今日實作：條列二點差異

【Day 9】法規與政策：GDPR 與台灣個資法比較

前言

談到個人資料保護，歐盟的 GDPR（General Data Protection Regulation，一般資料保護規則） 常被視為全球最嚴格的法規之一。自 2018 年上路以來，GDPR 不僅影響了歐洲，也間接推動其他國家檢視自己的隱私保護措施。

台灣早在 2012 年就實施了 個人資料保護法（簡稱個資法），主要目的是規範政府與企業如何蒐集、處理與利用個人資料。但隨著數位化發展，台灣個資法的部分內容，已逐漸顯得落後或執行力不足。

本文將透過 兩個最明顯的差異 ——「資料權利保障」與「違規處罰強度」—— 來比較 GDPR 與台灣個資法，並探討它們對醫院資訊室的啟示。

差異一：病人資料的權利保障

GDPR 的做法

GDPR 特別強調個人對自己資料的 控制權。病人不只是「被保護的對象」，更是資料的主人。其主要權利包括：

• 被遺忘權：病人有權要求醫院刪除自己的資料，除非醫療需求或法律另有規定。
• 資料可攜權：病人可以要求醫院把自己的資料交給另一間醫療機構，方便轉診或跨院治療。
• 透明使用：醫院必須清楚告知病人資料蒐集目的，例如是醫療紀錄、研究，或行政用途。

台灣個資法的做法

台灣個資法也賦予民眾一定的權利，例如查詢、閱覽、更正、刪除個資，但實務上存在幾個問題：

• 刪除困難：醫療院所常以「醫療紀錄保存義務」為由，拒絕病人刪除資料。
• 資料可攜性不足：病人要把資料帶到其他醫院，常需親自申請紙本或光碟，流程繁瑣。
• 透明度不足：病人對資料用途的了解有限，醫院未必主動告知或解釋清楚。

差異總結

GDPR 對病人的資料權利保障更完整，台灣雖有相關條文，但在執行面與便利性上，仍有明顯落差。

差異二：違規處罰的強度

GDPR 的做法

GDPR 在執法上非常嚴格，違規的罰款金額可能高達：

• 2000 萬歐元，或
• 全球營收的 4%（取兩者中較高者）

這樣的懲罰足以讓企業與醫療機構高度重視資安與隱私。例如：GOOGLE曾因 GDPR 遭到巨額罰款。

台灣個資法的做法

台灣個資法的罰則相對較輕，多數情況下罰金金額落在數萬元到數百萬元之間。對大型醫療院所而言，這樣的金額不足以形成嚇阻效果。再加上許多案件缺乏公開透明的調查與後續追蹤，使得醫院往往選擇「低調處理」，導致外界難以掌握事件的全貌。

差異總結

GDPR 的高額罰款讓醫療機構不得不積極遵守規範；台灣的個資法則因處罰強度不足，使得部分醫院對資安事件的重視度不夠。

對醫院資訊室的啟示

從這兩個差異，我認為台灣醫院可以學到三點：

1. 病人是資料的主人
   醫院應該把病人的隱私權放在第一位，而不是僅僅當作法律責任。這包括提升資料透明度，讓病人知道他的資料被怎麼使用。

2. 強化資料可攜性
   未來若能建立電子病歷的跨院交換平台（例如 HL7 FHIR），就能更接近 GDPR 所強調的資料可攜權，讓病人轉診更便利。

3. 提升事件通報與懲處制度
   若政府能效法 GDPR，提高罰則金額，並要求外洩事件強制公開通報，將能提升整體醫療產業的資安水平。

總結

GDPR 與台灣個資法最大的差異，在於 病人資料的權利保障 與 違規處罰的強度。前者決定了病人能否真正掌控自己的資料，後者則決定醫院對資安的重視程度。

台灣若能借鏡 GDPR 的精神，不僅能改善病人對醫院的信任，也能強化醫療資訊安全，避免病歷外洩事件一再重演。