從愛爾麗、光澤個醫美診所等偷拍風暴,解析醫療機構個人資料保護治理的重要性

2026-05-13

  近日愛爾麗、光澤等醫美診所爆發涉嫌偷拍風暴,衛生福利部清查發現已有多家醫美集團涉嫌於診療空間違法裝設攝錄影設備,甚至涉及病患隱私影像蒐集、處理與利用,引發社會一片譁然。媒體報導衛生福利部明確表示,若查證屬實,「該停業就停業」,並指出相關行為除可能違反《醫療法》外,也涉及違反《個人資料保護法》的問題。

  本事件的法律意義,不僅是醫療機構管理失當,更凸顯醫療機構在個人資料保護治理上的重大缺口。尤其當醫療機構對個人資料蒐集、處理及利用欠缺法律界線認知時,所承擔的風險,往往不只是行政罰鍰,更可能進一步涉及刑事責任與民事賠償。

一、病患診療影像是否屬於個人資料?

  依《個人資料保護法》第2條第1款規定:所謂個人資料,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

  依《個人資料保護法施行細則》第4條第2項規定:本法第2條第1款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。

  因此,醫美診所內病患遭拍攝之影像資料,通常涉及臉部影像、身體特徵、診療內容、就診資訊、 醫療處置過程等,即屬個人資料。若內容涉診察及治療等資訊,則進一步屬於法律高度保護之「特種個人資料」。

二、病患醫療影像屬特種個人資料

  依《個人資料保護法》第6條規定:有關醫療、健康檢查、基因、性生活、健康檢查及犯罪紀錄等資料,屬特種個人資料。其法律原則為原則禁止蒐集、處理或利用除非符合法定例外情形,例如法律明文規定、公務機關依法執行法定職務、非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施、經當事人書面同意等且未逾越特定目的必要範圍,才能對該個人資料蒐集、處理與利用。

  本案若醫療機構在病患不知情情況下錄影,甚至以偷拍方式蒐集影像資料,基本上不具《個人資料保護法》規範中合法的例外情形,而是構成違法蒐集病患特種個人資料。

三、醫療機構常見錯誤的個人資料蒐集行為

  醫療機構涉及病患隱私影像蒐集的行為,即使提出內部教育訓練使用、醫療品質管理、糾紛預防存證、安全管理等理由,而這些理由並不會使蒐集病患影像行為合法化。依《個人資料保護法》規範,仍要求醫療機構涉及病患隱私影像蒐集的行為必須符合目的特定原則、必要性原則及告知義務。

  醫療機構蒐集個人資料,須具有明確、合法且特定目的。若以「安全管理」為名,實際卻於診療空間偷拍病患診療情況,則與正當目的不符。若以避免醫療糾紛或醫療教學等理由,也必須採取侵害最小方式,並應做到預先請病患書面簽署同意書,以及拍攝去識別化教學素材,就可能達成合法目的,絕不應採用偷拍方式進行病患影像資料的蒐集。

  又依《個人資料保護法》第8條規定蒐集個人資料時,應告知蒐集機關名稱、蒐集目的、利用期間、利用地區、利用對象、當事人權利及不提供資料可能影響,而偷拍行為當然不可能履行法定告知義務。若以避免醫療糾紛或醫療教學等理由錄影,除預先請病患書面簽署同意書,也必須包含上述法定告知義務內容。

四、醫療機構違反《個人資料保護法》的行政責任

  醫療機構若涉及病患隱私影像違法蒐集、處理或利用,主管機關除得裁處罰鍰外,並可依《個人資料保護法》第25條等規定處分,包括命停止蒐集、命停止處理、命停止利用、刪除資料、公布違法情形,及其姓名或名稱與負責人等,醫療機構還可能依照《醫療法》遭受主管機關處分停業、廢止開業執照、罰鍰等行政裁罰。因此,愛爾麗、光澤等醫美診所涉嫌爆發偷拍行為絕非單純公關危機,而是重大違法事件。

五、醫療機構違反《個人資料保護法》的刑事責任

  依《個人資料保護法》第41條規定:公務機關或非公務機關之代表人、管理人、受僱人或其他從業人員,若意圖為自己或第三人不法之利益,或損害他人之利益,而違反《個人資料保護法》相關規定,致足生損害於他人者,可能成立刑事責任。法定刑為五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。

  愛爾麗、光澤等醫美診所爆發涉嫌偷拍行為若經查符合以下情形,涉及刑責風險。例如未經合法依據蒐集病患個人影像資料、超越蒐集目的利用病患個人影像資料、未經病患同意保存診療影像。又意圖為自己或第三人不法之利益或意圖損害他人之利益,例如將偷拍內容作為行銷素材、私下觀看、內部傳播、商業用途等即可能構成此項違法要件。而且只要客觀上足以造成病患隱私權受侵害、名譽損害、精神痛苦等即可能成立,不需實際已造成重大損害。

六、醫療機構的民事賠償責任

  愛爾麗、光澤等醫美診所涉嫌偷拍病患事件,病患得依民法主張侵害人格權、隱私權侵害,要求精神慰撫金的非財產上損害賠償。醫療機構負責人、實際執行者以及法人本身,均可能負連帶賠償責任。而對醫療機構的品牌而言真正可怕的往往不是精神慰撫金的賠償金額,而是病患對於醫療機構信任的全面崩盤。

  愛爾麗、光澤等醫美診所涉嫌偷拍病患事件,揭露的不只是個別醫療機構違反法律規範。更深層的問題,則是醫療機構是否真正理解「個人資料保護治理」與「隱私權保障」的法律底線。個人資料保護應建立的是完整治理制度,包括個人資料盤點、特種個人資料管理、影像設備設置規範、個人資料存取權限控管、個人資料保存期限管理、個人資料委外管理、個人資料保護教育訓練、個人資料事故通報標準流程等。在數位時代,病患個人資料本身就是醫療機構持有的資產之一。但若醫療機構以違法方式取得病患個人資料,病患個人資料將不再是醫療機構持有的資產,而是會成為刑事與行政處罰及民事賠償等風險的來源。

個人資料保護研究發展委員會 主委 楊白全

Share