行政機關於蒐集使用醫療資訊之權源與權限

第六章強化醫療資訊隱私權利保護(三)

第二節行政機關於蒐集使用醫療資訊之權源與權限

我國全民健康保險納保人數至 2015 年 5 月止已達 2360 萬人¹³³，納保率超過 99%。各醫療機構依據「全民健康保險保險憑證製發及存取資料管理辦法」第 10 條規定，需在登錄健保 IC 卡後 24 小時內上傳相關醫療資料。各保險服務醫事機構所上傳之醫療資料，成為全國最龐大的醫療資訊庫。

個人資料之蒐集、利用之基本原則，依「個人資料保護法」第 5 條¹³⁴，包括有「尊重原則」、「誠信原則」、「目的拘束原則」以及「不當連結禁止原則」等¹³⁵。亦即資料之蒐集與利用不得逾越特定目的之必要範圍，即不得超越目的明確化及比例原則之範圍，並且應與蒐集之目的具有正當合理之關聯。行政機關於蒐集、利用人民醫療資訊的同時，是否符合「個人資料保護法」之基本原則不無疑慮。以下即針對健保醫療資訊之蒐集、利用的法源及權限分別做討論。

第一項醫療資訊之蒐集

我國在全民健康保險實施之前，個人就醫之醫療資訊均存放於個別之醫療院所。各醫療院所製作之病歷資料均依「醫療法」第 70 條規定進行管理。

1995 年辦理全民健保之後，衛生福利部中央健康保險署(原衛生署中央健康保險局)為主管機關，為了保險相關事宜，於初頒之「全民健康保險法」第 62 條及第 80 條(1994 年 7 月 19 日製訂)規定保險人 (中央健保局)為辦理保險相關業務，可請求醫事服務機關提供病歷及

133 參閱 104 年 6 月全民健康保險業務執行報告，衛生福利部全民健康保險會第 2 屆 104 年第 6 次委員會議

134 「個人資料保護法」第 5 條：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」

135 參閱「電腦處理個人資料保護法」第 6 條立法理由；「個人資料保護法」第 5 條立法理由；

李惠宗，「個人資料保護法上的帝王條款—目的拘束原則」，法令月刊，64 卷 1 期，頁 48-49，2013 年 1 月

109

診療紀錄，為行政機關蒐集醫療資訊提供了法源，由條文說明之目的來看，該資訊之蒐集僅為因應保險事宜。

2000 年開辦電子病歷試辦，開啟醫療資訊電子化時代。2002 年健保 IC 卡使用之後，中央健保局公告「IC 卡資料上傳作業說明」，部分醫療資訊可經由資訊系統上傳至行政機關，開啟了醫療資訊電子化之傳送。隨著電子病歷之發展，各項醫療紀錄、檢驗報告，影像圖檔或用藥等均轉為電子化之資訊記載，IC 卡資料上傳的內容也更為多樣。

2009 年起我國正式邁入電子病歷時代，各項醫療資訊源源不絕地上傳至健保署。行政機關蒐集醫療資訊的法源依據仍是 1994 年所頒佈之「全民健康保險法」，現行資訊蒐集之內容是否仍符合原法的目的不無疑慮，對於個人醫療資訊隱私權或自主權之影響是否有違比例原則仍有可議之處。隱私權為憲法所保障，對於隱私權可能之限制，

應以法律授權方可為之，但在 2011 年「全民健康保險法」修正之前，

醫療資訊上傳之規定僅在於行政機關之行政命令。2011 年修正之「全民健康保險法」第 16 條，正式將電子資料上傳法制化，但該條文中對於醫療資訊蒐集的目的並未說明，而且將傳送之資料內容(得蒐集之資料)授權保險人訂定，在蒐集目的不明確下授權由資料蒐集者自行訂定蒐集之內容，此種球員兼裁判之立法方式令人難以理解。又修正後之第 79 條¹³⁶、以及第 80 條¹³⁷，賦予主管機關可取得被保險人(即民眾)的病歷資料，但仍須受「個人資料保護法」所規範。主管機關取得病歷資料的目的依「全民健康保險法」所揭，是為了辦理保險相關業務以及審議爭議事項，如非前揭事項，應依「個人資料保護法」第二章之規定辦理。

第二項健保資料之利用

中央健保署辦理全民健保業務，要求所有醫療機構提供病人醫療

136 「全民健康保險法」第 79 條：「保險人為辦理本保險業務所需之必要資料，得請求相關機關提供之；各該機關不得拒絕。保險人依前項規定所取得之資料，應盡善良管理人之注意義務；

相關資料之保存、利用等事項，應依個人資料保護法之規定為之。」

137 「全民健康保險法」第 80 條：「主管機關為審議保險爭議事項或保險人為辦理各項保險業務，

得請保險對象、投保單位、扣費義務人及保險醫事服務機構提供所需之帳冊、簿據、病歷、

診療紀錄、醫療費用成本等文件或有關資料，或對其訪查、查詢。保險對象、投保單位、扣費義務人及保險醫事服務機構不得規避、拒絕、妨礙或作虛偽之證明、報告或陳述。前項相關資料之範圍、調閱程序與訪查、查詢等相關事項之辦法，由主管機關定之。」

110

資訊係基於法律規定與執行法定職務，所蒐集之健保資料運用於健保相關業務如費用給付、進行資料統計以改善健保品質等，其合法性應是無庸置疑，即使如此，該特定目的仍須明確界定範圍；但若將健保資料使用於健保相關業務以外之事項，即屬蒐集目的外之利用，自當受「個人資料保護法」公務機關於蒐集之特定目的外利用之約束。

第一款特定目的

我國「個人資料保護法」第 5 條規定，對於個人資料之處理應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。「尊重原則」、「誠信原則」、「目的拘束原則」與「不當聯結禁止原則」為個資保護的基本原則。無論是歐盟、美國或我國對於個人資料之蒐集利用，均嚴格要求必須在特定目的內方可為之，此目的拘束原則可說是「個人資料保護法」之帝王條款¹³⁸。

目的拘束原則或特定目的之內涵或範圍，並非只要能描述的理由都可以是特定目的。歐盟「個人資料保護指令」第 6 條即要求個資之蒐集必須出於具體、明確且正當之目的，而資料之利用不得違反蒐集之目的。針對蒐集目的必須符合的具體、明確、正當三要素，歐盟個資小組特別提出說明詮釋¹³⁹：「具體」為相對而非絕對之概念，因此歐盟個資小組認為所謂具體，應指足以指引個資運用的方向。而「明確」是指所有個資的相關人，包括當事人、管理者、使用者等對於目的均有相同之了解，具有可預測性，對於目的的詮釋應該包括當事人的合理期待，一般人對於相同狀況下的理解，而非由管理者所決定。

至於「正當」就是要合法，此處之法包含了成文法、不成文法、判例或憲法原則。

第二款蒐集目的內利用

依「全民健康保險法」規定，現行全民健保的醫療給付制度，被保險人就醫所產生的費用是經由醫療服務機構向保險人申請，保險人審核後撥付款項給醫療服務機構，被保險人不需主動申請；即使所申

138 李惠宗，「個人資料保護法上的帝王條款—目的拘束原則」，法令月刊，64 卷 1 期，頁 48，

2013 年 1 月

139 Article 29 Data Prortection Working Party, Opinion 03/2013 on Purpose Limitation, 00569/13/EN , WP 203 (2012)；轉引自李婉萍，「歐盟個資小組對『目的拘束原則』之詮釋及該詮釋對界定個資法上『特定目的』之啟發」，科技法律透析，第 25 卷第 9 期，頁 20-21，2013 年 9 月

111

請費用不符合健保要求而減少給付或不予給付，被保險人也不需負擔額外費用，這些是全民健保與一般商業保險不同之處。全民健保為社會福利給付，是主動給付，受「全民健康保險法」所規範，自與商業保險的被動給付不同。依「全民健康保險法」第 79 及 80 條規定，保險人(政府)依法可不經病患授權而要求醫療服務機構提供病患的各項醫療資訊；而商業保險於被保險人申請給付時，為保險給付需要，

須請醫療機構提供相關病歷，因此於被保險人提出申請時，也要求被保險人簽具同意書以便醫療機構據以提供就醫紀錄

依據「全民健康保險法」第 4 條，行政院衛生福利部為施行全民健康保險的主管機關。依據同法第 79 條：「保險人為辦理本保險業務所需之必要資料，得請求相關機關提供之；各該機關不得拒絕。保險人依前項規定所取得之資料，應盡善良管理人之注意義務；相關資料之保存、利用等事項，應依個人資料保護法之規定為之。」及第 80 條：

「主管機關為審議保險爭議事項或保險人為辦理各項保險業務，得請保險對象、投保單位、扣費義務人及保險醫事服務機構提供所需之帳冊、簿據、病歷、診療紀錄、醫療費用成本等文件或有關資料，或對其訪查、查詢。保險對象、投保單位、扣費義務人及保險醫事服務機構不得規避、拒絕、妨礙或作虛偽之證明、報告或陳述。前項相關資料之範圍、調閱程序與訪查、查詢等相關事項之辦法，由主管機關定之。」保險人(即全民健康保險署)可依業務需要強制蒐集相關資料，

包含病歷以及診療紀錄，但其他保存、利用事項的規定則適用「個人資料保護法」。

中央健保署為全民健康保險業務主管機關，於業務職掌範圍內，

為了保險醫事服務機構醫療費用給付、改善醫療資源耗用、並可掌握保險人之就醫次數、用藥及檢查等狀況，依據相關法規包括：「衛生福利部組織法」第 2 條、第 5 條，「全民健康保險法」第 69 條、第 70 條，「全民健康保險醫療辦法」第 8 條、第 9 條，「全民健康保險醫療費用申報與核付及醫療服務審查辦法」第 3 條(申報)、第 30 條 (檔案分析)等¹⁴⁰，蒐集由各醫事服務機構提供之醫療資訊後，據以支付醫療費用或進行費用核刪、補付等，並可掌握個別被保險人就醫狀況，提

在文檔中以HFMEA檢視醫療資訊保護之法制 (頁 125-142)

第六章 強化醫療資訊隱私權利保護(三)

第二節 行政機關於蒐集使用醫療資訊之權源與權限

第六章強化醫療資訊隱私權利保護(三)

第二節行政機關於蒐集使用醫療資訊之權源與權限