新版個資法中員工健康檢查紀錄蒐集之適法性研究

作者/簡順堂

前言 以前曾聽過一則傳聞:竹科的老闆會檢查員工的尿液是否有很多泡泡,來確定員工上班是否夠盡心盡力……。姑且不論傳聞是否屬實,但在新版個資法內容中,健康檢查資料屬於特種個資,有蒐集處理的嚴格規定,因此企業主蒐集員工的健康檢查資料的作法是否合法?企業應如何合法運用員工的健康檢查紀錄?我們將在文中進行探討。 企業是否可以蒐集員工的健康檢查紀錄?
    §個人資料保護法第六條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。
上述是個資法對於特種個資的管制規定,由於我們在此僅討論「健康檢查結果」這項個資,因此企業是否可蒐集處理員工的健康檢查紀錄,首先要判斷的就是是否符合新版個資法中第一項「法律明文規定」要件?
    §「勞工安全衛生法」第12條 雇主於僱用勞工時,應施行體格檢查;對在職勞工應施行定期健康檢查;對於從事特別危害健康之作業者,應定期施行特定項目之健康檢查;並建立健康檢查手冊,發給勞工。 前項檢查應由醫療機構或本事業單位設置之醫療衛生單位之醫師為之;檢查紀錄應予保存;健康檢查費用由雇主負擔。 前二項有關體格檢查、健康檢查之項目、期限、紀錄保存及健康檢查手冊與醫療機構條件等,由中央主管機關定之。 勞工對於第一項之檢查,有接受之義務。
企業蒐集員工的健康檢查資料,依據勞工安全衛生法是於法有據的。勞委會勞工安全衛生處也進一步解釋這條法令:「雇主於僱用勞工時應實施體格檢查;對在職勞工應實行定期健康檢查,所稱體格檢查係指於僱用勞工或變更其工作時,為識別勞工工作適性,考量其是否有不適合作業之疾病所實施之健康檢查。所稱健康檢查係指依在職勞工之年齡層,於一定期間所實施之一般健康檢查;及從事特別危害健康作業之勞工,依其作業危害性,於一定期間所實施之特殊健康檢查,其目的在保護勞工健康,以早期發現職業病,並改善勞工作業環境。」
    目前適用勞工安全衛生法的行業,依該法第4條所列的15項行業包括: 一、農、林、漁、牧業。 二、礦業及土石採取業。 三、製造業。 四、營造業。 五、水電燃氣業。 六、運輸、倉儲及通信業。 七、餐旅業。 八、機械設備租賃業。 九、環境衛生服務業。 十、大眾傳播業。 十一、醫療保健服務業。 十二、修理服務業。 十三、洗染業。 十四、國防事業。 十五、其他經中央主管機關指定之事業。 §九十年行政院勞工委員會另外公告指定適用勞工安全衛生法之事業及適用部分工作場所之事業如下: 一、銀行業。 二、建築及工程技術服務業。 三、保全服務業。 四、遊樂園業。 五、環境檢測服務業。 六、教育訓練服務業之高級中學、高級職業學校之實驗室、試驗室、實習工場或試驗工場(含試驗船、訓練船)。 七、批發業、零售業中具有冷凍(藏)設備、使勞工從事荷重一公噸以上之堆高機操作及儲存貨物高度三公尺以上之工作場所。
這期間勞委會也不斷的又納入了許多行業,但是勞工安全衛生法其實還是沒有包含所有的勞工,像我們自己資訊服務業就沒有包含在內。包含在上述行業的勞工,新個資法施行後,雇主仍可依法蒐集、處理,並進行符合「特定目的」的利用,其他的勞工呢?就要看勞工安全衛生法的修正了。
    行政院勞動委員會特地於一00年4月28日工殤日前夕,完成勞工安全衛生法修正草案。行政院院會則於9月29日通過「勞工安全衛生法」修正草案,修正名稱為「職業安全衛生法」,並已函請立法院審議中。可是立法院很忙的,勞工與環境團體於一0一年1月3日舉行記者會,表示在這個立法院會期遭到阻擋的「職業安全衛生法」若不儘早過關,將持續傷害勞工健康,呼籲下屆會期應通過職安法,保障1,000多萬勞工的權益。這個修法的特色簡述如下: 一、人的適用範圍擴大:本次修正如經立法院照案通過,其適用範圍將由現行670萬人擴大至1,067萬人,幾乎涵蓋所有職場工作者。 二、體格檢查、健康檢查之施行:
    • 新法除保留一般健康檢查及特殊健康檢查,另新增中央主管機關為保護勞工健康,得指定特定對象及特定健康檢查項目,要求其雇主施行特定性或臨時性之健康檢查。費用亦由雇主負擔。
    • 有關檢查項目、期間、對象、健康管理分級;醫療機構之認可條件、管理、檢查醫師資格、檢查紀錄保存;通報內容、方式、期限與一般健康檢查之指定通報項目及其他應遵行事項之辦法,將另由中央主管機關定之。
依據上述,我們了解如果「職業安全衛生法」獲得立法院審議通過,那全國的勞工應該就都涵蓋進去了,所有的雇主就都可以於法有據的蒐集、處理員工的健康檢查資料。那蒐集的健康檢查資料是否有範圍的限制,是否任何健康檢查紀錄都可以蒐集,答案是否定的,解析如下: 公司蒐集健康檢查紀錄是否有範圍限制?
    依行政院衛生署九十六年3月3日署授國字第0960200143函:「醫療法第72條規定,旨在保障病人病情之隱私權,縱其費用由雇主負擔,亦不得危害勞工之隱私權。爰此,健檢結果之資料,除有勞工安全衛生法第12條第1項所訂之勞工體格及健康檢查,為雇主對作業場所安全衛生管理所必要,得認非屬醫療法第72條所稱「無故洩漏」外,其他檢查結果應有勞工同意文件,始得提供」。 行政院勞委會亦曾表示,基於選工、配工、職業病預防及職場健康管理需要,企業保存及管理員工健檢報告符合「特定目的」所為之搜集與處理,但是企業必須要有適當安全維護措施以符合新版個資法第6條第1項第2款的規定,同時保障勞工隱私權。上述是針對「勞工健康保護規則」所訂的檢查項目,若有在該規則外的檢查項目及結果仍依個資法規定辦理。
甚麼是「勞工健康保護規則」呢? 規則要求雇主負有健檢資料管理與保存之責任,並律定了健康檢查的項目及年限,僅小部分摘錄大家較關心的內容如下:
    一、一般健康檢查: 1、檢查項目:
    • 既往病歷及作業經歷之調查。
    • 自覺症狀及身體各系統之物理檢查。
    • 身高、體重、視力、色盲及聽力檢查。
    • 胸部X光(大片)攝影檢查。
    • 血壓測量。
    • 尿蛋白及尿潛血之檢查。
    • 血色素及白血球數檢查。
    • 血糖、血清丙胺酸轉胺脢(ALT或稱SGPT)、肌酸酐(creatinine)、膽固醇及三酸甘油酯之檢查。
    • 其他必要之檢查。
    2、一般健康檢查檢查年限:
    • 年滿65歲者,每年檢查1次。
    • 年滿40歲未滿65歲者,每3年檢查1次。
    • 未滿40歲者,每5年檢查1次。
    二、特殊健康檢查: 1、須實施之作業場所:
    • 高溫作業。
    • 噪音暴露工作日8小時日時量平均音壓級在85分貝以上之作業。
    • 游離輻射作業。
    • 異常氣壓作業。
    • 鉛作業。
    • 四烷基鉛作業。
    • 粉塵作業。
    • 有機溶劑作業。
    • 苯、氯乙烯、二異氰酸、異佛爾酮、二異氰酸甲苯、石綿、錳及其化合物、砷及其化合物、聯啶、巴拉刈、黃磷、鈹及其化合物、聯苯胺及其鹽類等之製造、處置或使用作業。
    • 其他經中央主管機關指定之作業。
    2.保存年限
    • 一般健康檢查紀錄至少保存十年以上。
    • 特殊健康檢查紀錄十年、三十年。
上述的說明希望讓您了解企業可以合法蒐集處理健康檢查資料的法源條列,答案很明確的,依據勞工安全衛生法,適用的670萬勞工,雇主都可以合法地蒐集處理符合「勞工健康保護規則」項目的健康檢查紀錄,其他不適用的勞工,建議雇主在「職業安全衛生法」通過前請不要蒐集處理員工的健康檢查資料。 接下來我們討論當雇主於法有據的蒐集處理健康檢查紀錄時,是否仍需告知員工,以及後續針對健康檢查紀錄的利用是否有相關的限制等問題。 企業蒐集健康檢查紀錄是否需要告知當事人? 企業蒐集員工健康檢查紀錄,如係由員工交付屬於直接蒐集,則依
    §個資法第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。
如果公司蒐集員工健康檢查資料由健檢機構交付則可屬於間接蒐集,則依
    §個資法第九條 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。
依上述兩個法條,不論屬於直接蒐集還是間接蒐集,答案都是一樣的,依據第八條第二項第二款「非公務機關履行法定義務所必要」,亦即履行勞工安全衛生法規定的義務,得免為前項之告知,因此,雇主依勞工安全衛生法蒐集、處理、利用員工健康檢查紀錄,是不必告知當事人相關事項的。 公司利用員工的健康檢查紀錄是否有限制?
    §個資法第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
包含上述的第五條,前面總共提到三次「特定目的」了,特定目的是甚麼?基本上就是公司宣告對於個人資料將利用的方式,在本文中也就是企業在利用員工的健康檢查紀錄上的限制。我們要保護我們的健康檢查資料,當在蒐集處理的部分公司都於法有據時,在利用方面的限制便是我們保護我們健康檢查紀錄所必須注意的了。 特定目的指的是電腦處理個人資料保護法於民國八十五年08月07日由法務部公發布的各種特定目的項目,節錄相關代號如下:
    代號        特定目的項目 ○○一 人身保險業務 (依保險法令規定辦理之人身保險相關業務) ○○二 人事行政管理 …… ○二一 行銷 (不包括直銷至個人) ○二二 行銷 (包括直銷至個人) …… ○三一 科技管理 …… ○三七 客戶管理 …… ○四五 個人資料之交易 …… ○四八 財產保險業務 (依保險法令規定辦理之財產保險相關業務) ○四九 財產管理 …… ○五三 教育或訓練行政 ○五八 採購與供應管理 …… ○六○ 統計調查與分析 …… ○六三 會計與相關服務 ○六四 電信監理業務 ○六五 資訊與資料庫管理 ○六六 會員 (籍) 管理 (含會員指派之代表) …… ○七○ 發照與登記 …… ○七四 經營電信業務與電信加值網路業務 …… ○七九 學生資料管理 ○八○ 徵信 ○八一 學術研究 …… ○九七 其他合於營業登記項目或章程所定業務之需要 …… 一○一 其他諮詢與顧問服務。
舉例而言,例如中華電信依電信業電腦處理個人資料管理辦法第六條規定,公告電信業電腦處理個人資料(登記、變更登記、終止登記、補發執照)申請書,內容節錄如下:
    申請機構:中華電信股份有限公司 申請日期:九十八年09月23日 登記項目: 1.申請機構名稱:中華電信股份有限公司 2.總公司所在地:台北市信義路一段21之3號 3.代表人姓名:。。。 4.個人資料檔案名稱:客戶基本資料檔、客戶應收款檔 5.保有之特定目的: 022/行銷(包括直銷至個人)、037/客戶管理、060/統計調查與分析、065/資訊與資料庫管理、074/經營電信業務與電信加值網路業務、080/徵信、097/其他合於營業登記項目或章程所定業務之需要、101/其他諮詢與顧問服務。(下略)
因此,中華電信對於個資的利用不可超過上述特定目的範圍之外。相同的,各企業在新個資法施行後雖不必再像電腦個資法當初規範的幾種行業蒐集個資必須提出申請,可是依新個資法
    §第二十七條非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
各非公務機關保有個人資料檔案者,將被要求訂定個人資料檔案安全維護計畫,計畫內亦將需明定蒐集、處理、利用之特定目的,對於健康檢查紀錄的利用特定目的,應該不得逾越勞工安全衛生法所訂定的目的,如有其他特殊利用目的,亦應該要獲得當事人的書面同意為宜。 結語 筆者原只想分析企業蒐集員工健康檢查紀錄的相關議題,沒料到相關的法條與規定還是相當的繁多,一不小心就變成長篇大論了,如果上述論點有任何疑義與問題,還請大家不吝指教。 參考資料
  • 個人資料保護法
  • 電腦處理個人資料保護法
  • 勞工安全衛生法
  • 職業安全衛生法草案
  • 勞工健康保護規則
  • 行政院衛生署九十六年3月3日署授國字第0960200143函
  • 中華電信股份有限公司網頁