醫療機構提供病歷予衛生局是否構成公開病歷

一、問題／事實整理（LawChain 原文）

當事人詢問：若醫療機構（醫院或診所）將病患之病歷資料提供給當地衛生局，此行為是否構成「公開病歷」？是否侵犯病患之個人隱私？

資料來源：法律圈 LawChain

二、爭點

• 醫療機構將病歷提供予衛生主管機關，是否構成醫療法上之「公開病歷」或「洩漏病歷」？
• 衛生局調閱病歷之法律依據為何？醫療機構有無配合義務？
• 病歷資料之提供是否受個人資料保護法之規範？有無法定例外？

三、相關法條

醫療法第72條：醫療機構及其人員因業務而知悉或持有病人病情或健康資訊，不得無故洩漏。

醫療法第25條：主管機關對醫療機構得實施檢查及資料蒐集，醫療機構不得規避、妨礙或拒絕。

個人資料保護法第16條：公務機關對個人資料之利用，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有法律明文規定等例外情形者，得為特定目的外之利用。

個人資料保護法第20條：非公務機關對個人資料之利用，應於蒐集之特定目的必要範圍內為之。但為防止他人權益之重大危害、為增進公共利益所必要，或經當事人書面同意等情形者，得為特定目的外之利用。

四、涵攝分析

醫療法第72條規定醫療機構不得「無故」洩漏病人資訊，此處之「無故」係指無正當理由。衛生主管機關（衛生局）依醫療法第25條之規定，對轄內醫療機構享有檢查及資料蒐集之權限，醫療機構負有配合義務，不得規避、妨礙或拒絕。因此，醫療機構因配合衛生局之合法調查或監督而提供病歷資料，屬「有正當理由」之行為，不構成醫療法第72條所禁止之「無故洩漏」。

就個人資料保護法之適用而言，衛生局為公務機關，其依法執行醫療機構監督管理之法定職務，調閱病歷資料係在執行法定職務之必要範圍內，符合個資法第16條之規定。醫療機構作為非公務機關，依個資法第20條第1項但書之規定，為遵守法令或配合公務機關執行法定職務而提供個人資料，亦屬合法。

需要區分的是，衛生局調閱病歷係基於法定職權之監督管理行為，與任意對外「公開」病歷截然不同。衛生局人員對於因職務所知悉之病患資訊，同樣負有保密義務，不得任意對外揭露。

五、結論與建議

結論：醫療機構依法配合衛生局調查而提供病歷資料，不構成違法公開病歷，亦不侵犯病患隱私權。此屬法定例外情形，醫療機構有配合義務。

1. 醫療機構於配合衛生局提供病歷時，應確認調閱係基於合法之行政監督目的，並留存調閱紀錄。
2. 醫療機構提供病歷範圍應以衛生局調查所需為限，不宜逾越必要範圍。
3. 若病患對醫療機構提供病歷予衛生局之行為有疑慮，可向衛生局詢問調閱之法律依據及目的。
4. 若懷疑病歷資料遭衛生局人員不當外洩，病患得依個人資料保護法向該機關提出申訴或請求損害賠償。