第三條第一項系統，醫療機構得委託大專校院、依法登記或立案之法人、
機構或團體（以下併稱受託機構）建置及管理之，並由醫療機構負本法及
本辦法規定之責任。
前項醫療機構之委託，應訂定書面契約。但有下列情形之一者，得免訂定
書面契約：
一、委託所屬醫療法人或其他法人之其他附設醫院。
二、委託所屬學校之其他附設醫院。
三、委託所屬機關設立之其他醫院。
第一項受託機構，應通過中央主管機關認可之資訊安全標準驗證，並有證
明文件。

一、本條新增。
二、基於資通系統及資訊安全之專業性，醫療機構得委託專業之大專校院
    及依法登記或立案之法人、機構或團體（以下簡稱受託機構）建置及
    管理系統；惟應考量受託機構之專業能力與經驗、委託項目之性質及
    資通安全需求選任之，以確保系統安全，爰為第一項規定。
三、病歷係為特種個人資料，無個人資料保護法第六條但書規定之情形者
    ，不得蒐集、處理或利用；本法第七十二條亦明定，醫療機構及其人
    員因業務而知悉或持有病人病情或健康資訊，不得無故洩漏。為免發
    生爭議，爰於第二項要求醫療機構委託受託機構建置及管理系統時，
    應訂定書面契約。惟醫療機構委託所屬醫療法人或其他法人、所屬學
    校之其他附設醫院或所屬機關設立之其他醫院建置系統者，如認為發
    生爭議時，可明確與受託機構區分責任歸屬（例如以口頭、文書或其
    他方式約定權責分工），得免訂定書面契約，爰以但書為例外之規定
    。
四、為讓醫療機構挑選適當之受託機構以確保品質，且目前國內有能力設
    置、管理電子病歷資訊系統之專業機構家數並不多（約十家以下），
    爰於第三項規範受託機構之資格條件為：應通過中央主管機關認可之
    資訊安全標準驗證（包含ISO/IEC 27001、ISO/IEC 15408或其他國際
    認定之資訊安全標準）。