Pages

Thursday, August 18, 2011

健康雲! 如何防堵個人資料外洩??

白雲或烏雲?從萬芳醫院病歷外洩看雲端隱私 撰文者:張啟聰(開翔商務法律事務所主持律師)發表日期:2011/08/17      編按:日前,萬芳醫院爆發病歷外洩事件,引發各界關注。然而幾天後,衛生署旋即宣布,今年11月起將在全國一百二十六家醫院實施「雲端病歷」,再逐步推廣到全國五百家醫院及二萬多家診所,全面透過雲端分享電子病歷,在最近個資事件頻傳之下,難免蒙上一層隱憂。網路已經是不或缺的生活方式,雲端更是未來網路的趨勢,必然的潮流,感受過雲端的人,相信很難不喜歡雲端的便利。政府近年來在推動雲端科技之發展及應用,不遺餘力,有相當大的成長。日前衛生署公布了「全國電子病歷及影像資訊網計劃」,簡單的來講,就是雲端電子病歷,各醫院診所可以共享在雲端中的病歷,避免重複的檢查與給藥,可大幅提高醫療品質、減少醫療資源浪費,值得鼓勵。網路及雲端科技有極大的便利性,但也同時帶來問題,即資訊安全問題,特別是個人隱私資料,值得大家重視與進一步了解。

有法可管嗎 隱私權有很多層面,如行為、言論、個人資料等,除了民法、刑法或通信保障及監察法等法規外,跟雲端、網路最有關係的,應該是個人資料保護法(以下簡稱為個資法)。個資法所稱之個人資料,指的是跟隱私權有關的個人資料,例如姓名、生日、身分證字號、指紋、家庭及個人背景、醫療、性生活、前科等個人資料,都包括在內。因此,不僅是雲端、網路等電腦處理的個人資料,事實上,只要是跟隱私權有關的個人資料,即使是紙本,都屬於個資法保護的範圍。個資法的前身是「電腦個人資料保護法」,因不合時宜,於2010年大幅修正,並予更名。個資法所適用的個人資料,不論是電腦處理的數位資料,或者是人工處理之紙本資料,都包括在內。日前萬芳醫院發生病人紙本醫療紀錄外洩事件,衛生署僅依據醫療法的規定處以罰鍰,未來,就可以適用個資法來規範。不過,由於個資法牽涉很廣,因此,相關辦法尚未頒行,法務部亦未公告正式施行,估計可能會在2012年。在個資的利用人方面,舊法時期,公務機關全部適用,但非公務機關,僅有法律明白規定或主管機關指定的業別才有適用。新的個資法,則一律適用,所有的公務機關、非公務機關,即使是個人,也均應遵守。因此,在以個人客戶為主的行業,尤其是電腦、網路業、電子商務、房仲業者,如facebook(臉書)Googleyahoo(奇摩)pchome、網拍等,應特別注意。

「知」及「維護」的權利  個資法中,民眾對於其個人資料,有「知」及「維護」的權利。新法規定利用機關(以下機關指公務機關及非公務機關)在蒐集時必須告知當事人。利用機關在蒐集個人資料時,不論是直接向當事人蒐集或透過其他方式間接取得,除了特定事由外,原則上應告知當事人,讓當事人了解或同意。在個資料施行前所間接蒐集之個人資料,在施行後一年內,要補告知。因此,若在施行後,大家可能會收到許多個人資料被間接蒐集的通知。民眾想了解自已個人資料的情形,可以向機關查詢或閱覽,機關有義務要答覆及接受閱覽,民眾亦可以請求機關提供複本。若發現個人資料有不正確的地方,也可以請求機關更正。更重要的是,機關因違法個資法規定,造成個人資料遭到竊取、洩漏、竄改或其他侵害時,應該在查明後通知被侵害的當事人,當事人就可以了解被侵害的情形,並透過民事或刑事手段進行求償或提出告訴。

刑事責任,還有最高2億元的賠償  最常見的個資案件是盜賣個資,東森休閒育樂、警察、海巡署、中華電信、民營電信公司等,都曾爆發個資遭外洩的情形。以往刑事方面,意圖營利,而違法蒐集、處理、利用個人資料,雖然構成犯罪,但因為是告訴乃論之罪。若沒有被害人提出告訴,亦無法處罰,實務上常見沒有被害人出面的情形,形成漏洞。因此個資法將該罪修正為告訴乃論之罪,同時增訂,即使沒有營利意圖,機關違法蒐集、處理、利用(把個人資料提供他人屬於利用行為),亦有刑事責任。在民事方面,以往雖然可以求償,損害不易證明時,法官也可以在2萬至20萬範圍內,決定賠償額,但最後所獲得的賠償的金額,扣除訴訟成本後,能取得金額極為有限,誘因很低,很少人真正出面求償。因此,個資法增訂了團體訴訟的規定,被害人有20人以上時,可以授權給符合資格的財團法人或公益社團法人,由這些法人以自已名義提起訴訟,因為程序上相當便利,且有愈多人受害的案件,其分擔的訴訟費用愈低,相信以後應該會大幅增加民事求償的可能性(但被害人不能或不易證明損害時,每人每件事的賠償金則調低為500元至2萬元)。又同一事件,最高賠償額可高達2億元,對機關而言,是很高的賠償金額,以東森休閒育樂之前爆發離職經理盜賣14萬筆個資,若全數透過團體訴訟求償,賠償金額將高達7千萬至2億之間。此外,主管機關對於違法個資法者,有相關之處罰規定。對於非公務機關,有監督的權限,得進行檢查,要求其提供說明及提供必要的資料,違者亦可處以一定之行政處罰。

企業應如何因應  個資法對於公務機關及非公務機關,關於個人資料的蒐集、處理、利用、安全維護等,有不同的規定。在損害賠償責任方面,公務機關為無過失責任,非公務機關為過失責任,但舉證責任倒置,必須證明無故意、過失,才能免責。對於機關,尤其是企業而言,應建立相關的個人資料之處理制度及進行內部之教育訓練,其中資訊安全佔相當重要的部分。有關個人資料之判斷、蒐集、處理、利用、安全維護(這部分屬於資安)、如何告知當事人、當事人之查詢、閱覽、要求複本、請求更正等請求之處理流程,都應建立一套完整的制度,並對於所有員工進行教育訓練。尤其企業,更應注意在制度設計上,如何注意證據之留存,以便日後在訴訟上能舉證免責,在設計制度時,最好能請教有訴訟經驗之律師。

結論  網路、雲端愈來愈普及,個人隱私被侵害的危險性也就愈高,以往個資遭盜賣案件層出不窮,但都沒能效遏止。為此,個資法大幅修正,修正刑罰相關規定,個案之最高賠償金額提高至2億元,同時增加了團體訴訟的規定,以便被害人求償。企業對此應早日進行規劃,針對相關規定及辦法,建立個人資料處理制度,建全資訊安全,同時注意相關證據之保留,同時對員工進行教育訓練,以面對新個資法的到來。

No comments:

Post a Comment