【司法講座:電子病歷與隱私保護】6/24 活動紀實
本場次為本法人與台北市醫師公會、中華法學會共同舉辦7場「司法vs醫療專題系列講座」的第一場司法講座,
邀請跨電機工程、法律雙領域、經歷豐富的蕭奕弘律師擔任主講人,
講題內容為「電子病歷與隱私保護」,並由陳孟嬋律師擔任與談人
由左至右分別為:陳孟嬋律師、周迺寬常務理事、黃水通院長、洪德仁理事長、蕭奕弘律師
蕭律師介紹個資法的幾個重要基本原則,
包含:目的限制原則、資料最少蒐集原則、正確性原則、儲存限制原則、原整與保密性原則等,
其次介紹法規對於公務及非公務機關在個資安全維護措施上的要求:
※適當安全措施 PDCA*
|
Plan(計畫) 1. 配置管理之人員(配置相當資源) |
Do(執行) 6. 資料安全管理及人員訓練 |
|
Action(行動) 11. 個人資料安全維護之整理持續改善 |
Check(查核) 9. 資料安全稽核機制 |
*此表格摘錄自蕭奕弘律師PPT講義
**軌跡資料:例如「保存6個月」等
接著講機關遇到個資外洩時之法律上責任:
個資法第29條第1項:非公務機關違反本法規定,致客戶資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明有適當安全措施,不在此限。
結合「公務機關」、「非公務機關」的組織形態,可將責任類型及免責形式整理如下表*:
| 責任類型 | 免責 | |
| 公務機關 | 無過失的事變責任 | 除非損害是因天災、事變或其他不可抗力所致,才可以免責。 |
| 非公務機關 | 舉證責任倒置 | 由被告來證明有適告安全措施。 |
*此表格摘錄自蕭奕弘律師PPT講義
最後就個資保護具體應如何執行提出相關建議。
例如就個資法第27條第1項規定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」,
接著個資法施實細則第12條第2項有如下規定:「(前略)…,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。」
本次課程將法規字面整合成具體建議的檢核步驟*:
| 制度 | 訂定個資安全維護計畫、指定安全維護計畫專責人員 |
| 資料盤點 | 個資種類;蒐集、處理、利用目的;目的消失之刪除銷毀 |
| 人員管理 | 取用權限、儲存媒介物、保密義務、離職人員管理 |
| 資料安全管理措施 | 加密、備份、傳輸、防止外部網路入侵對策、非法或異常使用行為之監控及因應機制 |
| 認知宣導教育訓練 | 所屬人員、負責人及個資管理人員(每年至少一次) |
| 事故機制 | 事故發生後應變措施(控制事故損害、通報)、通知當事人、矯正預防措施 |
| 設備安全管理措施 | 紙本文件保管措施、電子資料存放設備、環境進出管制、銷毀程序 |
| 資料安全稽核機制 | 出具定期稽核報告 |
| 記錄保存 | 個人資料之蒐集、處理或利用紀錄;自動化機器設備之軌跡資料;落實執行安全維護計畫之證據(至少5年**) |
| 整體持續改善機制 | 執行狀況、技術發展、法令修正或其他因素,檢視修改計畫 |
*此表格摘錄自蕭奕弘律師PPT講義
**注意「醫療法第70條第1項:醫療機構之病歷,應指定適當場所及人員保管,並至少保存七年。但未成年者之病歷,至少應保存至其成年後七年;人體試驗之病歷,應永久保存。」
與談人陳孟嬋律師則跟與會者分享:
個資法不僅是為保護個人資料,同時也是為了促進個人資料合理使用。
個資法的適用分幾個階段:
第一,判斷是不是個資法所謂的「個人資料」;
第二,是蒐集、處理;
第三個是對於資料的利用。
整理如下表格:
| 適用判斷 | 法規 | |
| 第一階段 |
資料是不是個資法所定義的 |
.一般資料:個資法第2條第1款 .特種資料:個資法第6條第1款 .其他:個資法第2條第1款: |
| 第二階段 | 蒐集與處理 |
.個資法第2條第3款、第4款 .個資法第4條、第5條:目的與範圍、誠實信用 .「傳輸」:個資法第2條第6款、個資法第5條(移轉)、第21條、第22條、第41條、第47條等 |
| 第三階段 | 利用 |
.個資法第2條第5款等 .個資法第4條、第5條:目的與範圍、誠實信用 .「銷毀」:個資法第25條、第27條等 |
陳律師透過引用實務案例與解釋函令,與與會者互動,讓大家更了解個資法在運用上,有關個資判斷、蒐集、處理、利用的具體情況。
整場演講知識量滿滿!
