個人資料保護法為因應個資事故頻生,於2023年5月31日加重罰則,促使各界重視個資保護事宜。然而實際上自2021年以來行政院即透過個資聯繫工作會議,要求各部會逐步協同強化對民眾個資保護事宜。其中衛生福利部長期照顧司於2022年2月18日公告預告訂定「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」之草案(下稱「草案[1]」),並於同年6月22日完成發布「私立長期照顧服務機構個人資料檔案安全維護計畫實施辦法」(下稱「辦法[2]」)。雖然「辦法」的名稱增加「私立」一詞,似乎限縮受規範主體範圍,惟由「草案」及「辦法」第3條之說明可知,主管機關本為規制私立長照機構,蓋公立長照機構已屬個資法上所稱公務機關,而另從其他規定。
按「辦法」總說明第二段,其目的在於加強私立長照機構對個資的保護措施,維護個資安全性及正確性,並建立對個資之管理、稽核、保存及改善機制。可知個資法施行細則第12條所規定之各項技術上及組織上之安全維護措施,即為「辦法」的主要參考對象。私立長照機構執行個資安全維護計畫時,亦宜參考此相關規定,以為依歸。
比較「草案」及「辦法」,值得注意之相異處,在於私立長照機構許可床數達二百床以上者,以資通系統蒐用個資之遵法要求。「草案」第5條原擬採資通安全處理法之較寬泛定義,「辦法」則明定應視長照機構實際上蒐用個資法第6條之特種個資,究屬何種類,要求分別採用相對應之資通系統。質言之,「辦法」更為精準貼近實務情況,但也提高私立長照機構執行個資管理的法遵門檻。
然而,個資法及個資管理的概念,基於風險控管而有個案考量的影響,往往難以一概而論,導致業者往往陷入商業營運需求與窮盡一切保護個資安全間的兩難。其一為個資風險究竟如何按比例原則與規模妥善且合理的予以保護,再者應如何落實相關措施才能滿足法令上對義務要求的滿足。現況也欠缺相關指引,或在實務上發展足以做為參考的基準。「辦法」第9條說明謂,「長照機構與所屬人員,不論是何種法律關係,長照機構都應避免其保管或蒐集、處理及利用個人資料時,違反個人資料保護相關法令規定,導致侵害當事人權益情事」。此一原則揭示私立長照機構蒐用個資之要求與個資管理的準繩。蓋無論基礎法律關係為何,私立長照機構凡蒐用個資者,即宜謹慎應對相伴之法遵議題。
[1] 預告訂定「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」草案,衛生福利部長期照顧司,https://www.mohw.gov.tw/cp-18-66247-1.html (最後瀏覽日:2023年8月15日)。
[2] 發布「長期照顧服務機構個人資料檔案安全維護計畫實施辦法」,衛生福利部長期照顧司,https://www.mohw.gov.tw/cp-18-70149-1.html (最後瀏覽日:2023年8月15日)。