{"billNo":"202110135370000","相關附件":[{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/pdf/11/03/17/LCEWA01_110317_00173.pdf","名稱":"關係文書PDF"},{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/word/11/03/17/LCEWA01_110317_00173.doc","名稱":"關係文書DOC"},{"網址":"https://ppg.ly.gov.tw/ppg/RootPath/download/Dpaper/1144501730/1144501730_0_0.doc","名稱":"關係文書(含審查報告)DOC1"},{"網址":"https://ppg.ly.gov.tw/ppg/RootPath/download/Dpaper/1144501730/1144501730_0_2.docx","名稱":"關係文書(含審查報告)DOC2"},{"網址":"https://ppg.ly.gov.tw/ppg/RootPath/download/Dpaper/1144501730/1144501730_0_1.docx","名稱":"關係文書(含審查報告)DOC3"},{"網址":"","名稱":"關係文書(含審查報告)PDF1"}],"議案流程":[{"會期":"11-03-17","院會/委員會":"院會","狀態":"排入院會 (交社會福利及衛生環境委員會)","日期":["2025-06-20","2025-06-24"],"會議代碼":"院會-11-3-17"},{"會期":"11-03-17","院會/委員會":"院會","狀態":"交付審查","日期":["2025-06-20","2025-06-24"],"會議代碼":"院會-11-3-17"},{"院會/委員會":"社會福利及衛生環境委員會","狀態":"委員會審查","日期":["2025-06-26"],"會議代碼":"委員會-11-3-26-18"},{"院會/委員會":"社會福利及衛生環境委員會","狀態":"委員會發文","日期":["2025-07-08"]}],"關連議案":[{"議案名稱":"社會福利及衛生環境委員會報告併案審查行政院函請審議、委員林月琴等21人、委員邱鎮軍等18人、委員王育敏等24人、委員許宇甄等18人、委員林淑芬等22人及委員劉建國等19人分別擬具「全民健康保險資料管理條例草案」案。","billNo":"203110144650000"},{"議案名稱":"行政院「全民健康保險資料管理條例草案」案。","billNo":"201110128510000"},{"議案名稱":"本院委員林月琴等21人「全民健康保險資料管理條例草案」，請審議案。","billNo":"202110131200000"},{"議案名稱":"本院委員邱鎮軍等18人「全民健康保險資料管理條例草案」，請審議案。","billNo":"202110133750000"},{"議案名稱":"本院委員王育敏等24人「全民健康保險資料管理條例草案」，請審議案。","billNo":"202110134460000"},{"議案名稱":"本院委員林淑芬等22人「全民健康保險資料管理條例草案」，請審議案。","billNo":"202110135380000"},{"議案名稱":"本院委員劉建國等19人「全民健康保險資料管理條例草案」，請審議案。","billNo":"202110135440000"}],"議案名稱":"「全民健康保險資料管理條例草案」，請審議案。","提案單位/提案委員":"本院委員許宇甄等18人","議案狀態":"審查完畢","議案類別":"法律案","提案來源":"委員提案","屆期":11,"會期":3,"first_time":"2025-06-20","last_time":"2025-07-08","meet_id":"院會-11-3-17","laws":["07338"],"mtime":"2025-07-08T18:19:28+08:00","字號":"院總第20號委員提案第11013537號","提案編號":"20委11013537","案由":"本院委員許宇甄等18人，鑑於全民健康保險資料屬高度敏感個資，隨著人工智慧與大數據應用快速成長，人民資訊隱私權面臨更高風險；憲法法庭111年憲判字第13號判決意旨，應另以專法明確規範資料利用目的、程序與監督機制，爰擬具「全民健康保險資料管理條例草案」，以落實憲法保障資訊隱私權，強化法治依據與資料治理。是否有當？敬請公決。","提案人":["許宇甄"],"連署人":["楊瓊瓔","廖先翔","黃健豪","林沛祥","邱鎮軍","丁學忠","洪孟楷","邱若華","高金素梅","陳雪生","陳玉珍","黃建賓","陳超明","鄭正鈐","游顥","林德福","呂玉玲"],"對照表":[{"law_id":"07338","law_name":"全民健康保險資料管理條例","立法種類":"增訂條文","title":"全民健康保險資料管理條例草案","rows":[{"說明":"一、本條例之立法目的。\n\n二、為落實憲法法庭一百十一年憲判字第十三號判決（以下簡稱本判決）意旨，就全民健康保險資料於特定目的外之利用及管理制定本條例規範，以完備科技發展下隱私與應用並重，並加強對人民資訊隱私權之保障，增進全民健康福祉。\n\n三、鑑於人工智慧、大數據分析、雲端運算等科技發展迅速，健保資料應用範圍日益擴大，爰於條文中明示需兼顧智慧應用與個人隱私保護，並促進資料在醫療、公共衛生、社福、學術及行政等合法用途之合理運用，以回應時代需求，提升制度正當性與社會信賴。","增訂":"第一條　為規範全民健康保險資料於特定目的外之蒐集、處理、利用及管理，因應人工智慧、大數據分析、雲端運算等新興科技發展趨勢，健全監督機制，確保健保資料之智慧應用與個人隱私保護並重，並促進其於醫療品質提升、公共衛生促進、社會福利推動、學術研究發展及政府機關執行法定職務等方面之合理運用，增進全民健康福祉，特制定本條例。"},{"說明":"本條例之主管機關。","增訂":"第二條　本條例之主管機關為衛生福利部。"},{"說明":"本條例之用詞定義，分述如下：\n\n一、依全民健康保險法（以下簡稱健保法）第七條規定，以衛生福利部中央健康保險署為保險人，辦理全民健康保險（以下簡稱健保）業務；第一款所稱健保資料，指保險人為辦理健保業務，按收入及支出兩大面向，依健保法第十五條第六項（投保、退保）、第二十條第二項（投保金額基準）、第二十一條第二項（投保金額調整）、第三十一條第一項（補充保險費）、第三十四條（補充保險費之計算）、第三十六條（未能一次繳納保險費等之申請貸款或補助）、第四十六條（藥品價格調整）、第五十五條（自墊醫療費用之核退）、第六十二條（醫療服務、藥物給付項目及支付標準）、第七十三條（保險醫事服務機構財務報告）、第七十九條（相關機關提供保險人之資料）、第八十條（保險爭議審議相關資料）、第九十九條（供保險對象紓困資料）等規定，蒐集之承保及醫療服務等各項資料。\n\n二、第二款定明本條例所稱之特定目的意涵。有關主管機關即衛生福利部蒐集個人健保資料之法律規定，依衛生福利部組織法第二條規定，該部掌理健保之政策規劃、管理及監督事項；復依健保法、統計法、衛生福利部處務規程等相關法規規定，進行健保之政策規劃、推動、業務督導及統計，健保資料為衛生福利部有效執行上開法規，所應蒐集、取得之必要資料。又為完備健保資料治理，俟健保法修法時，將於該法定明主管機關蒐集健保資料之目的，以周延其法律依據。\n\n三、當事人於本條例指個人健保資料之本人，爰於第三款定明。\n\n四、為保護個人資訊隱私權，並與國際接軌，參考歐盟一般資料保護規則（The General Data Protection Regulation,GDPR）第四條對於假名化（Pseudonymisation）之定義，經假名化之個人資料，指非透過其他資訊之對照，不能再識別出特定資料主體之資料（no longer be attributed to a specific data subject without the use of additional information）；同時其他資訊應與假名化之資料分開存放，並採取其他技術上或組織上之保護措施（technical and organisational measures），確保無法透過該個人資料連結至特定資料主體或可識別之資料主體；且該規則第二十五條、第三十二條、第八十九條等規定提及資料保護措施及安全性時，均將假名化列為適當保護措施之一種，透過假名化，降低資料主體可能面臨之風險，爰於第四款定明假名化之定義。\n\n五、係因應近年人工智慧技術於醫療資料分析、風險預測與決策輔助等領域之廣泛應用，為強化資料利用的合法性與監督機制，明確納入定義，以作為後續條文中人工智慧風險評估、倫理審查等規範依據，爰於第五款定明人工智慧應用之定義。\n\n六、回應歐盟一般資料保護規則（GDPR）及各國資料保護新趨勢，強調個人對自身資料之控制與移轉權利，亦為數位人權保障的重要項目。當事人可依本條例主張其資料於合法範圍內轉移至第三方使用，強化個資自主性與透明度，爰於第六款定明資料可攜性之定義。","增訂":"第三條　本條例用詞，定義如下：\n\n一、全民健康保險資料（以下簡稱健保資料）：指全民健康保險保險人（以下簡稱保險人）為辦理保險業務，依全民健康保險法所蒐集、處理之資料。\n\n二、特定目的：指主管機關及保險人蒐集個人健保資料之法律規定目的。\n\n三、當事人：指個人健保資料之本人。\n\n四、假名化：指健保資料經處理或加工後，非透過其他資訊對照，不能識別其身分，且該其他資訊應分開存放，並採取技術上或組織上保護措施之程序。\n\n五、人工智慧應用：指以人工智慧技術進行健保資料之學習、分析、預測與生成等行為。\n\n六、資料可攜性：指當事人可請求將其健保資料移轉至第三方合法機構之權利。"},{"說明":"一、依本判決主文第三項意旨，個人健保資料應有組織上及程序上之監督防護機制，爰定明由主管機關組成任務編組性質之諮議會，作為健保資料特定目的外利用之監督防護機制。\n\n二、諮議會具有諮詢及建議功能，依議事學原理，為集思廣益，博採周諮，邀請專家學者及利害關係團體組成合議制任務編組，其不僅具有程序嚴謹化之特徵，且對待決議題有自主判斷、表達見解，以及自由形成意見，作成決定之空間。\n\n三、諮議會除具有諮詢功能外，並有協助爭議處理及提供建議功能；其中第三款、第四款規定，係就主管機關及保險人辦理健保資料特定目的外利用或停止利用申請案時，如發生法規解釋或通案之爭議，諮議會應協助處理或提出專業意見。","增訂":"第四條　主管機關應組成健保資料諮議會（以下簡稱諮議會），其任務如下：\n\n一、健保資料特定目的外利用之管理及監督政策、法令擬訂之建議。\n\n二、健保資料特定目的外利用安全維護措施監督防護之諮詢。\n\n三、申請特定目的外利用健保資料爭議之處理。\n\n四、健保資料經當事人提出停止特定目的外利用或停止提供特定目的外利用爭議之處理。\n\n五、協助主管機關就健保資料之特定目的外利用、管理委託辦理之輔導、評估及監督。\n\n六、定期發布年度運作報告，並納入人工智慧應用倫理審查相關內容。\n\n七、其他健保資料相關事項之建議。"},{"說明":"一、第一項規定諮議會之組成，並定明專家委員之專業及委員性別比例，以確保諮議會之組成廣納健保資料特定目的外利用所涉及之各領域專家學者與相關機關（構）及團體代表。\n\n二、第二項規定諮議會委員任期及續聘事宜。\n\n三、第三項授權主管機關訂定諮議會委員名額、主席產生方式及議事運作等相關事項之辦法。","增訂":"第五條　諮議會置委員若干人，由主管機關就醫事、公共衛生、法律與資通安全之專家學者、人權團體代表、社會公正人士及政府機關（構）代表聘（派）兼之；其中專家學者人數，不得少於委員總數二分之一；任一性別委員，不得少於委員總數三分之一。\n\n委員任期二年；期滿得續聘。\n\n諮議會委員之名額、主席產生方式、會議之召集、出席、決議與議事運作及其他相關事項之辦法，由主管機關定之。"},{"說明":"一、第一項定明主管機關及保險人應備置電腦、相關設施、設備等，建置健保資料之資料庫，指定專責單位及專人管理，其管理方式依當時科技及專業水準辦理；即依資通安全管理法之規定，並導入ISO/IEC 27001資訊安全管理系統（Information Security Management System，ISMS）之國際標準認證，持續強化健保資料之資安管控及防護措施，並按政府機關（構）資通安全責任等級A級機關規範辦理，以維護資料安全。\n\n二、依本判決主文第三項及判決理由第六十五段之意旨，國家強制蒐集個人健保資料並以資料庫儲存、處理、對外傳輸及對外提供利用，應確保該個人健保資料不受濫用或不當洩漏，爰為確保資料之安全性，依資通安全責任等級分級辦法附表十「資通系統防護基準」規定，主管機關建置資料庫所需之健保資料，由保險人將該等資料假名化後，傳輸予主管機關，以維護資通安全，爰為第二項規定。\n\n三、第三項授權主管機關訂定健保資料假名化之程序、作業方式及其他相關事項之辦法。\n\n四、第四項定明主管機關應定期或不定期就第一項資料庫之管理及運用進行相關考核作業，並於發現應改善事項時進行改善。又依資通安全管理法規定，上級機關應稽核所屬機關之資通安全維護計畫實施情形，以確保健保資料相關資料庫之管理及運用符合規定，爰併定明主管機關通知保險人改善規定。","增訂":"第六條　主管機關及保險人應備置電腦、資通系統與資通服務及必要之相關設施、設備，建置健保資料之相關資料庫，及人工智慧異常監控模組，並指定專責單位及專人管理之。\n\n主管機關建置前項資料庫需用之健保資料，由保險人將該等資料假名化後，傳輸予主管機關。\n\n前項健保資料假名化之程序、作業方式及其他相關事項之辦法，由主管機關定之。\n\n主管機關應定期或不定期考核第一項資料庫之管理及運用；發現有應改善事項時，應改善或通知保險人立即或限期改善。"},{"說明":"一、第一項規定健保資料特定目的外之利用及管理事項之權責機關為主管機關及保險人。參考歐洲健康資料空間（European Health Data Space, EHDS）規則第五十五條及第五十七條，其成員國應指定一個或多個負責授權電子健康資料二次利用近用權之健康資料近用機構，依法授權執行資料處理、提供與傳輸等任務；英國衛生與社會照護法（Health and Social Care Act），第九部分（Part 9：Health and Adult Social Care Services：Information）之規定，指定由專責單位負責制定衛生與社會照護之資訊標準格式、建置資訊系統、依法定職權蒐集或分析資料、辦理資訊公開等；芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）第四條社會與健康照護資料許可機構及第九條設立有限責任公司之可能性，並配合行政程序法第十六條行政委託規定，於第一項併定明得委託專業機構或法人辦理健保資料特定目的外利用及管理之相關業務。\n\n二、第二項授權主管機關訂定委託辦理健保資料特定目的外利用及管理相關業務之辦法。","增訂":"第七條　健保資料之特定目的外利用及管理，由主管機關及保險人為之，並得委託專業機構或法人（以下併稱受託機構）辦理。\n\n前項受託機構之資格、條件、委託事項、行政契約之訂定、終止及其他相關事項之辦法，由主管機關定之。"},{"說明":"一、依本判決理由第四十五段、第四十八段及第五十七段意旨，個人健保資料之特定目的外利用須具有特別重要公益目的；另參考芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）第二條所定適用範圍，爰定明申請特定目的外利用健保資料之目的限制；未符合所定利用目的者，即不予提供利用。\n\n二、提升醫療品質、公共衛生、社會福利，以及基於醫療、衛生之統計與學術研究，事涉公眾之健康，與社會集體安全之維護必要相關，符合特別重要公益目的之標準，為本判決所肯認；另考量政府機關（構）及行政法人執行法定職務與人民權利息息相關，為促進公益所必要，亦具有特別重要公益目的而得申請健保資料特定目的外之利用。\n\n三、第二項明定不得將健保資料用於商業保險、就業審查或個人化行銷等目的，係回應近年來數位科技進展下個資濫用之社會疑慮，防止健保資料遭企業或私人機構挪作牟利，導致個人權益受損，亦符合我國個人資料保護法及憲法第二十二條對資訊隱私權保障之意旨。","增訂":"第八條　申請特定目的外利用健保資料，應以提升醫療品質、公共衛生、社會福利、促進學術研究發展與提供政府機關（構）及行政法人執行法定職務之目的為限。\n\n前項健保資料不得用於商業保險、就業審查或個人化行銷之目的。"},{"說明":"一、第八條已對於申請健保資料特定目的外利用之目的予以限制，但考量健保資料攸關民眾之健康隱私，具特殊性及敏感性，為減少對民眾個人資料之侵害並兼顧該資料得為妥善之利用，爰限制健保資料之特定目的外利用申請者資格，並按第八條具有特別重要公益目的之情形，區分如下：\n\n(一)申請特定目的外利用係為執行法定職務者，為政府機關（構）、行政法人。\n\n(二)申請特定目的外利用係為提升醫療品質、公共衛生、社會福利、促進學術研究發展者，為政府機關（構）、行政法人、醫療機構、學術研究機構及大學。\n\n(三)另政府機關亦常有委託大學、法人、機構進行學術研究及協助法定職務執行之情形，於此範圍內，亦符合第八條所定目的，爰併定明該等受託對象具申請者資格。\n二、第二項訂定「境外機構、法人、研究單位等一律不得申請」之規定，係考量近年資通科技發展迅速，跨境資料傳輸與濫用風險大幅升高，特別是面對不具我國法律管轄權之境外單位，其資料治理機制、資安防護標準、違規責任追究程序等皆難以有效監督，恐嚴重危及我國民眾個人資料安全與資訊隱私權保障。\n\n三、第二項亦回應全球對數位主權與敏感資料外洩之高度重視，參照歐盟GDPR、日本個人資訊保護法與美國醫療資料保護制度之規範方向，強化本國資料使用主體之限定，避免健保資料成為境外組織進行商業運算或模型訓練之對象。","增訂":"第九條　前條申請者，以政府機關（構）、行政法人、醫療機構、學術研究機構、大學，及受政府機關委託之大學、法人、機構為限。\n\n境外機構、法人、研究單位等一律不得申請。"},{"說明":"一、本條規範政府機關（構）及行政法人於執行法定職務時，如何申請特定目的外利用健保資料。為確保公部門調用個人敏感資料須符合比例原則與資料最小化原則，特要求申請時應以書面形式提出，並檢附「必要性分析報告」。該報告應具體說明所需資料與法定職務之關聯性、無替代手段可行性，以及對當事人隱私影響之最小化措施，以彰顯資訊治理之正當性與透明度。\n\n二、政府機關或行政法人取得健保資料後，應依據其各自法定職責所據以行使之法律，辦理資料之運用與管理。此一規定強調資料使用的法定依據與責任歸屬，符合法治國原則及個人資料保護精神。\n\n三、第二項授權主管機關訂定政府機關（構）及行政法人申請特定目的外利用健保資料之程序、應檢附之文件、健保資料之提供方式等相關事項之辦法。\n\n四、司法機關與監察機關係行使憲法職權之憲政機關，因偵查、審判、執行或其他法定職務有調取健保資料之需要，應依各該訴訟法規或監察法規等相關規定辦理，爰為第三項規定。","增訂":"第十條　政府機關（構）及行政法人執行法定職務申請特定目的外利用健保資料，應以書面並附「必要性分析報告」向保險人提出；其取得之健保資料之運用及管理，依各該機關（構）及行政法人所依據之法律辦理。\n\n前項申請程序、應檢附之文件、健保資料之提供方式及其他應遵行事項之辦法，由主管機關定之。\n\n司法機關因偵查、審判或執行之法定職務調取健保資料，應依訴訟法規辦理；監察機關執行法定職務調取健保資料，應依監察法規辦理。"},{"說明":"一、第一項規範政府機關（構）、行政法人、醫療機構、學術研究機構、大學及受政府機關委託之大學、法人、機構，當其擬申請特定目的外利用健保資料且不屬第十條所定執行法定職務情形時，應向主管機關或保險人提出申請，並檢附具體利用計畫，經審查核准後始得進行資料利用。此一設計旨在確保資料運用具備正當性、必要性與公益性，符合比例原則與資料治理基本原則。\n\n二、考量人工智慧技術日益廣泛應用於醫療與公共衛生領域，且其分析結果可能衍生高度風險與倫理爭議，特於本條明定：凡申請計畫涉及人工智慧應用時，應併附倫理與風險評估報告。該報告應包括演算法透明性、偏誤辨識、風險預警機制、個人資料保護對策等內容，提升AI應用對社會信任之回應機制。\n\n三、第二項定明申請者有修正、變更或展延經核准之特定目的外利用計畫之需要時，亦應依第一項規定申請核准。\n\n四、第三項授權主管機關就前二項申請之資格、條件等事項訂定辦法。","增訂":"第十一條　政府機關（構）、行政法人、醫療機構、學術研究機構、大學，及受政府機關委託之大學、法人、機構，申請特定目的外利用健保資料，除屬前條規定情形外，應填具申請書並檢附特定目的外利用計畫，若涉及人工智慧應用，應附倫理與風險評估報告，經主管機關或保險人審查核准後，以書面通知申請者。\n\n申請者就經核准之特定目的外利用計畫有修正、變更或展延之需要時，應依前項規定提出申請，並經主管機關或保險人審查核准後，始得執行。\n\n前二項申請之資格、條件與程序、申請書與特定目的外利用計畫應記載內容、審查程序與基準、廢止核准、收費及其他應遵行事項之辦法，由主管機關定之。"},{"說明":"一、本條規範當申請人對主管機關或保險人依前條規定所作之審核結果不服時，得以申復、訴願及行政訴訟等途徑尋求救濟，旨在保障申請人之權益，並強化行政決定之正當性與透明度。\n\n二、除申請人依第十一條第一項或第二項所提出之特定目的外利用申請外，亦涵蓋依本條例第三條第一項第六款規定，當事人請求資料可攜性（即請求主管機關或保險人將其健保資料移轉至第三方合法機構）之申請案件。倘若主管機關或保險人對此等申請作出不予准許之決定，亦應納入申復及訴願制度處理之範疇。\n\n三、第二項授權主管機關訂定申請者提出申復應檢具之文件與資料、申復審查作業、申復決定作成期限等事項之辦法。","增訂":"第十二條　申請者不服主管機關或保險人依前條第一項或第二項，或第三條第一項第六款規定所為之審核結果者，應自收受書面通知之翌日起算三十日內，向主管機關或保險人提出申復，逾期不予受理；不服申復結果者，得依法提起訴願及行政訴訟。\n\n前項申復應檢具之文件與資料、補正、審查作業、申復決定作成期限及其他應遵行事項之辦法，由主管機關定之。"},{"說明":"一、第一項規範申請人經主管機關或保險人核准並完成繳費後，於執行健保資料之特定目的外利用時，應依主管機關或保險人指定之方式、時間與場所執行。為落實個資安全及資料可控原則，條文明確禁止拍照、錄音及使用連網設備，以避免健保資料於利用過程中遭非法複製或外洩，強化資料使用之安全性。\n\n二、主管機關與保險人基於資料安全與監督管理責任，於指定使用場所應建置具資安防護與監控機制之安全作業環境，並制定相關操作規範，供資料利用者遵循。此設計旨在兼顧資料應用之公益性與個人資訊之隱私保護。\n\n三、第二項授權主管機關訂定第一項申請者經核准特定目的外利用健保資料時，其利用之執行方式、作業環境等應遵行事項之辦法。","增訂":"第十三條　第十一條第一項申請者經核准特定目的外利用健保資料及繳費後，其利用應依主管機關或保險人指定之方式、時間及場所執行，嚴禁拍照、錄音與連網設備使用；主管機關與保險人應於其指定之場所建置安全作業環境及規範。\n\n前項指定之方式、時間、場所、作業方式、禁止攜出項目、違規處理、資通安全維護措施與安全作業環境規範及其他應遵行事項之辦法，由主管機關定之。"},{"說明":"一、第一項定明申請者利用健保資料後所得之結果（例如研究論文等），不得含有可識別個人身分之資料，以保障資料當事人之隱私權。\n\n二、第二項定明申請者利用健保資料所得結果不得逾越經核准之特定目的外利用計畫之範圍，包括不得移作他用，亦不得再提供予他人使用。\n\n三、鑒於健保資料攸關民眾之健康隱私，為利民眾及政府機關了解利用情形，申請者應揭露其利用結果，爰於第三項定明申請者於特定目的外利用計畫執行完畢後，應提供其利用結果報告予主管機關或保險人。","增訂":"第十四條　第十一條第一項申請者執行健保資料特定目的外利用所得結果，不得含有可識別個人身分之資料。\n\n前項利用結果，申請者不得為第十一條第一項及第二項經核准特定目的外利用計畫以外之利用。\n\n申請者於特定目的外利用計畫執行完畢後，應將其利用結果報告提供予主管機關或保險人。"},{"說明":"一、健保資料之特定目的外利用，除政府機關（構）及行政法人執行法定職務外，應以提升醫療品質、公共衛生、社會福利、促進學術研究發展為目的，參酌UNESCO（聯合國教育、科學及文化組織）通過之「人類基因資料國際宣言」第十九條利益共享（sharing of benefits）原則及歐盟資料合作社分享之案例，存有利潤共享之精神與概念；另參照我國人體生物資料庫管理條例，亦定有回饋金利益分享予特定群體之機制，爰於第一項定明申請者利用所得結果（如取得專利、營業秘密或技術移轉）衍生產業利益者，應提撥一定比率之回饋金，並為統一運用回饋金，使其發揮較大公益效益，爰規定回饋金均納入全民健康保險基金，以增進全民健康福祉。\n\n二、第一項條文明確規範回饋金提撥百分之十，避免因無具體標準而產生規避或差別待遇，亦利於行政執行與審計查核。此提撥比例並非固定數值，而係提供一彈性區間，得由主管機關依據實際情形與行業特性酌定。\n\n三、為強化責信原則與國會監督機制，要求前項回饋金之提撥情形應列入年度報告，並接受立法院之監督，確保健保資料應用成果能公平回饋社會、促進制度永續。\n\n四、第一項有關產業利益之認定、提撥回饋金之一定比率、方式及其他相關事項之辦法，授權由主管機關定之，爰為第二項規定。","增訂":"第十五條　第十一條第一項申請者執行健保資料特定目的外利用所得結果，產生產業利益者，應提撥百分之十回饋金，納入全民健康保險基金，並列年度報告受立院監督。\n\n前項產業利益之認定、提撥回饋金之一定比率、方式及其他相關事項之辦法，由主管機關定之。"},{"說明":"一、係強化個人健保資料之資訊透明與當事人自主控制權。為落實《個人資料保護法》第十七條關於公務機關應公開其持有個人資料項目之規定，明定主管機關及保險人於公開健保資料相關資訊時，應一併揭示當事人行使權利之方式與管道。\n\n二、第一款規定當事人得就其健保資料之全部或一部，請求停止第三人為特定目的外之利用。此一制度設計，體現「資料自主原則」，亦回應社會對個資過度運用的疑慮，讓資料當事人擁有更多主動權，防止健保資料遭不當濫用。\n\n三、第二款係允許當事人可請求將其健保資料移轉至第三方合法機構。此項規定乃參酌國際資料可攜權（Data Portability）之發展趨勢，賦予資料當事人以自主選擇機構使用其個資之能力，有助於促進資料應用之流動性與市場競爭。\n\n四、第三款則要求主管機關及保險人應公開上述請求之受理機關、處理方式、程序、必要文件及其他相關事項，使當事人得以明確行使其權利，並提升整體健保資料管理制度之信任度與可預期性。\n\n五、本條條文之規定，結合個資公開、權利行使及資料移轉三面向，旨在建立一套完整、透明、具程序保障的健保資料治理架構，以符合法治國家對個人資料保護的基本要求。","增訂":"第十六條　主管機關及保險人依個人資料保護法第十七條公開其持有健保資料之有關事項時，應一併公開下列事項：\n\n一、當事人得就其健保資料之全部或一部，請求停止他人為特定目的外之利用。\n\n二、當事人得請求將其健保資料移轉至第三方合法機構之方式及程序。\n\n三、前款請求之方式、受理機關及其他相關事項。"},{"說明":"一、第一項定明當事人請求停止其健保資料之特定目的外利用之方式及受理請求之機關。\n\n二、第二項定明未滿七歲之未成年人、受監護宣告之人、滿七歲至未滿十八歲或受輔助宣告者之申請方式；其中受輔助宣告者請求停止健保資料特定目的外利用，雖非民法第十五條之二規定所列須經輔助人同意事項，惟考量實務上仍有受輔助宣告之人在行使第一項規定退出權之意思表示上須輔助人協助之情形，爰定明受輔助宣告者應經輔助人同意，並由受輔助宣告之本人申請；此係有別於民法須輔助人同意事項之特別規定。\n\n三、第三項定明停止特定目的外利用健保資料應自申請日之翌日起算三十日內以註記方式為之，並將同意註記及註記日期通知當事人、其法定代理人或監護人，使申請人明瞭請求停止特定目的外利用申請案件之辦理情形，以保障當事人權利。保險人受理請求後，經查有當事人健保資料者，即應註記停止特定目的外利用；又考量行政作業程序及資料交換之週期，故定明三十日之註記作業期限。\n\n四、第四項授權主管機關訂定請求停止特定目的外利用健保資料之種類、範圍、註記與通知之內容及其他相關事項之辦法。","增訂":"第十七條　當事人得填具申請書，請求保險人停止其健保資料之全部或一部之特定目的外利用。\n\n前項當事人未滿七歲或受監護宣告者，應由其法定代理人或監護人申請；滿七歲至未滿十八歲或受輔助宣告者，應經當事人本人或輔助人同意，並由其法定代理人或受輔助宣告之本人申請。\n\n保險人受理第一項申請後，經查有當事人健保資料者，應自申請日之翌日起算三十日內，註記不得提供特定目的外利用，並將同意註記及註記日期通知當事人、其法定代理人或監護人。\n\n第一項停止特定目的外利用健保資料之種類、範圍、註記與通知之內容及其他相關事項之辦法，由主管機關定之。"},{"說明":"當事人請求停止健保資料特定目的外利用，經保險人註記後，即應停止對外提供利用，爰於本條前段定明除保險人依第六條第二項規定將該等資料假名化後傳輸予主管機關外，主管機關及保險人均不得再對外提供特定目的外利用；至於當事人健保資料經註記停止特定目的外利用前已核准利用之案件，若要一併停止利用，需追溯已完成統計之分析結果及進行中研究之數據，從中將請求停止特定目的外利用當事人之資料刪除，然提供特定目的外利用資料皆已假名化處理，無法從中識別當事人並刪除特定資料，實務上有窒礙難行之處，爰參考歐洲健康資料空間（European Health Data Space, EHDS）規則第七十一條規定，當事人有權隨時退出其電子健康資料二次利用，惟不影響其退出之前已核准之二次利用；以及英國國家資料退出政策（National Data Opt-Out,NDOO Programme）及芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）資料向後停止利用之模式，於本條後段定明停止特定目的外利用之效力不溯及既往。至該等已核准特定目的外利用健保資料者，其繼續利用，自應依本條例相關規定辦理，併予說明。","增訂":"第十八條　當事人健保資料經註記停止特定目的外利用後，除保險人依第六條第二項規定將該等資料傳輸予主管機關外，主管機關及保險人均不得再對外提供特定目的外之利用；其停止特定目的外利用之效力，不溯及既往。"},{"說明":"一、依本判決主文第四項意旨，定明例外不許停止特定目的外利用之事由，當事人請求停止其健保資料特定目的外利用並經註記後，在特定例外情況下，主管機關或保險人仍得繼續對外提供特定目的外利用。\n\n二、參考英國國家資料退出政策（National Data Opt-Out, NDOO Programme）仍可為特定目的外利用情形之事由及體例，例如傳染病及其他公共衛生風險、認知疾病及其風險趨勢、控制與預防疾病及風險傳播、免疫計畫之實施與其有效性及安全性、疫苗及藥物不良反應、從食物或環境中所引發感染之風險、健康資訊揭露具有首要公共利益、依法律或法院命令要求揭露之病患機敏資料等；並參酌政府資訊公開法及其他法律得提供個人資訊之法定要件，兼顧私益與公益之平衡及基於謙抑原則，定明三種例外得不予停止特定目的外利用情形。\n\n三、又第三款為免除人民之生命、身體或財產上之急迫危險，例如預防及控制傳染病傳播、避免公共衛生風險等，應涵蓋所有人民，非侷限於當事人，併予說明。\n\n四、第四款強調資料可攜與跨機構移轉之例外情形，係參考國際資料治理趨勢，容許當事人在充分知情且明確同意下，自主將其資料移轉至其他合法機構使用，以提升資料主體權利能動性。特別要求資料接收方必須符合一定資格，並簽署資安與保密契約，以避免後續濫用或洩露風險。","增訂":"第十九條　當事人請求停止特定目的外利用其健保資料並經註記後，有下列情形之一者，主管機關或保險人仍得對外提供特定目的外利用：\n\n一、依其他法律，主管機關或保險人有提供之義務。\n\n二、為維護國家安全。\n\n三、為免除人民之生命、身體或財產上之急迫危險。\n\n四、經當事人明確同意資料可攜性之移轉，且受移轉者為符合資格之合法機構，並簽署資通安全及保密義務契約。"},{"說明":"一、健保資料為機敏性資料，其洩漏對人民之權益危害甚大，且其核心資通系統係資通安全管理法所定之政府機關關鍵基礎設施，為資通安全保護之重要系統，爰參考健保法第八十條之一第一項規定，就以竊取、毀壞或其他非法方法，危害儲存健保資料相關資料庫之核心資通系統設備或電腦機房之功能正常運作者，處予較刑法第三百五十四條毀損罪為重之處罰，爰為第一項規定。\n\n二、考量國家安全與公共秩序為國家生存及社會發展之重要基石，意圖危害國家安全或社會安定而犯第一項之罪者，有嚴懲之必要，爰參考健保法第八十條之一第二項規定，於第二項加重刑度。\n\n三、為周延法益保護，對於第一項及第二項之未遂行為仍應予處罰，爰於第三項定明其未遂犯之處罰。","增訂":"第二十條　以竊取、毀壞或其他非法方法，危害主管機關或保險人依第六條第一項所建置資料庫之核心資通系統設備或電腦機房之功能正常運作者，處一年以上七年以下有期徒刑，得併科新臺幣一千萬元以下罰金。\n\n意圖危害國家安全或社會安定，而犯前項之罪者，處三年以上十年以下有期徒刑，得併科新臺幣五千萬元以下罰金。\n\n前二項之未遂犯罰之。"},{"說明":"一、健保資料相關資料庫之核心資通系統係資通安全管理法所定之政府機關關鍵基礎設施，為資通安全保護之重要系統，有特別保護之重要性，以確保相關資料無洩漏之虞，參考健保法第八十條之二第一項規定，就妨害健保資料相關資料庫之核心資通系統之行為，危害其功能正常運作者，處予較刑法妨害電腦使用罪章為重之處罰，爰為第一項規定。\n\n二、製作專供犯第一項之罪之電腦程式，而供自己或他人犯第一項之罪者，對於健保資料相關資料庫之運作恐致嚴重損害，爰於第二項定明該等不法行為刑責並採第一項相同之刑度。\n\n三、考量國家安全與公共秩序為國家生存及社會發展之重要基石，意圖危害國家安全或社會安定而犯第一項及第二項之罪者，有嚴懲之必要，爰參考健保法第八十條之二第三項規定，於第三項加重刑度。\n\n四、第四項訂定特殊情節處罰標準，明確指出若妨害行為之發生者係衛福部內部人員或受託管理資料之委外機構工作人員者，應加重其刑，以符合「信賴越高、責任越重」之基本原則，並防範內部人員或外包系統管理者濫用職權造成更大風險。\n\n五、為周延法益保護，對於第一項至第四項之未遂行為仍應予處罰，爰於第五項定明其未遂犯之處罰。","增訂":"第二十一條　對主管機關或保險人依第六條第一項所建置資料庫之核心資通系統，以下列方法之一，危害其功能正常運作者，處一年以上七年以下有期徒刑，得併科新臺幣一千萬元以下罰金：\n\n一、無故輸入其帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵其電腦或相關設備。\n\n二、無故以電腦程式或其他電磁方式干擾其電腦或相關設備。\n\n三、無故取得、刪除或變更其電腦或相關設備之電磁紀錄。\n\n製作專供犯前項之罪之電腦程式，而供自己或他人犯前項之罪者，亦同。\n\n意圖危害國家安全或社會安定，而犯前二項之罪者，處三年以上十年以下有期徒刑，得併科新臺幣五千萬元以下罰金。\n\n妨害資料系統之行為人為衛福部或委外機構人員時，加重其罰責。\n\n前四項之未遂犯罰之。"},{"說明":"就健保資料特定目的外之利用，申請者除屬第十條規定情形外，應依第十一條第一項備妥申請書及特定目的外利用計畫，並經主管機關或保險人審查核准後，始得為之，爰定明擅自為健保資料特定目的外利用之處罰，並自處分送達之日起一年內，管制其申請特定目的外利用；其已取得之健保資料，應予銷毀。","增訂":"第二十二條　違反第十一條第一項規定，未經主管機關或保險人核准，擅自就健保資料為特定目的外利用者，由主管機關或保險人處新臺幣二百萬元以上一千萬元以下罰鍰，並自處分送達之日起一年內，不准其申請特定目的外利用；其已取得之健保資料，應予銷毀。"},{"說明":"一、健保資料特定目的外利用之結果應依申請書及經核准之特定目的外利用計畫內容，妥善應用及保存。為強化健保資料特定目的外利用後之管理機制，爰參考人體生物資料庫管理條例第二十四條規定，規範對於健保資料特定目的外利用，有違反第十一條第一項及第二項、第十三條第一項及第二項所定辦法、第十四條第一項及第二項、第十五條第一項之行為；或違反第二十五條準用前揭規定之行為時之處罰，並自罰鍰處分送達之日起一年內，管制其申請特定目的外利用。此等違法行為若同時涉及刑事犯罪，移由司法機關處理，併予說明。\n\n二、又第一款係規範申請者未依核准之特定目的外利用計畫內容執行，例如以學術研究為申請目的，卻進行商業利用；第六款違反原申請目的以外之利用係將利用結果移為他用，例如將利用結果再提供予他人使用，併予說明。","增訂":"第二十三條　有下列情形之一者，由主管機關或保險人處新臺幣五十萬元以上二百五十萬元以下罰鍰，並限期令其停止執行、停止利用或改正；屆期未停止執行、停止利用或改正者，按次處罰，並得自罰鍰處分送達之日起一年內，不准其申請特定目的外利用：\n\n一、未依第十一條第一項或第二項核准之計畫內容執行。\n\n二、違反第十一條第二項或第二十五條準用第十一條第二項規定，修正、變更或展延經核准之特定目的外利用計畫，未經申請核准即予執行。\n\n三、違反第十三條第一項或第二十五條準用第十三條第一項規定，未依主管機關或保險人指定之方式、時間或場所，執行健保資料之特定目的外利用。\n\n四、違反第十三條第二項或第二十五條準用第十三條第二項所定辦法中有關禁止攜出項目或資通安全維護措施規定。\n\n五、違反第十四條第一項或第二十五條準用第十四條第一項規定，執行健保資料特定目的外利用所得結果含有可識別個人身分之資料。\n\n六、違反第十四條第二項或第二十五條準用第十四條第二項規定，將利用結果為原申請目的以外之利用。\n\n七、違反第十五條第一項或第二十五條準用第十五條第一項規定，未提撥一定比率回饋金納入全民健康保險基金。\n\n八、重複違反前項規定者，除處罰外，並永久限制其申請健保資料之權利。"},{"說明":"一、第十一條所定申請者為機關、機構、大學、法人，另本條例施行前，依主管機關或保險人所定作業原則或要點規定得申請特定目的外利用健保資料者為政府機關、機構等均非個人，為遏阻違法情事繼續發生，經依第二十二條及第二十三條規定處罰者，應一併處罰實際為行為之人，爰參考人體生物資料庫管理條例第二十七條第一項，為第一項規定。\n\n二、第一項行為之人屬醫事人員，同時違反其專門職業法律者，仍應依各該法律懲處，爰參考人體生物資料庫管理條例第二十七條第二項，為第二項規定。","增訂":"第二十四條　經依前二條規定處罰者，由主管機關或保險人處其實際為行為之人新臺幣五萬元以上五十萬元以下罰鍰。\n\n前項行為之人具醫事人員資格，且違反醫事人員專門職業法律規定者，並依各該法律懲處之。"},{"說明":"本條例施行前，依主管機關或保險人所定作業原則或要點等規定申請核准特定目的外利用健保資料者，於本條例施行後，免依第十一條第一項規定重新申請，仍得繼續為特定目的外利用，惟其繼續利用仍應準用第十一條第二項與第三項及第十二條至第十五條規定辦理。至當事人請求停止特定目的外利用健保資料之相關規定，於本條例施行即當然適用，併予說明。","增訂":"第二十五條　本條例施行前，經核准特定目的外利用健保資料，於本條例施行後仍繼續利用者，其繼續利用準用第十一條第二項與第三項及第十二條至第十五條規定。\n\n施行前已核准案應於一年內補正人工智慧倫理與資安說明，未補者不得續用。"},{"說明":"本條例之細節性及技術性事項，授權主管機關訂定施行細則規範之。","增訂":"第二十六條　本條例施行細則，由主管機關定之。"},{"說明":"考量本條例施行前之各項準備作業需時辦理，爰定明本條例施行日期，由行政院定之。","增訂":"第二十七條　本條例施行日期，由行政院定之。"}]}],"ppg_url":"https://ppg.ly.gov.tw/ppg/bills/202110135370000/details"}