前言
「您好,請問是OOO女士嗎?我這裡是醫院個資外洩調查小組,您的病歷資料已被不法集團取得,需要您配合提供銀行帳戶資訊進行安全設定……」
這樣的詐騙電話,在2026年已不再是電影情節。當您收到醫院通知「系統遭駭客入侵,部分病患資料可能外洩」,或是從新聞上看到「國內大型醫療機構病歷遭境外駭客竊取並在暗網販售」,心中浮現的絕不只是憤怒,更多的是無助與恐懼。
病歷外洩與一般姓名、電話外洩有何不同?醫院也是駭客攻擊的被害人,病患還能向醫院求償嗎?自己沒有被詐騙走錢,只有擔心和不安,也可以請求賠償嗎?要怎麼證明自己的資料真的在外洩名單中?能不能和其他受害者一起提告?
這些疑問,是每一位可能受到影響的病患最迫切的問題。本文將以2026年6月檢方起訴的「國內大型醫療機構病歷遭竊案」為切入點,從法律實務角度,為您完整解析醫療個資外洩的求償路徑。
壹、近期醫療個資買賣案的法律重點
一、案件事實摘要
2026年6月,檢方偵辦一起駭客入侵國內大型醫療機構系統案件,起訴兩名涉嫌向境外駭客購買醫院病患個人資料之人員。根據檢方指控,該等人士涉嫌以不明管道與境外駭客聯繫,取得包含病歷、醫療記錄、基因檢測資料及健康檢查報告在內的大量敏感個資,並下載儲存,伺機轉售牟利。
⚠️ 重要提醒:本案目前僅經檢察官起訴,尚未經法院判決確定。依刑事訴訟法第154條規定,被告未經審判證明有罪確定前,推定其為無罪。本案仍在司法程序中,相關事實有待法院審理釐清。
二、購買與販售個資可能涉及哪些刑責
從本案涉及的個資類型與行為態樣來看,可能觸犯的法規包括:
個人資料保護法第41條:意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項(非法蒐集、處理或利用特種個人資料),足生損害於他人者,可處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
個人資料保護法第6條第1項:病歷、醫療、基因、健康檢查等特種個人資料,原則上不得蒐集、處理或利用;若無法定例外情形而為之,即屬違法。
刑法妨害電腦使用罪章、洗錢防制法等相關規定:視具體行為態樣,可能另涉及其他刑事責任。
三、駭客刑責、買家刑責與醫院責任必須分開判斷
本案牽涉三個層次的法律責任,必須分別討論,不能混為一談:
駭客(直接入侵者):涉及刑法妨害電腦使用罪、個人資料保護法刑事責任,以及民事侵權損害賠償責任。
購買與轉售者(買家):涉犯個人資料保護法第41條之非法蒐集、利用個資料罪,以及可能成立的共同侵權行為責任。
醫院(資料保管者):涉及是否違反個人資料保護法第27條之安全維護義務,以及民事損害賠償責任——這正是本文核心。
病患最關心的,永遠是「醫院是否要負責、能不能拿到賠償」。而這,正是以下要深入分析的重點。
貳、為什麼病歷與健康資料受到更高程度保護?
一、個人資料保護法第6條的特殊保護
依**個人資料保護法第6條第1項規定,有關「病歷、醫療、基因、性生活、健康檢查及犯罪前科」之個人資料,原則上不得蒐集、處理或利用**。相較於一般個人資料(姓名、電話、地址等),特種個人資料受到更高程度的保護。
為什麼法律要給予更高保護?因為這些資料一旦外洩,可能揭露的不只是個人的身體狀況,還包括:
疾病與用藥記錄:可能被用來評估個人健康風險、拒絕保險承保,或作為歧視依據。
身心狀況:精神科就診記錄、身心障礙資訊,可能影響就業、人際關係與社會評價。
生育及家族病史:涉及個人及家族隱私,可能遭不當利用。
財務與保險風險:健康狀況足以影響保險核保、金融貸款或工作機會。
身分、聯絡方式與就醫軌跡:可完整勾勒個人生活樣貌,衍生詐騙、勒索等二次侵害。
二、外洩的損害不限於金錢損失
因此,病歷與醫療個人資料外洩,不能只以「有沒有被騙走錢」來判斷有無損害。人格權、隱私權、資訊自主權的侵害,本身就可能構成法律上的非財產損害。實務上,法院在審理個資外洩案件時,會綜合考量資料敏感程度、外洩範圍、是否被實際利用、被害人所受客觀影響等因素,判斷有無損害以及損害數額。
參照判決(114年度上字第158號),法院雖於該案中認定個資蒐集行為未達侵權程度,但亦明確指出病歷屬特種個人資料,取得未符合個人資料保護法第6條第1項之例外情形者,即屬不法蒐集、利用。此見解說明了法院對病歷資料的高度保護態度。
參、醫院遭駭客攻擊,就一定要賠病患嗎?
這是病患最核心的疑問。答案並非簡單的「是」或「否」,而須依具體情況判斷。
一、醫院屬於個資蒐集、處理與利用者
醫院在提供醫療服務的過程中,依法必須製作並保存病歷(醫師法第12條、醫療法第67條),因此屬於個人資料保護法所稱的「非公務機關」,負有遵守個資法相關規定的義務。
二、醫院有採取適當安全維護措施的義務
依**個人資料保護法第27條第1項**規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。主管機關(衛生福利部、國家資通安全會報等)亦訂有相關指引與規範。
換句話說,法律課予醫院積極維護病患資料安全的義務,而非僅消極不主動外洩即可。
三、駭客犯罪不當然切斷醫院可能負擔的責任
醫院不能單純以「我們也是受害者」當作當然免責的理由。雖然駭客攻擊是第三人的犯罪行為,但醫院是否已善盡其安全維護義務,才是判斷醫院是否應負賠償責任的關鍵。
四、醫院也不會因為資料被駭,就當然推定有過失
反之,病患也不能只要證明「醫院發生駭客攻擊」,就直接認定醫院有過失。法院會實質審查醫院在事件發生前,是否已採取當時科技水準下合理且適當的資安措施。
五、應判斷醫院是否已採取當時合理且適當的資安措施
法院在判斷醫院是否已盡義務時,通常會考量以下因素:
漏洞是否已知卻未修補:若該弱點已有資安通報或業界已知風險,醫院卻未及時更新或修補,可能被認定有過失。
權限管理是否適當:系統帳號權限是否依最小權限原則設定?離職人員是否及時停用帳號?
備份與加密措施:病歷資料是否有加密儲存?備份是否完善?
監控與通報機制:是否有入侵偵測系統?異常登入是否及時發現並啟動應變?
外包資訊廠商疏失時,醫院是否仍須負責:若醫院將資訊系統委外,委外廠商的疏失不等於醫院當然免責。醫院仍有監督義務,且可能依民法第188條或第224條負連帶責任。
六、主管機關行政裁罰與病患民事求償是不同程序
即便醫院因資安缺失被主管機關裁罰(例如依個人資料保護法第47條處新臺幣五萬元以上五十萬元以下罰鍰),也不等於病患當然可以獲得民事賠償。行政責任與民事責任的構成要件、舉證標準均不相同,病患仍須個別或集體提出民事訴訟主張權利。
參照判決(113年度上訴字第1807號),該案法院認為被告雖有違反個人資料保護法第6條之行為,但主觀上無不法意圖,且資料未對外散佈,故刑事責任不成立。此判決說明了刑事責任與民事責任的分野——刑事犯罪強調「主觀不法意圖」,而民事責任則側重「客觀義務違反」與「損害結果」。
肆、病患求償需要證明哪些事情?
病患若欲向醫院提起民事損害賠償訴訟,依**民法第184條第1項前段及個人資料保護法第29條**等規定,應舉證以下事項:
一、自己的個資確實被蒐集或外洩
這是求償的第一步,也是最困難的一步。病患需要證明自己的資料確實在此次事件中被外洩。
可舉證之證據:
醫院寄發的通知信、簡訊或電話紀錄。
醫院官網公告或新聞稿。
主管機關(如衛生福利部、國家資通安全署)公布的調查結果或受影響人數。
暗網資料庫查詢結果(需注意證據能力)。
詐騙電話、釣魚簡訊或電子郵件(若對方能正確說出您的就醫資訊)。
二、被告醫院或其他機構負有個資保護義務
此部分較容易證明——醫院依法製作並保存病歷,即為個人資料保護法所稱之「非公務機關」,負有安全維護義務。
三、醫院安全維護措施是否有欠缺
這是訴訟的核心爭點。病患可能需要透過:
資安專家鑑定報告。
醫院過往資安評鑑或稽查結果。
是否曾發生類似事件而未被改善。
系統登入紀錄、異常存取記錄等。
四、外洩事件與醫院系統是否有關
若外洩途徑不明,或可能來自其他管道(如病患自行將資料提供給第三方、其他機構外洩等),則因果關係可能難以建立。
五、病患受到的財產或非財產損害
病患須具體說明自己受到哪些損害,包括:
財產損害:被詐騙而匯出的款項、被冒名申辦貸款或信用卡所產生的損失。
非財產損害:隱私侵害、人格權受損、精神痛苦、焦慮失眠等。
六、外洩與損害間的因果關係
病患須證明:因為醫院的疏失導致資料外洩,而該外洩直接或間接導致了後續的損害。
七、被詐騙、恐嚇或冒名申辦時的證據串聯
若有後續衍生犯罪,須保存:
詐騙電話錄音(注意合法性)。
報案三聯單。
銀行帳戶異常交易明細。
聯徵中心信用報告異常記錄。
心理諮商或身心科就醫記錄。
伍、沒有實際金錢損失,也能請求精神慰撫金嗎?
一、法規依據
依個人資料保護法第29條第2項(非公務機關)及第28條第2(公務機關),被害人雖非財產上之損害,亦得請求賠償相當之金額。
另依民法第195條第1項規定,不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。
因此,沒有實際金錢損失,並不代表不能請求賠償。隱私權、人格權受侵害本身,就可能產生非財產損害。
二、法院如何判斷精神慰撫金的金額?
然而,並非只要資料外洩,法院就會固定給付一筆金額。法院會綜合判斷以下因素:
資料敏感程度:病歷、醫療資料的敏感性高於一般姓名電話,可能獲得較高慰撫金。
外洩範圍與持續時間:受影響人數、資料被公開或持續流通的時間。
是否已被他人利用:是否已發生詐騙、恐嚇、身分冒用等實際侵害。
醫院的補救措施:醫院是否即時通知、主動提供信用監控服務、改善資安等。
病患的實際影響:是否因此失眠、焦慮、就醫、影響工作或生活。
三、個資法設有法定計算方式
依個人資料保護法第28條第3項規定,若被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
⚠️ 重要提醒: 此法定計算方式有其適用條件,且設有總額上限(同條第4項:同一原因事實造成多數當事人權利受侵害,合計最高總額以新臺幣二億元為限)。法院仍會依個案情節調整金額,不得直接保證每名病患都能獲得固定金額。
參照判決(114年度上訴字第375號),該案被告將前妻病歷傳送至幼兒園群組,法院即認定其行為已足生損害於他人,構成個人資料保護法第41條之罪。此案說明了即使資料外洩範圍有限(僅幼兒園群組),法院仍認為侵害情節已達可罰程度。當然,民事慰撫金的數額仍須視具體情節而定。
陸、應該告駭客、買家、醫院,還是資訊廠商?
一、駭客是直接侵入及竊取者
駭客的行為構成刑法妨害電腦使用罪、個人資料保護法等刑事犯罪,同時亦對被害人負民事侵權責任。問題是,駭客多在境外、使用匿名技術,追償難度極高。
二、購買或轉售者可能是不法利用者
如同前述新聞案例中的買家,其購買、下載、伺機轉售行為,本身即屬非法利用個資,應負刑事及民事責任。若能掌握其身分與資產,求償較有實益。
三、醫院可能涉及安全維護義務
如前所述,醫院是否應負賠償責任,取決於其是否已盡安全維護義務。這是多數病患最有可能主張的求償對象,因為醫院在境內、有資產、有商業責任險,且與病患存在醫療契約關係。
四、資訊委外廠商可能涉及契約或侵權責任
若醫院的資訊系統委由外部廠商維護,且該廠商的疏失導致系統漏洞,病患亦可主張該廠商應依民法第184條或第185條負連帶賠償責任。但需注意,病患與廠商之間通常無直接契約關係,請求權基礎以侵權行為為主。
五、數名行為人是否構成共同侵權
依民法第185條規定,數人共同不法侵害他人之權利者,連帶負損害賠償責任。若駭客入侵、買家購買、醫院疏失可認定為共同原因,理論上可請求連帶賠償。但實務上,境外駭客難以追償,共同侵權的舉證也相對困難。
六、境外駭客難以追償時的實務困難
實務上,病患若選擇對境外駭客提告,可能面臨管轄權、送達、判決執行等重重障礙。因此,多數病患會將求償重心放在境內可追查的對象上。
七、選擇被告前應先查明資料流向與責任基礎
建議病患先向醫院要求說明資料流向、事件調查報告,確認外洩原因與責任歸屬,再由律師評估對哪些對象提告最具實益。
柒、病患發現資料疑似外洩,現在應做什麼?
一、確認通知真偽,不點擊不明連結
首先確認醫院的通知是否真實。詐騙集團常利用病患焦慮心理,偽冒醫院名義發送釣魚簡訊或電子郵件。切勿直接點擊連結或回覆個人資料。
二、向醫院要求說明外洩資料種類與期間
正式以書面或電話方式請醫院說明:外洩的資料種類、可能影響的起訖時間、醫院已採取哪些補救措施、是否有提供後續服務(如信用監控或個資保護服務)。
三、更換重複使用的密碼並啟用雙重驗證
若您在醫院的系統或相關APP使用過帳號密碼,且該密碼與其他網站相同,建議立即更換密碼,並啟用雙重驗證。
四、留意假冒醫院、保險公司、銀行或檢警的詐騙
詐騙集團可能利用取得的就醫資訊,偽冒醫院人員、保險公司理賠專員、銀行行員或檢警單位,要求您提供更多個資或匯款。接到來電時,務必掛斷後自行撥打官方電話確認。
五、保存詐騙聯繫、帳戶異常與損害證明
若您已接到可疑電話或簡訊,請保留通聯記錄、簡訊截圖、郵件內容及時間戳記。若已有實際損失(匯款、帳戶被盜用),立即報警並取得報案證明。
六、向警察、調查機關或個資主管機關反映
您可向內政部警政署刑事警察局、法務部調查局或國家資通安全署提出反映或檢舉,有助於主管機關掌握事件全貌並啟動調查。
七、涉及信用或金融資料時通知金融機構
若外洩資料包含身分證字號、金融帳戶或信用卡資訊,建議主動通知往來銀行與金融機構,設定異常交易通知,並向財團法人金融聯合徵信中心申請信用報告,確認有無異常查詢或冒名申辦。
八、評估個別訴訟、共同訴訟或團體訴訟
若受影響人數眾多,可考慮以下途徑:
個別訴訟:適合損害額度較高、情況特殊的病患。
共同訴訟:多名病患對同一被告提起訴訟,可共享證據、節省訴訟成本。
團體訴訟:依個人資料保護法第32條及相關規定,符合一定條件時可由財團法人或公益社團法人提起團體訴訟,對大量被害人的保護更為全面。
九、注意個資損害賠償請求權時效
依個人資料保護法第30條規定,損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自有侵權行為時起,逾五年者亦同。時效期間不長,建議病患應及早諮詢律師並評估是否採取法律行動。
捌、謹律律師專業解析
一、第一步不是喊價求償,而是確認外洩範圍與責任鏈
在本所處理的個資外洩案件經驗中,最常見的錯誤就是病患在不明確案情全貌時,直接要求「賠我多少錢」。事實上,求償的第一步應該是:
確認自己的資料是否確實在此次事件中外洩。
查明外洩的資料類型與數量。
了解醫院的資安措施狀況及事件發生原因。
確認有無其他責任主體(資訊廠商、外包商等)。
只有在責任鏈清楚、損害範圍明確後,才能合理評估求償金額。
二、區分「資料被偷」、「資料已公開」、「資料已被販售」、「資料已被拿去詐騙」四個階段
這四個階段的損害狀態與證據強度截然不同:
資料被偷但未公開:損害較難證明,但若有醫院通知或系統入侵紀錄,仍可主張隱私權侵害。
資料已公開或上暗網:損害較明確,可舉證資料已達不特定多數人可閱覽狀態。
資料已被販售:可進一步證明侵害的商業化與持續性。
資料已被用於詐騙或冒名:損害最具體,財產損失或信用損害可具體計算。
病患應與律師討論自己所處的階段,以制定最有利的訴訟策略。
三、對醫院求償的核心:安全維護義務,而非單純責怪醫院遭駭
病患對醫院求償,法律上要論證的是「醫院未盡安全維護義務」,而非「醫院被駭客入侵」。前者是過失責任的基礎,後者只是事件結果。因此,關鍵在於:醫院的系統是否存在已知且可修的漏洞?醫院的資安人員配置是否合理?醫院的應變機制是否即時?這些才是法院判斷的重點。
四、大量病患共同受害時,應評估團體訴訟與證據共享
若本次事件影響人數眾多(例如數百人或數千人),個別提起訴訟不僅耗費時間與勞力,證據調查也可能重複。此時,應考慮由消費者保護團體或個資保護團體提起團體訴訟,或由多名病患委任同一律師進行共同訴訟,以集中資源、降低成本。
法條參照
最後,再次整理本次相關法條:
個人資料保護法第6條第1項:病歷等特種個資不得任意蒐集、處理或利用。
個人資料保護法第27條第1項:非公務機關應採行適當安全措施。
個人資料保護法第29條:非公務機關違法致個人資料遭侵害,負損害賠償責任;能證明無故意或過失者,不在此限。
個人資料保護法第28條第2項及個人資料保護法第28條第3項:非財產上損害亦得請求賠償;損害額不明時,法院可依每人每事件五百元至二萬元計算。
民法第184條第1項前段:侵權行為損害賠償之一般規定。
民法第195條第1項:人格權受侵害時,得請求非財產上損害賠償。
醫師法第12條:醫師製作與保存病歷之義務。
醫療法第67條:醫療機構建立病歷之義務。
玖、FAQ
1. 醫院被駭客攻擊,病患一定可以求償嗎?
不一定。 病患求償須證明醫院有過失(即未盡安全維護義務),而非僅證明醫院發生駭客攻擊。若醫院能證明已採取當時合理且適當的資安措施,法院可能認為醫院無過失而不需賠償。
2. 病歷外洩但還沒被詐騙,可以要求精神賠償嗎?
可以。 依個人資料保護法第28條第2項及民法第195條,非財產上損害(精神慰撫金)不以實際金錢損失為前提。但法院仍會考量資料敏感程度、外洩範圍及實際影響等因素,綜合判斷慰撫金數額。
3. 怎麼知道自己的資料有沒有被外洩?
可透過以下管道確認:(1)查看醫院是否寄發通知。(2)查閱主管機關或資安單位公布的調查結果。(3)留意有無詐騙電話或簡訊能正確說出您的就醫資訊。(4)透過暗網監控服務查詢(需注意合法性)。
4. 醫院說沒有發現異常,病患還能提告嗎?
可以,但舉證難度較高。 病患若有其他證據(如詐騙電話能正確說出就醫細節、系統異常登入記錄等),仍可提起訴訟。法院會綜合所有證據判斷是否確實發生外洩事件。
5. 資訊系統外包,應告醫院還是資訊公司?
視情況而定。 原則上,醫院對病患負有個資保護義務,即使在系統外包的情況下亦然。病患可選擇對醫院主張,再由醫院向資訊公司求償;亦可直接對資訊公司依侵權行為請求賠償。建議由律師評估何者更有實益。
6. 病歷被放到暗網,資料還有可能刪除嗎?
極為困難。 暗網上的資料一旦上傳,幾乎不可能全面刪除或收回。病患的重點應放在防止後續詐騙、監控信用異常,並透過法律途徑請求賠償。
7. 多名病患可以一起提告嗎?
可以。 可選擇共同訴訟(同一案件、多名原告對同一被告)或團體訴訟(由符合資格的公益團體提起)。共同訴訟適合類似受害情形的病患,團體訴訟則對大量被害人更具效率。
8. 醫院個資外洩的求償時效多久?
依個人資料保護法第30條,請求權自知有損害及賠償義務人時起,因二年間不行使而消滅;自有侵權行為時起,逾五年者亦消滅。建議病患應及早諮詢律師,避免逾期。
⚠️ 免責聲明: 本文內容僅供一般法律參考,不構成具體法律意見。每個案件事實不同,法律適用結果亦可能有所差異。如有個資外洩、侵權損害或相關法律爭議,建議諮詢專業律師,以獲得針對您個人情況的具體建議。
謹律法律事務所|專業民事律師團隊
若您在桃園、中壢、八德、龜山、蘆竹、平鎮或雙北地區,因醫院、診所、公司或平台個資外洩,收到詐騙訊息、冒名申辦、恐嚇勒索或隱私遭揭露,建議先保存外洩通知、主管機關公告、通訊內容、帳戶異常與實際損害資料,再由民事律師評估個人資料保護法、人格權及侵權損害賠償責任。
諮詢專線:0907-010257
官方LINE:@best1177
相關服務:
桃園民事律師|欠款、契約、損害賠償與強制執行服務
桃園法律諮詢|律師諮詢前要準備什麼?收費、流程與常見問題
桃園律師推薦|謹律法律事務所法律諮詢與案件處理流程
