為規範人體生物資料庫（以下稱生物資料庫）之設置、管理及運用，保障生物資料庫參與者之權益，促進醫學發展，增進人民健康福祉，特制定本條例。

本條例所稱主管機關，為衛生福利部。

本條例用詞，定義如下：

一、生物檢體：指自人體採集之細胞、組織、器官、體液或經實驗操作所產生，足以辨識參與者生物特徵之衍生物質。

二、參與者：指提供生物檢體與個人資料及其他有關資料、資訊予生物資料庫之自然人。

三、生物醫學研究：指與基因等生物基本特徵有關之醫學研究。

四、生物資料庫：指為生物醫學研究之目的，以人口群或特定群體為基礎，內容包括參與者之生物檢體、自然人資料及其他有關之資料、資訊；且其生物檢體、衍生物或相關資料、資訊為後續運用之需要，以非去連結方式保存之資料庫。

五、編碼：指以代碼取代參與者姓名、國民身分證統一編號、病歷號等可供辨識之個人資訊，使達到難以辨識個人身分之作業方式。

六、加密：指將足以辨識參與者個人身分之資料、訊息，轉化為無可辨識之過程。

七、去連結：指於生物檢體、資料、資訊編碼後，使其與可供辨識參與者之個人資料、資訊，永久無法以任何方式連結、比對之作業。

八、設置者：指設置、管理生物資料庫者。

九、移轉：指設置者將生物資料庫及其與參與者間之權利義務讓予第三人。

前條應告知之事項如下：

一、生物資料庫設置之法令依據及其內容。

二、生物資料庫之設置者。

三、實施採集者之身分及其所服務單位。

四、被選為參與者之原因。

五、參與者依本條例所享有之權利及其得享有之直接利益。

六、採集目的及其使用之範圍、使用之期間、採集之方法、種類、數量及採集部位。

七、採集可能發生之併發症及危險。

八、自生物檢體所得之基因資料，對參與者及其親屬或族群可能造成之影響。

九、對參與者可預期產生之合理風險或不便。

十、本條例排除之權利。

十一、保障參與者個人隱私及其他權益之機制。

十二、設置者之組織及運作原則。

十三、將來預期連結之參與者特定種類之健康資料。

十四、生物資料庫運用有關之規定。

十五、預期衍生之商業運用。

十六、參與者得選擇於其死亡或喪失行為能力時，其生物檢體及相關資料、資訊是否繼續儲存及使用。

十七、其他與生物資料庫相關之重要事項。

一、經參與者書面同意繼續使用之部分。

二、已去連結之部分。

三、為查核必要而須保留之同意書等文件，經倫理委員會審查同意。

參與者死亡或喪失行為能力時，除另有約定者外，生物資料庫仍得依原同意範圍繼續儲存，並使用其生物檢體及相關資料、資訊。

依本條例所為之生物檢體或資料、資訊之蒐集、處理，參與者不得請求資料、資訊之閱覽、複製、補充或更正。但屬可辨識參與者個人之資料者，不在此限。

採集、處理、儲存或使用生物檢體之人員，不得洩漏因業務而知悉或持有參與者之秘密或其他個人資料、資訊。

一、參與者之權益。

二、設置者與受移轉機構之性質。

三、受移轉機構保護參與者權益之能力。

四、參與者明示或可得推知之意思。

以公益為目的或政府捐補助設置之生物資料庫，於提供第三人使用生物檢體及相關資料、資訊時，應符合公平原則。

設置者之成員及其利害關係人於有利益衝突之事項，應行迴避。

生物資料庫之生物檢體、衍生物及相關資料、資訊，不得作為生物醫學研究以外之用途。但經依第五條第三項規定審查通過之醫學研究，不在此限。

設置者應定期公布使用生物資料庫之研究及其成果。

一、違反第五條第一項、第三項規定，未設置倫理委員會，或生物資料庫管理及運用事項未受倫理委員會之審查及監督，或未經主管機關審查通過；違反同條第二項規定，倫理委員會組成不合法；違反同條第六項規定應迴避而未迴避。

二、違反第六條第一項至第三項或第七條規定，進行生物檢體之採集；或違反第六條第四項同意書未經倫理委員會審查通過。

三、違反第十二條規定，洩漏因業務而知悉或持有參與者之秘密或其他個人資料、資訊。

四、違反第十三條第一項規定，未訂定或公開資訊安全規定，或生物檢體及相關資料、資訊之管理違反資訊安全規定；或未依同條第二項經倫理委員會審查通過，或送主管機關備查。

五、違反第十八條第一項規定，處理生物檢體及相關資訊、資料未以無法識別參與者身分之方式；或違反同條第四項規定，對於無法與可辨識參與者資料分離之文件，未採取必要之保密措施；或違反同條第五項規定。

六、違反第十八條第二項規定，未就參與者個人基本資料加密並單獨管理、於相互比對運用時未建立審核及控管程序、於運用後未立即回復原狀；或違反同條第三項規定，於比對時未以無法識別參與者身分之方式為之，未於比對後立即回復原狀。

七、違反第二十條規定，將生物資料庫之生物檢體、衍生物及相關資料、資訊作為生物醫學研究以外之用途。

一、違反第八條第一項規定，拒絕參與者相關要求；或違反同條第二項規定，未銷毀或通知第三人銷毀參與者退出時已提供之生物檢體及相關資料、資訊。

二、違反第十六條第二項規定，於參與者同意之範圍、期間、方法以外，為生物檢體及相關資料、資訊之自行或提供第三人使用。

三、違反第二十一條第二項訂定之辦法。

四、違反第二十二條規定未定期公布研究及其成果。

有下列情形之一者，處新臺幣六萬元以上三十萬元以下罰鍰，並得限期令其改正；屆期未改正者，按次處罰之：

一、設置者以外之人違反第五條第三項規定。

二、設置者違反第六條第四項規定，同意書未報主管機關備查。

三、違反第十一條第一項規定，對於生物檢體或相關資訊、資料受侵害情事未通報主管機關或未即查明並以適當方式通知參與者；或違反同條第二項規定。

四、設置者以外之人違反第十二條規定，洩漏因業務而知悉或持有參與者之秘密或其他個人資料、資訊。

五、違反第十六條第一項規定，以人口群或特定群體為基礎之生物醫學研究材料，未取自經許可設置之生物資料庫。

生物資料庫之設置，違反主管機關依第四條第二項授權所定辦法之設置條件及管理規定者，除本條例另有處罰規定外，主管機關應限期令其改正，必要時並得令其於改正前停止營運；其情節重大者，得廢止設置許可。

（刪除）

本條例施行前已設置之生物資料庫，應於中華民國一百零一年二月五日前補正相關程序；屆期未補正者，應將生物檢體與相關資料、資訊銷毀，不得再利用。但生物資料庫補正相關程序時，因參與者已死亡或喪失行為能力而無從補正生物檢體採集程序者，其已採集之生物檢體與相關資料、資訊，經倫理委員會審查通過並報主管機關同意，得不予銷毀。

本條例自公布日施行。