醫療隱私與法律風險


施茂林


晚近科技快速發展,人類知識之累積、傳承、應用與創造俱連增進,各類知識之資料急速成長,也促導資訊之發達,將有意涵之資料轉化成為資訊,而資訊處理之重點在於儲存知識,使知識本質成為有系統化、結構化之資訊,有助於生活之便利與工商之便捷,然因資訊具有可多重複製特性,容易傳遞、輸送與交流,其內容也相對容易洩露,個人隱私資料也隨之容易被探索,也容易外洩,而且個資之蒐集與利用可得到無窮商機,許多產業也常認為在競爭生態之中,挑戰之關鍵點在於「如何有效應用顧客之數據資料」,其中當然涵蓋個資隱私與外洩之可能性,凡此俱見個資與隱私保護,成為法律保護之重要課題。
醫療機構內之醫療人員主宰著每個人之生、傷、病、老、死所面臨之診療醫治與照護,現今社會對於醫療品質除要求醫術精良之外,亦漸趨重視個人醫療隱私權益之保護。病人自初診掛號、就醫流程、診療程序等與醫療人員互動所產生的所有健康相關資訊,包含個人基本資料、病情主訴內容、病歷書面文字、醫事影像資訊等皆為醫療隱私之範圍,而病人隱私之保護,於立法方面除了醫療法規有明確規範外,行政方面亦列為醫院評鑑與考核之重點項目 ,足見醫療隱私保護之重要性與必要性已是趨勢潮流。

 

有關病人隱私、秘密之保護,在諸多國際醫師宣言與文獻中,明白揭櫫其理念,如1948年世界醫學會在日內瓦召開大會時,公布週知的世界宣言(Declaration of Geneva),要求尊重病人秘密;1973年世界醫學會在慕尼黑通過「對醫療作業使用電腦的聲明」(Statement on the use of computers in medicine)建議電腦與電子資料處理病人資料時,應竭所能保衛病人之隱私權,防止外洩;1981年里斯本宣言( Declaration of Lisbon )指明病人有權要求醫師對其病情與病歷記錄保守秘密,我國醫師倫理規範亦載明醫師不得洩漏病人之秘密,護理倫理規範亦有此等精神。
行政院衛生署(現為衛生福利部)於2009年9月10日公告「『門診』醫療隱私維護規範」,嗣後有鑑於醫療隱私保護有擴大至醫療機構全院,包括門診、手術、住院之醫療期間皆有適用之必要,衛生福利部乃於2015年1月30日衛部醫字第1041660364A號函將其修正頒布為「『醫療機構』醫療隱私維護規範」,觀其目的係衛生福利部為規範醫療機構之醫療人員於執行醫療業務時,應注意維護病人隱私,減少程序疑慮,以保障醫病雙方權益。醫療機構若違反上述規範,按醫療法第103條第1項第2款規定,處新台幣5萬以上25萬元以下罰鍰,同時亦列為衛生局考核與評鑑項目,醫療環境及就醫程序應符合病人隱私權維護規範。
維護人性尊嚴與尊重人格自由發展,為自由民主憲政秩序之核心價值,憲法對隱私權雖未明文,但基於人性尊嚴與個人主體性之維護及人格權發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權為不可或缺之基本權利,受憲法第22條之保障,公民與政治權利國際公約第17條多亦寓其意旨,足見隱私權保護之重要 。
1890年美國聯邦大法官Louis Brandies將隱私權分為身體隱私權、通訊隱私權、領域隱私權及資訊隱私權,讓隱私權之範圍逐步明確,惟隱私權之保護並非無限上綱,於涉及公共利益時得加以限制之,如何衡平公共利益、第三人利益及個人隱私之保護,是維護病人隱私權益將面臨到之問題,例如傳染病防治法第39條醫師報告義務、第40條醫療人員報告義務等,均明文規定須向主管機關報告醫師、法醫師等,發現傳染病或疑似傳染病時,應立即採行必要之感染控制措施,並報告當地主管機關。因此,個人醫療隱私之保護必須受公共安全及公眾利益之限制,原則上係依個案認定,衡量個人之隱私保護與公共利益,何者較值得受保護,而非一昧的偏重個人之醫療隱私,以免失平。
雖然各國未必訂有統一之個人資料保護法規,然隱私之保護卻是各國皆認同應予保護之基本權利,並分別於不同領域中制定適當之隱私保護規範,例如美國係於醫療領域制定醫療資訊之隱私及資安保護,1996年的健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996,HIPAA)將病人健康資料隱私權加入保護範圍 ,授權美國健康人類服務部,制定相關的行政命令。2003年其制定「個人可辨識健康資訊隱私標準」(Standards for Privacy of Individually Identifiable Health Information),簡稱隱私規則(Privacy Rule)與保護電子受保護健康資訊之資安標準(Security Standards for the Protection of Electronic Protected Health Information),簡稱資安規則(Security Rule)。2009年時,美國又通過「經濟和臨床健康之健康資訊科技法」(Health Information Technology for Economic and Clinical Health Act)簡稱HITECH法,修正隱私規則,加重違法之罰責及增加被涵蓋機構及商業夥伴之行為義務等。
我國亦於1995年8月11日公布「電腦處理個人資料保護法」係鑒於電腦科技發展日新月異,個人資料如姓名、身分證字號經過電腦處理後,得以大量儲存及利用,若運用不妥,將嚴重侵害個人隱私權益,因當時法律尚不足以完全規範此種新科技附隨而來的弊端乃制定該法。施行後,因保護客體僅限於電腦資料、非公務機關僅限於八大行業、對於特種個人資料保護不周、損害賠償機制不完善、當事人權利保護不足等原因,導致施行成效不彰。嗣後,2010年4月27日立法院三讀通過「電腦處理個人資料保護法」修正草案,並更名為「個人資料保護法」(下簡稱個資法),同年5月26日經總統公布生效,其後於10月1日正式施行,足見醫療隱私及資安保護之重要性甚高。
醫療隱私之保護既然如此重要,但醫療系統在規劃各類改革或改造策略與措施時,因欠缺風險意識未必重視病人隱私問題。是以,可參採美國推行TQM「全面品質管理」計劃(Total Quality Management)強調醫方資料處理、收集、整體分析至報告與運用,審慎評量隱私權之維護。
從社會事例觀察,醫療資料外洩事件仍層出不窮,顯示醫療隱私保護仍有改善空間。常見醫療隱私外洩情況如下:
(一)名人醫療問題:事件(1)台北一醫師在2014年10月的記者會中,爆出國安會秘書長,被醫院救了一命,引發病人隱私權討論。事件(2)2013年底,F1賽車冠軍,在法國東南部阿爾卑斯山脈度假勝地,滑雪時不慎摔倒,頭部撞擊致重傷昏迷,腦部大量出血,性命垂危。事件(3)溫哥華衛生局女護士助理,因「好奇」,未經授權偷看5個著名傳媒人在溫哥華綜合醫院(VGH)的保密電子病歷,被依侵犯病人隱私而遭解僱。事件(4)知名減¬肥醫師,因公布其病人之病歷,違反醫師¬法第23條,侵犯病人隱私。事件(5) 2006年台中市長選舉期間,多位醫師公布候選人病歷,嗣後該病歷外洩案的9名醫師,不服被醫懲會處分,提起行政訴訟。台北高等行政法院認為,公布之醫師違反醫學倫理、破壞醫病關係,判決9人敗訴。
(二)醫療人員行為個資外洩:事件(1)三軍總醫院醫護人員拍攝「整外忘年會短片」上傳網路,內容包含病人手術照片,還加上戲謔字幕,明顯侵害病人隱私權益。事件(2)林口長庚護理師,將病人精液檢驗單po臉書,雖未公布個人資料未違反個資法、護理人員法,但已違反該院護士倫理規範。事件(3)台東某醫院護理師在手術室協助病人進行心導管手術,趁病人麻醉且身插導管時,拿手機拍照po臉書打卡。事件(4)新北市某醫院護¬士,擅自將切腹病人肚破腸流照片上傳臉書,遭新北市衛生局裁處1萬2千元罰鍰及停業1個月的處分。事件(5)美國馬里蘭州約翰霍普金斯醫院負責營運之巴爾的摩約翰霍金斯社區醫學診所婦產科醫師,自2005年起涉嫌偷拍女性病人接受內診時密錄其私處。
(三)醫療糾紛導致:病人為應訴舉證之需,須將就診之醫療隱私資料陳述法院,期待法院能做出符合病人要求之判決,例如病人起訴某牙醫診所為被告,判決內容即將病人醫療情形完全公開,該病人主張就診後出現:1.顳顎關節萎縮、2.牙床骨萎縮、3.右臉牙齦腫脹、4.刷牙時牙齦流血疼痛以致於無法進食、5.精神萎靡不振、6.右臉顏面神經麻痺有三叉神經疼痛不能張口及二側內耳不平衡、7.右側太陽穴顴骨及臉頰凹陷等傷害,足見醫療糾紛亦為隱私外洩原因之一。
(四)其他事例:事件(1)愛滋感染者權益促進會公布,近7成愛滋感染者人權受損,包括被拒絕醫療、警政、獄政或役政等,未經同意擅將疾病隱私曝光等。事件(2)Google眼鏡已被帶入臨床醫療或手術階段,搭配各種醫療軟體,成為醫師看診治病的新利器。但有研究報告指出,Google眼鏡有電池續航力差、錄影難準確對焦,並且有揭露病人隱私與造成醫師分心的可能。事件(3)台大醫院舊院區眼科門診,有多位大陸醫療人員在國內旅行社帶領下,進入眼科門診參觀拍照,病人隱私受侵害。
在現在資訊發達之際,隱私權中之資訊隱私權,最為重要。蓋此項資訊自決權,對自身所有資料擁有控制權,非經本人允諾,不得任意蒐集、儲存、利用及傳遞。醫療機構擁有大量病人資料,凡處理醫療事務之人員如醫師、護理師、護士、行政人員、委外人員等,均會接觸病人之個人資料,病人受限於醫療體系環境,難以保護個人醫療隱私,例如醫療機構資料紙本、電子病歷管理、處方箋傳送、轉診資料傳遞、主管機關之稽查等,此種攸關病人一切資料之醫療隱私,皆與個人資料隱私權,密不可分,均需在法律保護之列。病人之醫療隱私除實體資料的形式保護外,更重要的是落實病人實質隱私保護,例如病人就診時的叫號不宜呼喚全名、公告預約病人次序之揭示牌不應揭露全名,而為宣導醫療技術與成果,亦不應公布相片或可推測出病人身分之資料。
近期病歷中文化入法議題,因立委提案又浮出檯面,台北市柯市長認為要實施病歷中文化必須做好相關配套措施,才有可能實現此理想,目前暫不可行。然醫界反對原因為:1.醫學專用名詞尚無翻譯中文之統一用詞;2.以中文字呈現病名,病人未必就能理解其內容;3.醫學教科書多為英文,病名中英轉換有困難;4.病歷中文化無法與國際接軌等。另國民健康署署長於2015年1月18日在其臉書發文,認為病情皆以中文字呈現恐有侵害隱私權之虞,若持平看待病歷中文化,此政策亦有造成「醫病皆傷」之問題 。雖然病歷中文化有侵害病人之醫療隱私之虞,惟醫療隱私之保護主體應為病人而非病歷,其核心價值為維護病人之人性尊嚴。是以,當病人自身都無法理解其所患病症為何,對於病人而言,豈非喪失其自身使用病歷之權益。由此可見,目前病歷中文化入法,在醫界、法界、病人間,雖未有所共識,但至少在病人要求提供中文病歷時,醫療人員應開立中文病歷摘要 ,醫療法施行細則第49條之1亦明文,必要時提供中文病歷摘要,係指病人要求提供病歷摘要時,除另有表示者外,應提供中文病歷摘要。如此始可更加保護及保障病人之病歷使用權與自主決定權。
隨著科技日新月異,電腦網路資訊流通快速,若無完善的資料安全管理措施,舉凡電腦程式、作業系統、資料庫系統、網路、應用程式、密碼設定等,均須注意防毒防駭,因此要先了解駭客是利用何種方式入侵,才能針對各項目進行有效防禦 ,達到安全使用電腦系統完成記錄之功能,否則易造成侵害個人醫療隱私之問題。另外,若醫療從業人員缺乏法制觀念或經驗不足時,亦可能造成病人權益損害。因之,妥善運用病人資料庫與電腦科技之海量資料分析,常見如醫學研究或基因資訊研究等都涉及大量資料之運用,俾能同時創造醫療產業的經濟價值與衡平醫療隱私權益之保護,均為目前極具重要性之議題。