生物檢體或相關資料、資訊遭竊取、洩漏、竄改或受其他侵害情事時,設置者應即查明及通報主管機關,並以適當方式通知相關參與者。
設置者應訂定前項情事發生時之救濟措施,並報主管機關核定。
採集、處理、儲存或使用生物檢體之人員,不得洩漏因業務而知悉或持有參與者之秘密或其他個人資料、資訊。
設置者應依主管機關公告之生物資料庫資訊安全規範,訂定其資訊安全管理規定,並公開之。
前項管理規定應經倫理委員會審查通過,並報主管機關備查。
設置者不得將生物資料庫之一部或全部移轉與他人,但經主管機關審查核准者不在此限。
主管機關為前項審查時,應審酌下列事項:
一、參與者之權益。
二、設置者與受移轉機構之性質。
三、受移轉機構保護參與者權益之能力。
四、參與者明示或可得推知之意思。
生物資料庫有停止營運之規劃時,應於一年前檢具後續處理計畫書,報主管機關核可後,始得為之。
生物資料庫中之生物檢體除其衍生物外,不得輸出至境外。
生物資料庫中資料之國際傳輸及前項衍生物之輸出,應報經主管機關核准。
生物資料庫提供第三人使用時,應於其使用合約中載明前二項規定。