人體生物資料庫管理條例

第 1 條    為規範人體生物資料庫（以下稱生物資料庫）之設置、管理及運用，保障
           生物資料庫參與者之權益，促進醫學發展，增進人民健康福祉，特制定本
           條例。

第 2 條    本條例所稱主管機關，為行政院衛生署。

第 3 條    本條例用詞，定義如下：
           一、生物檢體：指自人體採集之細胞、組織、器官、體液或經實驗操作所
               產生，足以辨識參與者生物特徵之衍生物質。
           二、參與者：指提供生物檢體與個人資料及其他有關資料、資訊予生物資
               料庫之自然人。
           三、生物醫學研究：指與基因等生物基本特徵有關之醫學研究。
           四、生物資料庫：指為生物醫學研究之目的，以人口群或特定群體為基礎
               ，內容包括參與者之生物檢體、自然人資料及其他有關之資料、資訊
               ；且其生物檢體、衍生物或相關資料、資訊為後續運用之需要，以非
               去連結方式保存之資料庫。
           五、編碼：指以代碼取代參與者姓名、國民身分證統一編號、病歷號等可
               供辨識之個人資訊，使達到難以辨識個人身分之作業方式。
           六、加密：指將足以辨識參與者個人身分之資料、訊息，轉化為無可辨識
               之過程。
           七、去連結：指於生物檢體、資料、資訊編碼後，使其與可供辨識參與者
               之個人資料、資訊，永久無法以任何方式連結、比對之作業。
           八、設置者：指設置、管理生物資料庫者。
           九、移轉：指設置者將生物資料庫及其與參與者間之權利義務讓予第三人
               。

第 4 條    生物資料庫之設置者，以政府機關、醫療或學術機構、研究機構、法人（
           以下統稱機構）為限，並應向主管機關申請許可。
           前項申請者之資格、申請程序、許可設置之條件、審查基準、定期查核、
           相關管理及其他應遵行事項之辦法，由主管機關定之。

第 5 條    設置者應設倫理委員會，就生物資料庫之管理等有關事項進行審查及監督
           。
           前項委員會應置審查委員九人至十五人，其中二分之一以上應為法律專家
           、社會工作人員及其他社會公正人士；並應有三分之二以上為非本機構之
           人員。
           生物資料庫有關資料、資訊之運用，應擬定計畫，經其倫理委員會審查通
           過後，再報經主管機關邀集法律專家、社會工作人員及其他社會公正人士
           等人員審查通過後，始得為之。
           前項各類別人員數不得低於四分之一；單一性別之人員數，不得低於三分
           之一。
           第三項之審查，主管機關得委託民間專業機關（構）、團體辦理。
           第二項、第三項之審查人員，於有利益迴避之必要時，應行迴避。

第 6 條    生物檢體之採集，應遵行醫學及研究倫理，並應將相關事項以可理解之方
           式告知參與者，載明於同意書，取得其書面同意後，始得為之。
           前項參與者須年滿二十歲，並為有行為能力之人。但特定群體生物資料庫
           之參與者，不受此限。
           前項但書之參與者，於未滿七歲者或受監護宣告之人，設置者應取得其法
           定代理人之同意；於滿七歲以上之未成年人，或受輔助宣告之人，應取得
           本人及其法定代理人之同意。
           第一項同意書之內容，應經設置者之倫理委員會審查通過後，報主管機關
           備查。

第 7 條    前條應告知之事項如下：
           一、生物資料庫設置之法令依據及其內容。
           二、生物資料庫之設置者。
           三、實施採集者之身分及其所服務單位。
           四、被選為參與者之原因。
           五、參與者依本條例所享有之權利及其得享有之直接利益。
           六、採集目的及其使用之範圍、使用之期間、採集之方法、種類、數量及
               採集部位。
           七、採集可能發生之併發症及危險。
           八、自生物檢體所得之基因資料，對參與者及其親屬或族群可能造成之影
               響。
           九、對參與者可預期產生之合理風險或不便。
           十、本條例排除之權利。
           十一、保障參與者個人隱私及其他權益之機制。
           十二、設置者之組織及運作原則。
           十三、將來預期連結之參與者特定種類之健康資料。
           十四、生物資料庫運用有關之規定。
           十五、預期衍生之商業運用。
           十六、參與者得選擇於其死亡或喪失行為能力時，其生物檢體及相關資料
                 、資訊是否繼續儲存及使用。
           十七、其他與生物資料庫相關之重要事項。

第 8 條    參與者得要求停止提供生物檢體、退出參與或變更同意使用範圍，設置者
           不得拒絕。
           參與者退出時，設置者應銷毀該參與者已提供之生物檢體及相關資料、資
           訊；其已提供第三人者，第三人應依照設置者之通知予以銷毀。但有下列
           情形之一者，不在此限：
           一、經參與者書面同意繼續使用之部分。
           二、已去連結之部分。
           三、為查核必要而須保留之同意書等文件，經倫理委員會審查同意。

第 9 條    參與者死亡或喪失行為能力時，除另有約定者外，生物資料庫仍得依原同
           意範圍繼續儲存，並使用其生物檢體及相關資料、資訊。

第 10 條   依本條例所為之生物檢體或資料、資訊之蒐集、處理，參與者不得請求資
           料、資訊之閱覽、複製、補充或更正。但屬可辨識參與者個人之資料者，
           不在此限。

第 11 條   生物檢體或相關資料、資訊遭竊取、洩漏、竄改或受其他侵害情事時，設
           置者應即查明及通報主管機關，並以適當方式通知相關參與者。
           設置者應訂定前項情事發生時之救濟措施，並報主管機關核定。

第 12 條   採集、處理、儲存或使用生物檢體之人員，不得洩漏因業務而知悉或持有
           參與者之秘密或其他個人資料、資訊。

第 13 條   設置者應依主管機關公告之生物資料庫資訊安全規範，訂定其資訊安全管
           理規定，並公開之。
           前項管理規定應經倫理委員會審查通過，並報主管機關備查。

第 14 條   設置者不得將生物資料庫之一部或全部移轉與他人，但經主管機關審查核
           准者不在此限。
           主管機關為前項審查時，應審酌下列事項：
           一、參與者之權益。
           二、設置者與受移轉機構之性質。
           三、受移轉機構保護參與者權益之能力。
           四、參與者明示或可得推知之意思。
           生物資料庫有停止營運之規劃時，應於一年前檢具後續處理計畫書，報主
           管機關核可後，始得為之。

第 15 條   生物資料庫中之生物檢體除其衍生物外，不得輸出至境外。
           生物資料庫中資料之國際傳輸及前項衍生物之輸出，應報經主管機關核准
           。
           生物資料庫提供第三人使用時，應於其使用合約中載明前二項規定。

第 16 條   生物醫學研究以人口群或特定群體為基礎者，其材料不得取自未經許可設
           置之生物資料庫。
           設置者自行或提供第三人使用生物檢體及相關資料、資訊，應於參與者同
           意之範圍、期間、方法內為之。

第 17 條   以公益為目的或政府捐補助設置之生物資料庫，於提供第三人使用生物檢
           體及相關資料、資訊時，應符合公平原則。

第 18 條   設置者就其所有之生物檢體及相關資料、資訊為儲存、運用、揭露時，應
           以編碼、加密、去連結或其他無法辨識參與者身分之方式為之。
           設置者就參與者姓名、國民身分證統一編號及出生年月日等可辨識個人之
           資料，應予加密並單獨管理；於與其生物檢體及相關資料、資訊相互比對
           運用時，應建立審核與控管程序，並應於為必要之運用後立即回復原狀。
           設置者為不同來源之資料、資訊互為比對時，應依第一項規定為之，並應
           於比對後，立即回復原狀。
           參與者同意書、終止參與研究聲明書等無法與可辨識參與者之資料分離之
           文件，不適用前三項規定。但設置者應採取其他必要之保密措施。
           第二項及第三項之比對、運用，適用第五條第三項規定。

第 19 條   設置者之成員及其利害關係人於有利益衝突之事項，應行迴避。

第 20 條   生物資料庫之生物檢體、衍生物及相關資料、資訊，不得作為生物醫學研
           究以外之用途。但經依第五條第三項規定審查通過之醫學研究，不在此限
           。

第 21 條   設置者及生物資料庫之商業運用產生之利益，應回饋參與者所屬之人口群
           或特定群體。
           前項回饋辦法由主管機關定之。

第 22 條   設置者應定期公布使用生物資料庫之研究及其成果。

第 23 條   違反第四條第一項規定，未經主管機關許可，擅自設置生物資料庫者，處
           新臺幣二百萬元以上一千萬元以下罰鍰；其生物檢體及其他生物資料庫儲
           存之資料、資訊，應予銷毀。但符合第四條第二項所定辦法之設置資格及
           條件而可補正相關程序者，得先限期令其補正。
           違反第十四條第一項規定；或未依同條第三項規定，生物資料庫之停止營
           運未於限期內檢具後續處理計畫書報經主管機關核准，或未依核准計畫書
           之內容為之，處新臺幣二百萬元以上一千萬元以下罰鍰。
           違反第十五條第一項規定；或未依同條第二項規定報請主管機關核准者，
           處新臺幣二百萬元以上一千萬元以下罰鍰；其已輸出境外之生物檢體及相
           關資訊、資料，應立即銷毀。
           違反第三十條規定，未就應予銷毀之生物檢體與相關資料、資訊予以銷毀
           者，處新臺幣二百萬元以上一千萬元以下罰鍰。
           前四項情節重大者，主管機關並得廢止其設置許可。

第 24 條   設置者有下列情形之一者，處新臺幣五十萬元以上二百五十萬元以下罰鍰
           ，並得限期令其改正；屆期未改正者，按次處罰之：
           一、違反第五條第一項、第三項規定，未設置倫理委員會，或生物資料庫
               管理及運用事項未受倫理委員會之審查及監督，或未經主管機關審查
               通過；違反同條第二項規定，倫理委員會組成不合法；違反同條第六
               項規定應迴避而未迴避。
           二、違反第六條第一項至第三項或第七條規定，進行生物檢體之採集；或
               違反第六條第四項同意書未經倫理委員會審查通過。
           三、違反第十二條規定，洩漏因業務而知悉或持有參與者之秘密或其他個
               人資料、資訊。
           四、違反第十三條第一項規定，未訂定或公開資訊安全規定，或生物檢體
               及相關資料、資訊之管理違反資訊安全規定；或未依同條第二項經倫
               理委員會審查通過，或送主管機關備查。
           五、違反第十八條第一項規定，處理生物檢體及相關資訊、資料未以無法
               識別參與者身分之方式；或違反同條第四項規定，對於無法與可辨識
               參與者資料分離之文件，未採取必要之保密措施；或違反同條第五項
               規定。
           六、違反第十八條第二項規定，未就參與者個人基本資料加密並單獨管理
               、於相互比對運用時未建立審核及控管程序、於運用後未立即回復原
               狀；或違反同條第三項規定，於比對時未以無法識別參與者身分之方
               式為之，未於比對後立即回復原狀。
           七、違反第二十條規定，將生物資料庫之生物檢體、衍生物及相關資料、
               資訊作為生物醫學研究以外之用途。
           有前項各款之情形者，主管機關並得令其於改正前停止營運；其情節重大
           者，並得廢止設置許可。

第 25 條   設置者有下列情形之一者，處新臺幣二十萬元以上一百萬元以下罰鍰，並
           得限期令其改正；屆期未改正者，按次處罰之：
           一、違反第八條第一項規定，拒絕參與者相關要求；或違反同條第二項規
               定，未銷毀或通知第三人銷毀參與者退出時已提供之生物檢體及相關
               資料、資訊。
           二、違反第十六條第二項規定，於參與者同意之範圍、期間、方法以外，
               為生物檢體及相關資料、資訊之自行或提供第三人使用。
           三、違反第二十一條第二項訂定之辦法。
           四、違反第二十二條規定未定期公布研究及其成果。
           非以人口群或特定群體為基礎之生物醫學研究，違反第二十九條規定而為
           生物檢體之採集及使用者，處新臺幣二十萬元以上一百萬元以下罰鍰，並
           得限期令其改正；屆期未改正者，按次處罰之。

第 26 條   有下列情形之一者，處新臺幣六萬元以上三十萬元以下罰鍰，並得限期令
           其改正；屆期未改正者，按次處罰之：
           一、設置者以外之人違反第五條第三項規定。
           二、設置者違反第六條第四項規定，同意書未報主管機關備查。
           三、違反第十一條第一項規定，對於生物檢體或相關資訊、資料受侵害情
               事未通報主管機關或未即查明並以適當方式通知參與者；或違反同條
               第二項規定。
           四、設置者以外之人違反第十二條規定，洩漏因業務而知悉或持有參與者
               之秘密或其他個人資料、資訊。
           五、違反第十六條第一項規定，以人口群或特定群體為基礎之生物醫學研
               究材料，未取自經許可設置之生物資料庫。

第 27 條   設置者經依前四條規定處罰者，其實際為行為之人處新臺幣三萬元以上三
           十萬元以下罰鍰。
           前項行為之人如具醫事人員資格者，並依醫事人員專門職業法規規定懲處
           之。

第 28 條   生物資料庫之設置，違反主管機關依第四條第二項授權所定辦法之設置條
           件及管理規定者，除本條例另有處罰規定外，主管機關應限期令其改正，
           必要時並得令其於改正前停止營運；其情節重大者，得廢止設置許可。

第 29 條   非以人口群或特定群體為基礎之生物醫學研究，其生物檢體之採集及使用
           ，除法律另有規定外，準用第六條、第十五條、第十六條及第二十條規定
           。

第 30 條   本條例施行前已設置之生物資料庫，應於施行後一年內補正相關程序；屆
           期未補正者，應將生物檢體與相關資料、資訊銷毀，不得再利用。但生物
           資料庫補正相關程序時，因參與者已死亡或喪失行為能力而無從補正生物
           檢體採集程序者，其已採集之生物檢體與相關資料、資訊，經倫理委員會
           審查通過並報主管機關同意，得不予銷毀。

第 31 條   本條例自公布日施行。