全民健康保險資料管理條例草案

條文

說明

第一條　為規範全民健康保險資料於特定目的外之利用及管理，以保障人民資訊隱私權，並提升醫療品質、公共衛生、社會福利、促進學術研究發展及提供政府機關執行法定職務，增進全民健康福祉，特制定本條例。

一、本條例之立法目的。

二、為落實憲法法庭一百十一年憲判字第十三號判決（以下簡稱本判決）意旨，就全民健康保險資料於特定目的外之利用及管理制定本條例規範，以完備對人民資訊隱私權之保障，增進全民健康福祉。

第二條　本條例之主管機關為衛生福利部。

本條例之主管機關。

第三條　本條例用詞，定義如下：

一、全民健康保險資料（以下簡稱健保資料）：指全民健康保險保險人（以下簡稱保險人）為辦理保險業務，依全民健康保險法所蒐集、處理之資料。

二、特定目的：指主管機關及保險人蒐集個人健保資料之法律規定目的。

三、當事人：指個人健保資料之本人。

四、假名化：指健保資料經處理或加工後，非透過其他資訊對照，不能識別其身分，且該其他資訊應分開存放，並採取技術上或組織上保護措施之程序。

本條例之用詞定義，分述如下：

一、依全民健康保險法（以下簡稱健保法）第七條規定，以衛生福利部中央健康保險署為保險人，辦理全民健康保險（以下簡稱健保）業務；第一款所稱健保資料，指保險人為辦理健保業務，按收入及支出兩大面向，依健保法第十五條第六項（投保、退保）、第二十條第二項（投保金額基準）、第二十一條第二項（投保金額調整）、第三十一條第一項（補充保險費）、第三十四條（補充保險費之計算）、第三十六條（未能一次繳納保險費等之申請貸款或補助）、第四十六條（藥品價格調整）、第五十五條（自墊醫療費用之核退）、第六十二條（醫療服務、藥物給付項目及支付標準）、第七十三條（保險醫事服務機構財務報告）、第七十九條（相關機關提供保險人之資料）、第八十條（保險爭議審議相關資料）、第九十九條（供保險對象紓困資料）等規定，蒐集之承保及醫療服務等各項資料。

二、第二款定明本條例所稱之特定目的意涵。有關主管機關即衛生福利部蒐集個人健保資料之法律規定，依衛生福利部組織法第二條規定，該部掌理健保之政策規劃、管理及監督事項；復依健保法、統計法、衛生福利部處務規程等相關法規規定，進行健保之政策規劃、推動、業務督導及統計，健保資料為衛生福利部有效執行上開法規，所應蒐集、取得之必要資料。又為完備健保資料治理，俟健保法修法時，將於該法定明主管機關蒐集健保資料之目的，以周延其法律依據。

三、當事人於本條例指個人健保資料之本人，爰於第三款定明。

四、為保護個人資訊隱私權，並與國際接軌，參考歐盟一般資料保護規則（The General Data Protection Regulation,GDPR）第四條對於假名化（Pseudonymisation）之定義，經假名化之個人資料，指非透過其他資訊之對照，不能再識別出特定資料主體之資料（no longer be attributed to a specific data subject without the use of additional information）；同時其他資訊應與假名化之資料分開存放，並採取其他技術上或組織上之保護措施（technical and organisational measures），確保無法透過該個人資料連結至特定資料主體或可識別之資料主體；且該規則第二十五條、第三十二條、第八十九條等規定提及資料保護措施及安全性時，均將假名化列為適當保護措施之一種，以期與加密、去識別化等各類型隱私強化措施，共同降低資料主體可能面臨之風險，爰於第四款定明假名化之定義。

第四條　主管機關應組成健保資料諮議會（以下簡稱諮議會），其任務如下：

一、健保資料特定目的外利用之管理及監督政策、法令擬訂之建議。

二、健保資料特定目的外利用安全維護措施監督防護之諮詢。

三、申請特定目的外利用健保資料爭議之處理。

四、健保資料經當事人提出停止特定目的外利用或停止提供特定目的外利用爭議之處理。

五、協助主管機關就健保資料之特定目的外利用、管理委託辦理之輔導、評估及監督。

六、其他健保資料相關事項之建議。

一、依本判決主文第三項意旨，個人健保資料應有組織上及程序上之監督防護機制，爰定明由主管機關組成任務編組性質之諮議會，作為健保資料特定目的外利用之監督防護機制。

二、諮議會具有諮詢及建議功能，依議事學原理，為集思廣益，博採周諮，邀請專家學者及利害關係團體組成合議制任務編組，其不僅具有程序嚴謹化之特徵，且對待決議題有自主判斷、表達見解，以及自由形成意見，作成決定之空間。

三、諮議會除具有諮詢功能外，並有協助爭議處理及提供建議功能；其中第三款、第四款規定，係就主管機關及保險人辦理健保資料特定目的外利用或停止利用申請案時，如發生法規解釋或通案之爭議，諮議會應協助處理或提出專業意見。

第五條　諮議會置委員若干人，由主管機關就醫事、公共衛生、法律與資通安全之專家學者、人權及病友團體代表、社會公正人士及政府機關（構）代表聘（派）兼之；其中專家學者人數，不得少於委員總數二分之一；任一性別委員，不得少於委員總數三分之一。

委員任期二年；期滿得續聘。

諮議會委員之名額、主席產生方式、會議之召集、出席、決議與議事運作及其他相關事項之辦法，由主管機關定之。

一、第一項規定諮議會之組成，並定明專家委員之專業及委員性別比例，以確保諮議會之組成廣納健保資料特定目的外利用所涉及之各領域專家學者與相關機關（構）及團體代表。

二、第二項規定諮議會委員任期及續聘事宜。

三、第三項授權主管機關訂定諮議會委員名額、主席產生方式及議事運作等相關事項之辦法。

第六條　主管機關及保險人應備置電腦、資通系統與資通服務及必要之相關設施、設備，建置健保資料之相關資料庫，並指定專責單位及專人管理之。

主管機關建置前項資料庫需用之健保資料，由保險人將該等資料假名化後，傳輸予主管機關。

前項健保資料假名化之程序、作業方式及其他相關事項之辦法，由主管機關定之。

主管機關應定期或不定期考核第一項資料庫之管理及運用；發現有應改善事項時，應改善或通知保險人立即或限期改善。

一、第一項定明主管機關及保險人應備置電腦、相關設施、設備等，建置健保資料之資料庫，指定專責單位及專人管理，其管理方式依當時科技及專業水準辦理；即依資通安全管理法之規定，並導入ISO/IEC 27001資訊安全管理系統（Information Security Management System，ISMS）之國際標準認證，持續強化健保資料之資安管控及防護措施，並按政府機關（構）資通安全責任等級A級機關規範辦理，以維護資料安全。

二、依本判決主文第三項及判決理由第六十五段之意旨，國家強制蒐集個人健保資料並以資料庫儲存、處理、對外傳輸及對外提供利用，應確保該個人健保資料不受濫用或不當洩漏，爰為確保資料之安全性，依資通安全責任等級分級辦法附表十「資通系統防護基準」規定，主管機關建置資料庫所需之健保資料，由保險人將該等資料假名化後，傳輸予主管機關，以維護資通安全，爰為第二項規定。

三、第三項授權主管機關訂定健保資料假名化之程序、作業方式及其他相關事項之辦法。

四、第四項定明主管機關應定期或不定期就第一項資料庫之管理及運用進行相關考核作業，並於發現應改善事項時進行改善。又依資通安全管理法規定，上級機關應稽核所屬機關之資通安全維護計畫實施情形，以確保健保資料相關資料庫之管理及運用符合規定，爰併定明主管機關通知保險人改善規定。

第七條　健保資料之特定目的外利用及管理，由主管機關及保險人為之，並得委託專業機構或法人（以下併稱受託機構）辦理。

前項受託機構之資格、條件、委託事項、行政契約之訂定、終止及其他相關事項之辦法，由主管機關定之。

一、第一項規定健保資料特定目的外之利用及管理事項之權責機關為主管機關及保險人。參考歐洲健康資料空間（European Health Data Space, EHDS）規則第五十五條及第五十七條，其成員國應指定一個或多個負責授權電子健康資料二次利用近用權之健康資料近用機構，依法授權執行資料處理、提供與傳輸等任務；英國衛生與社會照護法（Health and Social Care Act），第九部分（Part 9：Health and Adult Social Care Services：Information）之規定，指定由專責單位負責制定衛生與社會照護之資訊標準格式、建置資訊系統、依法定職權蒐集或分析資料、辦理資訊公開等；芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）第四條社會與健康照護資料許可機構及第九條設立有限責任公司之可能性，並配合行政程序法第十六條行政委託規定，於第一項併定明得委託專業機構或法人辦理健保資料特定目的外利用及管理之相關業務。

二、第二項授權主管機關訂定委託辦理健保資料特定目的外利用及管理相關業務之辦法。

第八條　申請特定目的外利用健保資料，應以提升醫療品質、公共衛生、社會福利、促進學術研究發展、提供政府機關（構）及行政法人執行法定職務與增進公共利益之目的為限。

一、依本判決理由第四十五段、第四十八段及第五十七段意旨，個人健保資料之特定目的外利用須具有特別重要公益目的；另參考芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）第二條所定適用範圍，爰定明申請特定目的外利用健保資料之目的限制；未符合所定利用目的者，即不予提供利用。

二、提升醫療品質、公共衛生、社會福利，以及基於醫療、衛生之統計與學術研究，事涉公眾之健康，與社會集體安全之維護必要相關，符合特別重要公益目的之標準，為本判決所肯認；另考量政府機關（構）及行政法人執行法定職務與人民權利息息相關，為促進公益所必要，亦具有特別重要公益目的而得申請健保資料特定目的外之利用。

第九條　前條申請者，以政府機關（構）、行政法人，或於中華民國境內設立之醫療機構、學術研究機構、大學，及受政府機關委託之大學、法人、機構為限。

第八條已對於申請健保資料特定目的外利用之目的予以限制，但考量健保資料攸關民眾之健康隱私，具特殊性及敏感性，為減少對民眾個人資料之侵害並兼顧該資料得為妥善之利用，爰限制健保資料之特定目的外利用申請者資格，並按第八條具有特別重要公益目的之情形，區分如下：

一、申請特定目的外利用係為執行法定職務者，為政府機關（構）、行政法人。

二、申請特定目的外利用係為提升醫療品質、公共衛生、社會福利、促進學術研究發展者，為政府機關（構）、行政法人或於中華民國境內設立之醫療機構、學術研究機構及大學。

三、另政府機關亦常有委託大學、法人、機構進行學術研究及協助法定職務執行之情形，於此範圍內，亦符合第八條所定目的，爰併定明該等受託對象具申請者資格。

第十條　政府機關（構）及行政法人執行法定職務申請特定目的外利用健保資料，應以書面向保險人提出；其取得之健保資料之運用及管理，依各該機關（構）及行政法人所依據之法律辦理。

前項申請程序、應檢附之文件、健保資料之提供方式及其他應遵行事項之辦法，由主管機關定之。

司法機關因偵查、審判或執行之法定職務調取健保資料，應依訴訟法規辦理；監察機關執行法定職務調取健保資料，應依監察法規辦理。

一、政府機關（構）及行政法人公務之執行，本須依據法律為之，其特定目的外利用健保資料限於相關法律規定範圍，明確正當，且執行公務之人員亦受相關法律之規範，如有違反將依法處罰或懲戒，爰於第一項前段規定政府機關（構）及行政法人執行法定職務申請特定目的外利用，應以書面向保險人提出；另政府機關（構）及行政法人取得健保資料後，對於該健保資料之運用及管理，應依各該機關（構）及行政法人所依據之法律辦理，爰為第一項後段規定。

二、第二項授權主管機關訂定政府機關（構）及行政法人申請特定目的外利用健保資料之程序、應檢附之文件、健保資料之提供方式等相關事項之辦法。

三、司法機關與監察機關係行使憲法職權之憲政機關，因偵查、審判、執行或其他法定職務有調取健保資料之需要，應依各該訴訟法規或監察法規等相關規定辦理，爰為第三項規定。

第十一條　政府機關（構）、行政法人、醫療機構、學術研究機構、大學，及受政府機關委託之大學、法人、機構，申請特定目的外利用健保資料，除屬前條規定情形外，應填具申請書並檢附特定目的外利用計畫，經主管機關或保險人審查核准後，以書面通知申請者。

申請者就經核准之特定目的外利用計畫有修正、變更或展延之需要時，應依前項規定提出申請，並經主管機關或保險人審查核准後，始得執行。

前二項申請之審查，由主管機關、保險人分別邀集相關專家學者、病友團體、公民團體、社會公正人士及政府機關（構）代表組成審查會參與審查；其中專家學者、公民團體及社會公正人士不得少於總數二分之一；任一性別，不得少於總數三分之一。

第一項及第二項申請之資格、條件與程序、申請書與特定目的外利用計畫應記載內容、審查程序與基準、廢止核准、收費及其他應遵行事項之辦法，由主管機關定之。

一、第一項定明政府機關（構）、行政法人、醫療機構、學術研究機構、大學，及受政府機關委託之大學、法人、機構申請健保資料特定目的外利用，除屬第十條所定執行法定職務之情形外，應申請主管機關或保險人審查核准；為明瞭其申請特定目的外利用之目的、實施方法、預計利用之資料種類與範圍清單、利用方式及預估成果等事項，並須檢附特定目的外利用計畫。

二、第二項定明申請者有修正、變更或展延經核准之特定目的外利用計畫之需要時，亦應依第一項規定申請核准。

三、第三項規定針對前二項申請須由主管機關、保險人組成審查會參與審查，並明訂審查會專家委員之專業及委員性別比例，以確保審查會之組成廣納健保資料特定目的外利用所涉及之各領域專家學者與相關機關（構）及團體代表。

四、第四項授權主管機關就前二項申請之資格、條件等事項訂定辦法。

第十二條　申請者不服主管機關或保險人依前條第一項或第二項規定所為之審核結果者，應自收受書面通知之翌日起算三十日內，向主管機關或保險人提出申復，逾期不予受理；不服申復結果者，得依法提起訴願及行政訴訟。

前項申復應檢具之文件與資料、補正、審查作業、申復決定作成期限及其他應遵行事項之辦法，由主管機關定之。

一、依第十一條第一項或第二項規定，申請個人健保資料特定目的外利用或申請修正、變更、展延經核准之特定目的外利用計畫，經主管機關或保險人拒絕時（例如審核結果為否准或核准內容限縮其申請事項等），為使主管機關及保險人再行省察其審核結果之適法性及妥當性，保障申請者之權利，爰於第一項定明申請者先行提出申復及應提出之期限，申請者對申復結果仍不服時，得依訴願法及行政訴訟法尋求救濟。

二、第二項授權主管機關訂定申請者提出申復應檢具之文件與資料、申復審查作業、申復決定作成期限等事項之辦法。

第十三條　第十一條第一項申請者經核准特定目的外利用健保資料及繳費後，其利用應依主管機關或保險人指定之方式、時間及場所執行；主管機關與保險人應於其指定之場所建置安全作業環境及規範。

前項指定之方式、時間、場所、作業方式、禁止攜出項目、違規處理、資通安全維護措施與安全作業環境規範及其他應遵行事項之辦法，由主管機關定之。

一、鑒於健保資料之機敏性，參考歐洲健康資料空間（European Health Data Space, EHDS）規則第七十三條安全處理環境，以及芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）第二十條安全操作環境規定，於第一項定明申請者應於主管機關或保險人指定之安全作業環境執行特定目的外利用健保資料；主管機關與保險人為確保資料安全，應於利用之指定場所建置安全作業環境及規範，供申請者執行資料分析作業。

二、第二項授權主管機關訂定第一項申請者經核准特定目的外利用健保資料時，其利用之執行方式、作業環境等應遵行事項之辦法。

第十四條　第十一條第一項申請者執行健保資料特定目的外利用所得結果，不得含有可識別個人身分之資料。

前項利用結果，申請者不得為第十一條第一項及第二項經核准特定目的外利用計畫以外之利用。

申請者於特定目的外利用計畫執行完畢後，應將其利用結果報告提供予主管機關或保險人。

主管機關及保險人應定期公布使用健保資料之目的外利用情形及其他相關資訊。

一、第一項定明申請者利用健保資料後所得之結果（例如研究論文等），不得含有可識別個人身分之資料，以保障資料當事人之隱私權。

二、第二項定明申請者利用健保資料所得結果不得逾越經核准之特定目的外利用計畫之範圍，包括不得移作他用，亦不得再提供予他人使用。

三、鑒於健保資料攸關民眾之健康隱私，為利民眾及政府機關了解利用情形，申請者應揭露其利用結果，爰於第三項定明申請者於特定目的外利用計畫執行完畢後，應提供其利用結果報告予主管機關或保險人。

四、第四項明定主管機關及保險人應定期公布使用健保資料之目的外利用情形及相關資訊，以利健保資料目的外利用之公開透明、公眾監督及社會信任之促進。

第十五條　第十一條第一項申請者執行健保資料特定目的外利用所得結果，產生產業利益者，應提撥一定比率回饋金，納入全民健康保險基金。

前項產業利益之認定、提撥回饋金之一定比率、方式及其他相關事項之辦法，由主管機關定之。

一、健保資料之特定目的外利用，除政府機關（構）及行政法人執行法定職務外，應以提升醫療品質、公共衛生、社會福利、促進學術研究發展為目的，參酌UNESCO（聯合國教育、科學及文化組織）通過之「人類基因資料國際宣言」第十九條利益共享（sharing of benefits）原則及歐盟資料合作社分享之案例，存有利潤共享之精神與概念；另參照我國人體生物資料庫管理條例，亦定有回饋金利益分享予特定群體之機制，爰於第一項定明申請者利用所得結果（如取得專利、營業秘密或技術移轉）衍生產業利益者，應提撥一定比率之回饋金，並為統一運用回饋金，使其發揮較大公益效益，爰規定回饋金均納入全民健康保險基金，以增進全民健康福祉。

二、第一項有關產業利益之認定、提撥回饋金之一定比率、方式及其他相關事項之辦法，授權由主管機關定之，爰為第二項規定。

第十六條　主管機關及保險人依個人資料保護法第十七條公開其持有健保資料之有關事項時，應一併公開下列事項：

一、當事人得就其健保資料之全部或一部，請求停止他人為特定目的外之利用。

二、前款請求之方式、受理機關及其他相關事項。

依本判決主文第四項意旨，個人健保資料提供特定目的外利用，應有當事人得請求停止利用及例外不許停止之主體、事由、程序、效果等相關規定。為保障個人健保資料之當事人請求停止特定目的外利用之權利，並使當事人知悉健保資料為政府機關持有之情形及提供特定目的外利用之類別，爰於本條規定主管機關及保險人依個人資料保護法第十七條公開持有健保資料之有關事項時，應一併公開當事人得請求停止特定目的外利用與請求之方式、受理機關及其他相關事項。

第十七條　當事人得填具申請書，請求保險人停止其健保資料之全部或一部之特定目的外利用。

前項當事人未滿七歲或受監護宣告者，應由其法定代理人或監護人申請；滿七歲至未滿十八歲或受輔助宣告者，應經當事人本人或輔助人同意，並由其法定代理人或受輔助宣告之本人申請。

保險人受理第一項申請後，經查有當事人健保資料者，應自申請日之翌日起算三十日內，註記不得提供特定目的外利用，並將同意註記及註記日期通知當事人、其法定代理人或監護人。

第一項停止特定目的外利用健保資料之種類、範圍、註記與通知之內容及其他相關事項之辦法，由主管機關定之。

一、第一項定明當事人請求停止其健保資料之特定目的外利用之方式及受理請求之機關。

二、第二項定明未滿七歲之未成年人、受監護宣告之人、滿七歲至未滿十八歲或受輔助宣告者之申請方式；其中受輔助宣告者請求停止健保資料特定目的外利用，雖非民法第十五條之二規定所列須經輔助人同意事項，惟考量實務上仍有受輔助宣告之人在行使第一項規定退出權之意思表示上須輔助人協助之情形，爰定明受輔助宣告者應經輔助人同意，並由受輔助宣告之本人申請；此係有別於民法須輔助人同意事項之特別規定。

三、第三項定明停止特定目的外利用健保資料應自申請日之翌日起算三十日內以註記方式為之，並將同意註記及註記日期通知當事人、其法定代理人或監護人，使申請人明瞭請求停止特定目的外利用申請案件之辦理情形，以保障當事人權利。保險人受理請求後，經查有當事人健保資料者，即應註記停止特定目的外利用；又考量行政作業程序及資料交換之週期，故定明三十日之註記作業期限。

四、第四項授權主管機關訂定請求停止特定目的外利用健保資料之種類、範圍、註記與通知之內容及其他相關事項之辦法。

第十八條　當事人健保資料經註記停止特定目的外利用後，除保險人依第六條第二項規定將該等資料傳輸予主管機關外，主管機關及保險人均不得再對外提供特定目的外之利用；其停止特定目的外利用之效力，不溯及既往。

當事人請求停止健保資料特定目的外利用，經保險人註記後，即應停止對外提供利用，爰於本條前段定明除保險人依第六條第二項規定將該等資料假名化後傳輸予主管機關外，主管機關及保險人均不得再對外提供特定目的外利用；至於當事人健保資料經註記停止特定目的外利用前已核准利用之案件，若要一併停止利用，需追溯已完成統計之分析結果及進行中研究之數據，從中將請求停止特定目的外利用當事人之資料刪除，然提供特定目的外利用資料皆已假名化處理，無法從中識別當事人並刪除特定資料，實務上有窒礙難行之處，爰參考歐洲健康資料空間（European Health Data Space,EHDS）規則第七十一條規定，當事人有權隨時退出其電子健康資料二次利用，惟不影響其退出之前已核准之二次利用；以及英國國家資料退出政策（National Data Opt-Out,NDOO Programme）及芬蘭健康與社會資料二次利用法（Act on the Secondary Use of Health and Social Data）資料向後停止利用之模式，於本條後段定明停止特定目的外利用之效力不溯及既往。至該等已核准特定目的外利用健保資料者，其繼續利用，自應依本條例相關規定辦理，併予說明。

第十九條　當事人請求停止特定目的外利用其健保資料並經註記後，有下列情形之一者，主管機關或保險人仍得對外提供特定目的外利用：

一、依其他法律，主管機關或保險人有提供之義務。

二、為維護國家安全或增進公共利益。

三、為免除人民之生命、身體或財產上之急迫危險。

一、依本判決主文第四項意旨，定明例外不許停止特定目的外利用之事由，當事人請求停止其健保資料特定目的外利用並經註記後，在特定例外情況下，主管機關或保險人仍得繼續對外提供特定目的外利用。

二、參考英國國家資料退出政策（National Data Opt-Out, NDOO Programme）仍可為特定目的外利用情形之事由及體例，例如傳染病及其他公共衛生風險、認知疾病及其風險趨勢、控制與預防疾病及風險傳播、免疫計畫之實施與其有效性及安全性、疫苗及藥物不良反應、從食物或環境中所引發感染之風險、健康資訊揭露具有首要公共利益、依法律或法院命令要求揭露之病患機敏資料等；並參酌政府資訊公開法及其他法律得提供個人資訊之法定要件，兼顧私益與公益之平衡及基於謙抑原則，定明三種例外得不予停止特定目的外利用情形。

三、又第三款為免除人民之生命、身體或財產上之急迫危險，例如預防及控制傳染病傳播、避免公共衛生風險等，應涵蓋所有人民，非侷限於當事人，併予說明。

第二十條　以竊取、毀壞或其他非法方法，危害主管機關或保險人依第六條第一項所建置資料庫之核心資通系統設備或電腦機房之功能正常運作者，處一年以上七年以下有期徒刑，得併科新臺幣一千萬元以下罰金。

意圖危害國家安全或社會安定，而犯前項之罪者，處三年以上十年以下有期徒刑，得併科新臺幣五千萬元以下罰金。

前二項之未遂犯罰之。

一、健保資料為機敏性資料，其洩漏對人民之權益危害甚大，且其核心資通系統係資通安全管理法所定之政府機關關鍵基礎設施，為資通安全保護之重要系統，爰參考健保法第八十條之一第一項規定，就以竊取、毀壞或其他非法方法，危害儲存健保資料相關資料庫之核心資通系統設備或電腦機房之功能正常運作者，處予較刑法第三百五十四條毀損罪為重之處罰，爰為第一項規定。

二、考量國家安全與公共秩序為國家生存及社會發展之重要基石，意圖危害國家安全或社會安定而犯第一項之罪者，有嚴懲之必要，爰參考健保法第八十條之一第二項規定，於第二項加重刑度。

三、為周延法益保護，對於第一項及第二項之未遂行為仍應予處罰，爰於第三項定明其未遂犯之處罰。

第二十一條　對主管機關或保險人依第六條第一項所建置資料庫之核心資通系統，以下列方法之一，危害其功能正常運作者，處一年以上七年以下有期徒刑，得併科新臺幣一千萬元以下罰金：

一、無故輸入其帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵其電腦或相關設備。

二、無故以電腦程式或其他電磁方式干擾其電腦或相關設備。

三、無故取得、刪除或變更其電腦或相關設備之電磁紀錄。

製作專供犯前項之罪之電腦程式，而供自己或他人犯前項之罪者，亦同。

意圖危害國家安全或社會安定，而犯前二項之罪者，處三年以上十年以下有期徒刑，得併科新臺幣五千萬元以下罰金。

前三項之未遂犯罰之。

一、健保資料相關資料庫之核心資通系統係資通安全管理法所定之政府機關關鍵基礎設施，為資通安全保護之重要系統，有特別保護之重要性，以確保相關資料無洩漏之虞，參考健保法第八十條之二第一項規定，就妨害健保資料相關資料庫之核心資通系統之行為，危害其功能正常運作者，處予較刑法妨害電腦使用罪章為重之處罰，爰為第一項規定。

二、製作專供犯第一項之罪之電腦程式，而供自己或他人犯第一項之罪者，對於健保資料相關資料庫之運作恐致嚴重損害，爰於第二項定明該等不法行為刑責並採第一項相同之刑度。

三、考量國家安全與公共秩序為國家生存及社會發展之重要基石，意圖危害國家安全或社會安定而犯第一項及第二項之罪者，有嚴懲之必要，爰參考健保法第八十條之二第三項規定，於第三項加重刑度。

四、為周延法益保護，對於第一項至第三項之未遂行為仍應予處罰，爰於第四項定明其未遂犯之處罰。

第二十二條　違反第十一條第一項規定，未經主管機關或保險人核准，擅自就健保資料為特定目的外利用者，由主管機關或保險人處新臺幣二百萬元以上一千萬元以下罰鍰，並自處分送達之日起一年內，不准其申請特定目的外利用；其已取得之健保資料，應予銷毀。

就健保資料特定目的外之利用，申請者除屬第十條規定情形外，應依第十一條第一項備妥申請書及特定目的外利用計畫，並經主管機關或保險人審查核准後，始得為之，爰定明擅自為健保資料特定目的外利用之處罰，並自處分送達之日起一年內，管制其申請特定目的外利用；其已取得之健保資料，應予銷毀。

第二十三條　有下列情形之一者，由主管機關或保險人處新臺幣五十萬元以上二百五十萬元以下罰鍰，並限期令其停止執行、停止利用或改正；屆期未停止執行、停止利用或改正者，按次處罰，並得自罰鍰處分送達之日起一年內，不准其申請特定目的外利用：

一、未依第十一條第一項或第二項核准之計畫內容執行。

二、違反第十一條第二項或第二十五條準用第十一條第二項規定，修正、變更或展延經核准之特定目的外利用計畫，未經申請核准即予執行。

三、違反第十三條第一項或第二十五條準用第十三條第一項規定，未依主管機關或保險人指定之方式、時間或場所，執行健保資料之特定目的外利用。

四、違反第十三條第二項或第二十五條準用第十三條第二項所定辦法中有關禁止攜出項目或資通安全維護措施規定。

五、違反第十四條第一項或第二十五條準用第十四條第一項規定，執行健保資料特定目的外利用所得結果含有可識別個人身分之資料。

六、違反第十四條第二項或第二十五條準用第十四條第二項規定，將利用結果為原申請目的以外之利用。

七、違反第十五條第一項或第二十五條準用第十五條第一項規定，未提撥一定比率回饋金納入全民健康保險基金。

一、健保資料特定目的外利用之結果應依申請書及經核准之特定目的外利用計畫內容，妥善應用及保存。為強化健保資料特定目的外利用後之管理機制，爰參考人體生物資料庫管理條例第二十四條規定，規範對於健保資料特定目的外利用，有違反第十一條第一項及第二項、第十三條第一項及第二項所定辦法、第十四條第一項及第二項、第十五條第一項之行為；或違反第二十五條準用前揭規定之行為時之處罰，並自罰鍰處分送達之日起一年內，管制其申請特定目的外利用。此等違法行為若同時涉及刑事犯罪，移由司法機關處理，併予說明。

二、又第一款係規範申請者未依核准之特定目的外利用計畫內容執行，例如以學術研究為申請目的，卻進行商業利用；第六款違反原申請目的以外之利用係將利用結果移為他用，例如將利用結果再提供予他人使用，併予說明。

第二十四條　經依前二條規定處罰者，由主管機關或保險人處其實際為行為之人新臺幣五萬元以上五十萬元以下罰鍰。

前項行為之人具醫事人員資格，且違反醫事人員專門職業法律規定者，並依各該法律懲處之。

一、第十一條所定申請者為機關、機構、大學、法人，另本條例施行前，依主管機關或保險人所定作業原則或要點規定得申請特定目的外利用健保資料者為政府機關、機構等均非個人，為遏阻違法情事繼續發生，經依第二十二條及第二十三條規定處罰者，應一併處罰實際為行為之人，爰參考人體生物資料庫管理條例第二十七條第一項，為第一項規定。

二、第一項行為之人屬醫事人員，同時違反其專門職業法律者，仍應依各該法律懲處，爰參考人體生物資料庫管理條例第二十七條第二項，為第二項規定。

第二十五條　本條例施行前，經核准特定目的外利用健保資料，於本條例施行後仍繼續利用者，其繼續利用準用第十一條第二項與第三項及第十二條至第十五條規定。

本條例施行前，依主管機關或保險人所定作業原則或要點等規定申請核准特定目的外利用健保資料者，於本條例施行後，免依第十一條第一項規定重新申請，仍得繼續為特定目的外利用，惟其繼續利用仍應準用第十一條第二項與第三項及第十二條至第十五條規定辦理。至當事人請求停止特定目的外利用健保資料之相關規定，於本條例施行即當然適用，併予說明。

第二十六條　本條例施行細則，由主管機關定之。

本條例之細節性及技術性事項，授權主管機關訂定施行細則規範之。

第二十七條　本條例施行日期，由行政院定之。

考量本條例施行前之各項準備作業需時辦理，爰定明本條例施行日期，由行政院定之。