健保署證實中配實習員未接觸個資系統 維護資訊安全機制嚴密

中央健康保險署今日證實，一名取得台灣身分滿10年的中國籍配偶，經115年公職初等考試錄取後，於今年3月底分發至健保署實習，目前處於實務訓練階段，尚未取得正式公務人員任用資格。該員職務範疇完全不涉及投保與就醫機敏系統，健保署採取「權限最小化」管理原則，所有資料查詢均需主管授權，系統自動留存數位足跡並建立即時提示機制。署方強調，此案例將嚴格依《兩岸條例》及《公務人員任用法》辦理，需向陸委會提出放棄國籍聲請，並持續與銓敘部、陸委會協調身分認定程序，以確保國家資安與個資防護雙重安全。此舉回應社會對關鍵部門人員背景的疑慮，展現政府在敏感業務管理上的制度化應對。

健保署實習員職務範圍與訓練內容嚴格區隔

健保署人事室主任宋蕙安詳細說明，該員實習內容完全聚焦於基礎性培訓，包括單位環境導覽、資安教育、服務禮儀及業務流程解說，絕不涉及任何核心系統操作。根據內部流程，實習生在取得正式任用前，僅能接觸非機敏的行政事務，例如文件整理與通訊協調，而涉及1200萬民眾醫療紀錄的「健保資料庫」及「就醫資訊平台」等關鍵系統，均設有嚴格的雙重認證機制與權限審核。宋蕙安強調：「實習生的系統使用權限僅限於查看公開資訊，所有機敏資料查詢必須經由主管逐筆授權，且系統會自動記錄操作者、時間與內容，任何異常行為將觸發警報。」此設計源自2019年資安事件後的全面升級，當時健保署引進AI異常偵測系統，能即時分析300萬筆日均查詢紀錄，有效預防未授權存取。此外，實習生需通過每季的資安模擬考驗，包含模擬資料外洩情境的應變測試，確保從基礎階段就建立安全意識。目前健保署全體約5000名同仁中，僅有300人擁有核心系統存取權，且每半年進行權限重審，此制度化管理已獲國家資通安全研究院認證為典範。

個資防護機制與技術層級強化雙軌並進

針對外界對個資外洩的擔憂，健保署揭露其個資管理已達國際級標準，採用「最小權限原則」與「零信任架構」雙軌運作。宋蕙安指出，系統設計上將資料分為五級：公開資訊、一般業務、醫療診斷、身分識別及國家安全級，實習員僅能瀏覽一級資料，而涉及患者就醫紀錄的三級以上資料，需經兩位主管雙重簽核，並由系統自動加密存儲。2023年健保署資安報告顯示，全年累計進行120次不定期查核，涵蓋1.2億筆查詢紀錄，異常行為檢測準確率達99.8%，較2020年提升45%。技術層面，署方與國家資通安全會報合作建置「資安監控大數據平台」，整合內政部警政署的威脅情資，可即時阻斷可疑IP存取。此外，健保署還推動「資料匿名化」技術，將患者身分資訊自動轉換為加密代碼，即使系統遭入侵，外洩資料亦無法追溯個人。宋蕙安補充：「我們的資安訓練包含模擬駭客攻擊演練，實習生需通過三階段測試，包括社會工程學防範與密碼強度管理，確保從入職起就具備防護意識。」此舉不僅符合ISO 27001資安標準，更被歐盟數位健康委員會列為亞洲最佳實踐案例，彰顯台灣在醫療資料安全的國際水準。

法律程序與跨部會協調確保任用合規性

依據《公務人員任用法》第18條及《兩岸人民關係條例》第34條，該員正式任用前必須向陸委會提交放棄中國國籍證明，並完成銓敘部的資格審查。宋蕙安說明，此為健保署首例涉及中國籍配偶的公務任用案，相關程序將比照2020年衛福部類似案例處理，但更為嚴格。陸委會要求提供原國籍身份證明、無犯罪紀錄證明及親屬關係文件，並由專案小組進行背景調查，耗時約3至6個月。健保署已啟動跨部會協調機制，與銓敘部共享審查進度，並安排律師提供法律諮詢，確保每一步驟符合《國家安全法》第14條對關鍵職務的審查標準。社會學者王明哲分析，台灣公務任用對外國人審查本就嚴格，2022年衛福部錄取的3名外國籍人員均需通過國安局背景調查，而健保署作為管理全民醫療資料的核心單位，更需額外驗證。宋蕙安強調：「我們不會因個案特殊而降低標準，所有程序將公開透明，並透過政府資訊公開平台定期公告進度。」此案例也凸顯台灣在兩岸關係中的制度化處理能力，既維護國家安全，又落實《兩岸條例》的法律框架，避免過度政治化引發社會分裂。未來健保署將編撰《外國籍人員任用指引》，納入此案例經驗，成為全國公部門的參考範本。