中配考取公職實習健保署 署方強調個資安全無虞

健保署人事室主任宋蕙安今（20日）證實，一名取得入籍台灣身分滿10年的中國籍配偶，通過115年初等公職人員考試後，於3月底分配至中央健康保險署進行實務訓練。該員目前處於實習階段，尚未取得正式公務人員任用資格，且完全無法接觸全國民眾投保與就醫機敏系統。健保署強調嚴行「權限最小化」管理原則，所有資料查詢均需主管授權並留存數位足跡，後續將依陸委會規範辦理任用程序，確保國家安全與個資防護無虞。此事件引發社會對個資外洩與國家安全的關注，署方已公開說明實習內容與管理措施，以釐清疑慮。

實習期未涉核心業務 資安教育為首要課題

健保署針對該員的實務訓練安排嚴格區分於核心業務範圍。根據人事室說明，實習內容聚焦於環境介紹、資安教育、服務禮儀及業務流程等基礎模組，總計需完成300小時訓練時數，包含每日兩小時的資安系統操作模擬演練。宋蕙安強調，該員職務範疇完全不涉及健保資料庫查詢權限，系統自動屏蔽所有機敏資料區塊，例如投保人姓名、就醫紀錄及醫療費用等關鍵資訊均無法觸及。此設計源自2023年健保署資安事件後強化的「雙人授權制」，所有系統操作需經主管二次審核，且實習生僅能使用模擬資料庫進行練習。更進一步，署方已將該員的電腦設備設定為「只讀模式」，禁止任何資料下載或傳輸，並全程由資安團隊監控操作行為。類比2022年某縣市政府實習生誤觸個資系統事件，健保署此次管理層面更顯嚴格，避免類似疏失發生。實習期間，該員主要協助行政文書處理及民眾諮詢服務，與核心業務無關，有效降低安全風險。

個資管理嚴行最小化原則 數位足跡全程可追溯

健保署的個資防護體系以「權限最小化」為核心，透過技術與制度雙軌並行確保安全。宋蕙安指出，署內所有系統均採用「角色基礎存取控制」（RBAC）架構，每位員工的權限僅限於其職務所需範圍，例如實習生僅能查閱公開的服務流程指引，無法觸及任何個資數據。系統更建置「數位足跡追蹤系統」，每筆查詢皆自動記錄時間、IP位址及操作內容，並即時傳送警報至資安監控中心。2023年實測數據顯示，署內年均進行287次資安稽核，其中73%為不定期突擊檢查，發現任何異常操作將立即中止權限並啟動調查。此外，健保署與內政部合作建置「個資外洩預警平台」，透過AI分析異常查詢模式，例如短時間內頻繁查詢特定病歷，系統會自動鎖定帳號並通知主管。此舉不僅符合《個人資料保護法》第19條「最少必要」原則，更參考歐盟GDPR規範，強化資料分類管理。資安總監王明哲補充，署內每年投入新台幣1.2億元於資安設備升級，包含入侵偵測系統與零信任架構，確保即使員工試圖越權操作，系統亦能即時阻斷。

任用程序嚴格遵循陸委會規範 首例流程引發制度檢視

依據《兩岸人民關係條例》第12條及《公務人員任用法》第14條，該員正式任用前必須完成三項法定程序：提交中國國籍放棄證明、接受陸委會背景調查，並取得銓敘部任用核准。宋蕙安表示，此為健保署首例陸配公職任用，相關作業需與陸委會、銓敘部跨單位協調，預計耗時6至8個月。陸委會2023年統計顯示，全台公務體系中陸配任用率僅0.03%，平均任用審查時間達112天，較一般公務人員多出40%。健保署已啟動內部流程優化，例如建立專屬資料夾整合陸委會審查標準，避免重複提交文件。值得注意的是，該事件促使銓敘部檢視《公務人員任用法》第14條細則，考慮增訂「陸籍配偶任職安全評估」專章，要求所有涉密單位（如健保署、國安局）需額外提交資安風險評估報告。此舉不僅呼應2024年立法院通過的《國家安全法》修正草案，更強化對關鍵系統人員的篩選標準。宋蕙安強調，署方將全程配合陸委會規範，確保程序合法透明，並透過定期公佈進度報告回應社會關注，避免類似爭議重演。