淺談衛生主管機關對個人資料保護法違規案件之行政稽查

行政院衛生署醫事處

周道君

立法沿革與進度

84.8.11.公布電腦處理個人資料保護法，全文45條

99.5.26.修正為個人資料保護法，全文56條

101.9.21.行政院令除第6、54條，自101.10.1.施行

101.9.26.法務部發布修正個人資料保護法施行細則，自101.10.1.施行

101.10.1.發布修正個人資料之特定目的及個人資料類別

101.9.6. 部分條文(6.41.45.54)修正草案，送立法院審議

個資法修正重點(99.5.修正)

擴大保護客體，不限於電腦處理

普遍適用主體，除單純個人或家庭活動之目的外，不限行業。

特種個資（醫療、基因…）正面表列蒐集要件。

增訂書面同意須經事先告知法定事項，並不得以概括方式取得同意。

從事商品行銷之非公務機關，應於首次行銷時免費提供當事人拒絕之方式。

個資法修正重點

中央目的事業主管機關或地方政府發現非公務機關違法之檢查與必要處分權。

財團法人或公益社團法人之團體訴訟權並得減免裁判費。

對違法蒐集者刑責，區分是否意圖營利。

提高對同一原因事實應對當事人損害賠償總額。(2000萬→2億)

修法前未納管行業，應於修正後補行告知。

特殊個人資料之管理(6)

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限： 法律明文規定。 公務機關執行法定職務或非公務機關履

行法定義務所必要，且有適當安全維護措施。

當事人自行公開或其他已合法公開之個人資料。

公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

為維護公共利益所必要。 經當事人書面同意。

依前項但書規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中第六款之書面同意，並準用第七條規定。

有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限： 法律明文規定。 公務機關執行法定職務或非公務機

關履行法定義務所必要，且有適當安全維護措施。

當事人自行公開或其他已合法公開之個人資料。

公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之。

基本原則(告知同意)

書面同意：經蒐集者告知應告知事項後所為之意思表示。(7)

告知事項：蒐集者名稱、目的、資料類別、利用期間地區對象及方式、當事人權利、當事人不提供之影響。(8)

免為告知事由：法律規定、執行職務或履行義務所必要、妨害公務執行、妨害第三人重大利益、當事人已明知。

意思表示得依電子簽章法規定以電子文件為之。(細則14)

特定目的外利用，應明確告知利用目的、範圍及同意與否對其權益之影響後，單獨為之。

非公務機關對個資規範(一)

蒐集處理應有特定目的及下列要件：(19)

法律明定；

契約或類似契約關係；

公共利益；

當事人自行公開或已合法公開；

書面同意；

基於公共利益為統計或學術研究，且揭露方式無從識別；

取自一般可得來源，但當事人禁止且顯有值得保護重大利益，不在此限。

非公務機關對個資規範(二)

利用應於特定目的必要範圍內。特定目的外利用要件：(20) 法律規定；增進公共利益；當事人書面同意；

免除當事人危險；防止他人權益重大危害；

基於公共利益為統計或學術研究，且揭露方式無從識別。

利用個資行銷，應提供當事人表示拒絕方法，拒絕時應即停止，並支付所需費用。

中央目的事業主管機關對國際傳輸之限制(21)： 涉及國家利益；國際條約或協定規定；接受國個資保護法規不完善；迂迴向第三國傳輸。

非公務機關對個資規範(四)

採行適當安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。其標準由中央主管機定之。(27)

安全維護計畫擬訂原則(細則12)

本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。

前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則： 配置管理之人員及相當資源。 界定個人資料之範圍。 個人資料之風險評估及管理機制。 事故之預防、通報及應變機制。 個人資料蒐集、處理及利用之內部管理程序。 資料安全管理及人員管理。 認知宣導及教育訓練。 設備安全管理。 資料安全稽核機制。 使用紀錄、軌跡資料及證據保存。 個人資料安全維護之整體持續改善。

衛生署對醫院安全維護計畫之構想

管理人員：應指定專責管理人員 個人資料範圍：適時盤點；一定規模以上定期盤點 風險評估：定期辦理；一定規模以上有檢討機制 事故通報及應變機制：應有具體內容；一定規模以上應有演練

蒐集處理利用管理機制：應有具體內容；一定規模以上定期檢討

安全管理：資訊及非資訊得分別規範；對委外廠商應有明確管理規範

教育宣導：每年實施；一定規模以上可有最低時數；醫事人員研擬納入繼續教育範圍

稽核機制：一定規模以上應定期實施 證據保存：醫療個資保存期間同病歷；其他可自訂

個資法違規態樣

刑事罰 行政罰

意圖營利

非意圖營利

§6Ⅰ特殊個資(未施行) §41Ⅱ §41Ⅰ §47

§19蒐集處理 §41Ⅱ §41Ⅰ §47

§20利用/特定目的外利用

§41Ⅱ §41Ⅰ §47

§21國際傳輸 §41Ⅱ §41Ⅰ §47

個資法違規態樣

刑事責任(41、45)(有修正草案) 二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。(告訴乃論)

五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。(非告訴乃論)

刑事責任(42、45) 意圖為自己或第三人不法利益，或損害他人利益，而對於個人資料檔案為非法變更、刪或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人。

五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。(非告訴乃論)

個資法違規態樣

行政責任(47)：5萬元以上50萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之。

裁處機關：中央目的事業主管機關或直轄市、縣（市）政府。

刑事／行政處罰分際

行政罰法26：刑事優先

足生損害於他人之認定？

個資法違規態樣

行政責任(48)：限期改正，屆期未改正者，按次處2萬元以上20萬元以下罰鍰。

違反第8條(告知)或第9條(間接蒐集告知)規定。

違反第10條(查詢權利)、第11條(資料更正)、第12條(違反情形告知)或第13條(按時處理請求)規定。

違反第20條第2項或第3項(個資行銷)規定。

違反第二十七27條第1項(安全措施)或未依第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

個資法違規態樣

行政責任(49)：2萬元以上20萬元以下罰鍰

違反第22條第4項(規避規定、妨礙或拒絕檢查)規定

行政責任擴張(50)：

非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依47、48、49條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。

主管機關稽查處分權限

稽查(22) 中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。

中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同資訊、電信或法律等專業人員共同為之。

主管機關稽查處分權限

正當手段(細29) 依本法第二十二條規定實施檢查時，應注意保守秘密及被檢查者之名譽。

程序正義(細30) 依本法第二十二條第二項規定，扣留或複製得沒入或可為證據之個人資料或其檔案時，應掣給收據，載明其名稱、數量、所有人、地點及時間。

依本法第二十二條第一項及第二項規定實施檢查後，應作成紀錄。

前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副本交付被檢查者；其拒絕簽名者，應記明其事由。

紀錄於事後作成者，應送達被檢查者，並告知得於一定期限內陳述意見。

主管機關稽查處分權限

保全(23) 對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當

之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

異議(24) 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條

之要求 、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、縣（市）政府聲明異議。

前項聲明異議，中央目的事業主管機關或直轄市、縣（市）政府認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

主管機關稽查處分權限

處分(25)：非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分： 一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或命銷燬違法蒐集之個人資料。

四、公布非公務機關之違法情形，及其姓名或名稱與負責人。

中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

衛生主管機關查那些行業？

個人資料保護法非公務機關之中央目的事業主管機關（法務部公告）

醫療服務：醫院、診所 服務業：美髮及美容美體業（瘦身美容業）、餐館業（其他

餐館業）、飲料店業（其他飲料店業）、其他餐飲業 藥事：藥品及醫用化學製品製造業（中藥製造業、其餘藥品

及醫用化學製品製造業）、醫療器材及用品製造業、藥品醫療用品及化妝品批發業、藥品醫療用品及化妝品零售業

食品：肉類處理保藏及其製品製造業（已屠宰肉類）、水產處理保藏及其製品製造業、食用油脂製造業、乳品製造業、碾穀磨粉及澱粉製品製造業（磨粉及澱粉製品製造業）、其他食品製造業、酒精飲料製造業（酒精濃度0.5%以下飲料製造業）、食品飲料及菸草製品批發業（食品飲料批發業、菸草製品販賣業）

未列入的呢？醫事機構、ＮＧＯ

衛生主管機關查什麼？

資料檔案安全維護(27)

業務終止資料處理方法(27)

國際傳輸限制(21)

其他例行性業務檢查(8-13、19-20)

不只查病歷，還要查其他個人資料的管理

衛生主管機關要怎麼查

稽查時機 違規檢舉案件：隨時稽查 例行稽查：督導考核？

行政整備 人力（教育訓練） 經費（外聘專家）

稽查標準： 依個資法27條指定者：非公務機關依主管機關所訂標準，訂定之計畫→標準在政府

非經指定者：個資法細則12→標準由非公務機關自訂？保護客體與保護手段間之比例認定？

報 告 完 畢 敬 請 指 教 感謝聆聽

敬請指教