私立長期照顧服務機構 個人資料管理法遵要求與潛在風險

私立長期照顧服務機構 個人資料管理法遵要求與潛在風險
2023/11/14
作者/專欄

個人資料保護法為因應個資事故頻生, 於2023年5月31日加重罰則,促使各界重視個資保護事宜。然而實際上自2021年以來行政院即透過個資聯繫工作會議,要求各部會逐步協同強化對民眾個資保護事宜。

其中衛生福利部長期照顧司於2022年2月18日公告預告訂定「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」之草案(下稱「草案」),並於同年6月22日完成發布「私立長期照顧服務機構個人資料檔案安全維護計畫實施辦法」(下稱「辦法」)。雖然「辦法」的名稱增加「私立」一詞,似乎限縮受規範主體範圍,惟由「草案」及「辦法」第 3 條之說明可知,主管機關本為規制私立長照機構,蓋公立長照機構已屬個資法上所稱公務機關,而另從其他規定。

個人資料保護法於2023年5月31日加重罰則,衛生福利部長期照顧司亦加強私立長照機構對個資的保護措施。(圖片來源/iStock)個人資料保護法於2023年5月31日加重罰則,衛生福利部長期照顧司亦加強私立長照機構對個資的保護措施。(圖片來源/iStock)

按「辦法」總說明第二段,其目的在於加強私立長照機構對個資的保護措施,維護個資安全性及正確性,並建立對個資之管理、稽核、保存及改善機制。可知個資法施行細則第12條所規定之各項技術上及組織上之安全維護措施,即為「辦法」的主要參考對象。私立長照機構執行個資安全維護計畫時,亦宜參考此相關規定,以為依歸。

比較「草案」及「辦法」,值得注意之相異處,在於私立長照機構許可床數達二百床以上者,以資通系統蒐用個資之遵法要求。「草案」第5條原擬採資通安全處理法之較寬泛定義,「辦法」則明定應視長照機構實際上蒐用個資法第6條之特種個資,究屬何種類,要求分別採用相對應之資通系統。質言之,「辦法」更為精準貼近實務情況,但也提高私立長照機構執行個資管理的法遵門檻。

然而,個資法及個資管理的概念,基於風險控管而有個案考量的影響,往往難以一概而論,導致業者陷入商業營運需求與窮盡一切保護個資安全間的兩難。其一為個資風險究竟如何按比例原則與規模妥善且合理的予以保護,再者應如何落實相關措施才能滿足法令上對義務要求的滿足。現況也欠缺相關指引,或在實務上發展足以做為參考的基準。「辦法」第9條說明謂,「長照機構與所屬人員,不論是何種法律關係,長照機構都應避免其保管或蒐集、處理及利用個人資料時,違反個人資料保護相關法令規定,導致侵害當事人權益情事」。此一原則揭示私立長照機構蒐用個資之要求與個資管理的準繩。蓋無論基礎法律關係為何,私立長照機構凡蒐用個資者,即宜謹慎應對相伴之法遵議題。

機構都應避免其保管或蒐集、處理及利用個人資料時,違反個人資料保護相關法令規定,導致侵害當事人權益情事。(圖片來源/iStock)機構都應避免其保管或蒐集、處理及利用個人資料時,違反個人資料保護相關法令規定,導致侵害當事人權益情事。(圖片來源/iStock)

[1] 預告訂定「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」草案,衛生福利部長期照顧司,https://www.mohw.gov.tw/cp-18-66247-1.html (最後瀏覽日:2023815日)。

[2] 發布「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」,衛生福利部長期照顧司,https://www.mohw.gov.tw/cp-18-70149-1.html (最後瀏覽日:2023815日)。


財團法人資訊工業策進會 |科技法律研究所

地址:台北市大安區敦化南路二段216號22樓

電話:02-6631-1000

網址:https://stli.iii.org.tw/

Email:alfredtsai@iii.org.tw 蔡易融法律研究員