個人資料保護法 病歷資料 醫療隱私 隱私權

醫療個資具隱私必要性 借鏡國外法規有跡可循

2017-03-23
關於醫療隱私及爭議之實務案例,歷來即屢見不鮮。春節期間甫誕下二千金的知名藝人隋棠,其於孕期間產檢過程中,對於在診間內「被動」接收前一組患者病情資訊,然後又被後一組患者接收醫師對自己診察之妊娠資訊,即甚感困擾並拋出對我國醫療隱私問題之關切。
在我國個人資料保護法施行四年餘後,國內醫療機構對於病患隱私、病歷資料的處理、利用及病歷存取管理流程之資訊安全防護是否周延?如何才能避免違反相關法令規定?法遵成本考量與病患隱私及個人資料保護,又該如何取得平衡?

醫療機構應重個資 維護病患身心隱私

農曆年節假期過後,全國各大醫療機構湧入患者,尋求醫師及醫事人員診治休假期間就醫無門之身體疾患。姑且不討論健保制度及保費之合理性與國人逛醫院(Hospital Shopping)行為之關聯性,也不碰觸「分級醫療制度」是否落實。

然而,國人在享受高醫療服務品質、低健康保險負擔的同時(即俗稱的高CP值),卻往往被犧牲掉「隱私保護」及「個資安全」。

春節期間甫誕下二千金的知名藝人隋棠,其於孕期間產檢過程中,對於在診間內「被動」接收前一組患者病情資訊,然後又被後一組患者接收醫師對自己診察之妊娠資訊,即甚感困擾並拋出對我國醫療隱私問題之關切。

關於醫療隱私及爭議之實務案例,歷來即屢見不鮮。先不說早年曾發生公立醫院將病歷充作回收便條紙使用,致病患個人資料及隱私外洩,而有遭他人違法利用個資或侵害隱私之虞。筆者嘗陪同家人赴國家級醫學中心等級醫院就醫,於院內轉診時,該院病歷管理單位人員疑因傳遞作業不及,而逕將病歷交由筆者持有後,陪同其就診。

再有陪同內人赴知名區域醫院進行產檢時,某婦產科名醫僅單一夜間門診診次,就高達六、七十位患者。該診間貼心於流程中安排讓序號在後之次順位及次次順位候診者及其家屬,提前進入診間內「待命」。殊不知順位在前的患者,其診療過程及醫師問診紀錄,均為其他患者共見共聞,隱私完全被攤在陽光下,如遇患有難言之隱的特殊疾患者,不免難堪。

我們不禁要問,當病患赴醫就診(或選擇名醫)的權利與個人資料(尤其是病歷、醫療、健康檢查等特種個人資料)及隱私保護相衝突時,究竟如何取捨?

他山之石,可以攻錯

早在1890年12月的哈佛法學評論「The Right to Privacy」乙文中,Samuel Warren和Louis Brandeis即針對隱私權著有論述。簡言之,隱私權就是「凡與公眾利益無關,個人保留其獨處且不受外界侵擾之權利」。此外,美國醫院協會(American Hospital Association,AHA)於「病人權利典章(Patients' Bill of Rights)」中亦揭櫫「病人在與其個人相關的醫療計畫中,有權要求任何隱私方面的關注」。

美國目前雖無統一的個人資料保護法,而係針對個別領域制定隱私保護及資安規範。例如在醫療方面,「醫療保險可攜與責任法(Health Insurance Portability and Accountability Act of 1996,簡稱HIPAA)」即授權衛生與公眾服務部,訂定隱私及資安相關安全標準及規則,包括如何以電子文件形式建立、儲存、傳送受保護之健康資料(PHI),確保患者就醫紀錄、健康資訊等隱私安全。凡門診或住院機構、收取醫療服務費用之身心健康服務提供者,均須適用。其後「經濟與臨床健康資訊科技法案(Health Information Technology for Economic and Clinical Health Act of 2009,簡稱HITECH Act)」更針對受保護健康資料之外洩情事,設有行為人通報義務及罰則規定。

廣義醫療品質 應納病患隱私

「醫院應建立醫療品質管理制度,並檢討評估」,醫療法第62條第1項定有明文。同法施行細則第42條復規定醫療品質管理制度,至少應包括之各款事項。此處所謂的「醫療品質管理」,立法上雖保留醫療機構相當之彈性自主空間,但參酌全球個資及隱私保護思維潮流及我國個人資料保護法遵要求,病患之「隱私保 護」及「個資安全」,實有積極納入醫療品質管理之必要,俾期能與國際醫療隱私保護先進國家接軌。

醫事管理成本不是唯一考量

我國醫療機構之醫師、醫事人員的專業、熱忱與辛勞,相信大多數民眾均有目共睹,也都給予高度肯定。工作過時、宵肝以赴、飲食作息不正常對醫護人員而言更是家常便飯。當然,醫療機構可將不敷成本的因素推給「住院診斷關聯群支付制度(Tw-DRGs)」,也可以將醫護人員長期血汗的窘境歸咎於健保總額支付制度,犧牲病患以撙節成本、平衡收支的理由俯拾即是。

我們不樂見醫病關係因個資隱私及資訊安全保護規範要求而愈形緊繃,甚至劍拔弩張,然而,病患之個資及隱私保護是否因而就理所當然地被妥協或犧牲?還是可以求取更好的平衡?例如透過「醫院評鑑」工作,強化「評鑑基準及評量項目」中關於醫療隱私及個人資料保護之控制項(含符合及優良),並定期公告,又或可規劃透過驗證機制,取得具公信力之標章,例如專以我國個人資料保護法為設計核心之臺灣個人資料保護與管理制度(TPIPAS)或針對資訊安全管理系統認證之ISO 27001,均可資參考。

<本文作者:李哲明研究員,長期研究並關注國內外個人資料保護與管理制度、隱私權、資訊安全等相關議題。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!