淺談電子病歷之推動與隱私保護

廖淑君／資策會科技法律中心法律研究員

今年年初衛生署表示將於未來五年內投入20億臺幣，推動病歷電子化和網路化，民眾將可以隨身攜帶病歷，預計醫療支出將可降低100億元以上。我國已於數年前改修醫療法，且主管機關亦已依母法之授權，訂定醫療機構電子病歷製作及管理辦法，使病歷電子化於法有據。

個資法與醫療資訊隱私之保護
目前我國有關醫療資訊隱私保護之相關法規，係見於電腦處理個人資料保護法（以下簡稱個資法）與醫療相關法規。

據個資法第3條第1款之規定，經電腦處理之病歷，即電子病歷為個資法之保護客體。但是，個資法並未對病歷有所定義，按醫師法第12條之規定，病歷係醫師於執行業務時所作成者，內容除包括病患之姓名、出生日期、性別、住址等基本資料外，尚包括病患之就診日期、主訴等資訊。又按醫療法第67條之規定，醫療機構必須建立清晰、詳實且完整的病歷，包括醫師依法執行業務所製作之病歷、各項檢查或檢驗報告資料，以及其他各類醫事人員執行業務所製作之記錄。

由此觀之，醫療法所稱病歷其範圍較大，基於保護個人資訊隱私之目的，且病歷電子化之推動係以醫療機構為主，故對於病歷之解釋或採醫療法之定義較為妥適與周全。

按個資法第3條第7款之規定，醫院為個資法之規範主體。但是，個資法並未對醫院有所定義。參酌醫療法第12條第1項之規定，醫療機構有三類，分別是（一）醫院，為設有病房收治病人者；（二）門診，為無設置病房，僅供應門診者；（三）其他醫療機構，為有辦理醫療業務，但不以直接診治病人為目的者。如參酌醫療法之定義，個資法所稱之醫院的範圍將相當狹隘，部分實施病歷電子化之醫療機構將無法適用於個資法，而做此解釋是否會與個資法之立法目的相左，又或適用範圍有限，而對個人醫療資訊隱私保護不足，不容疑義。

為解決個資法適用上的不足，我國政府已提出個資法修正草案，該法將擴大規範主體，對非公務機關之定義不限於特定行業，未來只要實施病歷電子化之機構，皆為個資法規範對象。

醫療相關法規與醫療資訊隱私之保護
現行醫療相關法規對於病歷之作成、保存、修改等皆有所規範，但實質而論，醫療法規非以保護病患之資訊隱私為主要目的，係以規範醫療人員和醫療機構為主，確保醫療品質與醫療資源的平均分配，能否有效地保護個人之醫療資訊隱私，仍有商榷之空間。

以病歷之刪改為例，基於對個人資訊隱私之保障，個人應有權要求保存其個人資料之機關刪除其個人資料，意即要求醫院刪除其病歷，但按醫療法第68條之規定，「病歷或記錄如有增刪，應於增刪處簽名或蓋章及註明年、月、日；刪改部分，應以畫線去除，不得塗燬」，且按醫療機構電子病歷製作及管理辦法之規定，電子病歷如有經刪改，經刪改之處，需予以保留，不得刪除。如此看來，醫療法之立法似未能完全達到保護個人資訊隱私之目的。但是，考量醫療法規之目的，立法者必須於醫療人員與病患之權益間取得平衡，於醫療糾紛發生時，病歷係為重要的證據，故有關病歷之增刪宜有相關記錄，不宜銷毀之，對病患之資訊隱私保護要求在此或許有必要退讓。

總結來說，我國現行法規能否有效地保護個人之醫療資訊隱私，有待商榷。病歷電子化之成功推動，除醫療機構導入電子化之誘因需納入考量外，民眾對使用電子病歷之信心與信賴亦不容忽視。因此，與醫療資訊隱私保護相關之法律議題宜詳加檢視，並為適當之調整。