建立了一套國家標準，機構必須遵循此一標準，公民權利辦公室(Office for Civil Rights，OCR)對於申訴案件也將依循此標準來進行調查與審視。

第三項自律—資訊安全與標準化

所謂資訊安全，依據 ISO/IEC 27001 及我國國家標準 CNS27001

的定義是「保存資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)」，而此定義也是美國衛生部訂定的資訊「安全規則」

(Security Rule)所要求之基本義務。單一機構進行內部資訊安全管理時，

必須符合法規要求或是資訊主體的期望；在與其他機構進行資訊傳輸時，所使用資訊的編碼格式，對方所建置的安全管理系統，也都影響

103 參閱中華民國 101 年 9 月 26 日法務部法令字第 10103107360 號令公布「電腦處理個人資料保護法施行細則」修正說明

資訊的機密性與可用性。要確實實踐資訊安全的機密性、完整性與可用性三項義務，必須在資訊管理建立一致性的規格與標準，這就必須仰賴標準化的管理。正如我國「標準法」第 1 條所述，標準化的目的就在於謀求改善產品、過程及服務之品質、增進生產效率、維持生產、

運銷或消費之合理化，以增進公共福祉。

至於「標準」和「標準化」之定義，根據 2009 年 7 月 29 日所修

訂公布的 CNS 13606 (2004 年第 8 版 ISO Guide 2)，定義「標準」為

「經由共識所建立且由某一認可的機構核准，提供共同與重複使用於各項活動或其結果有關的規則、指導綱要或特性所建立之文件，期使在某一特定情況下獲致秩序的最適程度。標準的制定須依據科學、技術及經驗的統合結果，其目的在促進社群的最適利益」。「標準化」則定義為「在一定的範疇內，針對實際或潛在的問題，建立共同而重複使用的條款之活動，以期達成秩序的最適程度」。而我國「標準法」

第 3 條對於標準之定義則為：「標準：經由共識程序，並經公認機關 (構) 審定，提供一般且重覆使用之產品、過程或服務有關之規則、指導綱要或特性之文件。」，兩者對於標準之定義相同。標準的形成可以經由知識與經驗的累積，而標準化則是期望以系統的、共通的、協調一致的方法來強化標準之實作。

標準化活動的實施，包括有制定標準、公告及實施標準內容等過

程。實施標準化活動目的是在於改善產品或服務提供之適切性，降低貿易障礙，並能促進技術合作。例如歐盟執行委員會 (European Commission)所制定「個人資料保護指令」，即規定歐盟會員國民眾之個人資料如欲與非會員國間進行流通，該非會員國必須對個人資料有適切的保護，亦即非會員國必須有等於或是優於歐盟指令的個人資料保護之法制方可進行；而國際標準組織或英國標準協會所制定的標準，

是經由專家們共同討論並制訂並且須會員國同意方能發布，若非會員國依該國際標準制訂該國之資料保護法制，就可與歐盟會員國進行資料交換之交流。

標準化於資訊安全，除了可做為內部建立資訊安全管理之參考依據外，在網通科技發達的今日，依國際標準所建立之資安系統才能確保跨域資訊流通時的安全性、機密性，維護資訊當事人的隱私

第四項國際標準化機構簡介

資訊隱私安全管理的國際標準首推 ISO/IEC 27000 系列及 BS

10012 兩類，而 ISO 29100 則協助建立隱私框架。對於國際標準，「標準法」第 3 條之定義為「由國際標準化組織或國際標準組織所採用，

可供公眾使用之標準。」，由此可知我國承認國際標準組織所建立的標準，並足以為大眾所採用與信賴。以下先就國際標準組織或英國標準協會兩個標準系統的組織作簡介：

第一款英國標準協會

「英國標準協會」 (The British Standards Institution，簡稱 BSI)成立於 1931 年，前身是「英國工程標準協會」¹⁰⁴。它的起源可回溯於 1901 年倫敦塔橋的設計者 John Wolfe-Barry 爵士，他考量結構性鋼材的尺寸數量眾多但是缺少統一之規格，因而推動鋼鐵零件的標準化，

在文檔中以HFMEA檢視醫療資訊保護之法制 (頁 86-92)

第四章 強化醫療資訊隱私權利保護(一)

第一節 自律與他律

第四章強化醫療資訊隱私權利保護(一)

第一節自律與他律