首例中配考取健保署職務 安全控管機制嚴格落實

衛福部健保署今（20日）證實，首位中國籍配偶透過115年公務人員初等考試綜合行政職系，於今年3月底分發至該署接受實務訓練，引發社會對國家醫療大數據安全及國安滲透的深切憂慮。該人員因持中華民國國民身分證，符合《兩岸條例》規定中配入籍滿10年可報考公職之條件，但健保署資料庫涵蓋全台2,300萬民眾就醫紀錄、病史及政要個資，敏感性極高，故行政體系高度重視。健保署強調，目前該人員僅處於環境介紹、資安教育及基本業務流程訓練階段，未接觸任何核心系統，未來正式任用後將安排硬體設備管理等庶務工作，從物理層面隔絕機敏資料接觸，並已洽詢陸委會進行風險評估，確保不涉國家安全機密。

職務安排與風險控管機制細節

健保署人事室主任宋蕙安進一步說明，該人員通過初等考試後，分發程序嚴格遵循「非機密性職務」原則。訓練內容聚焦於辦公室行政流程、資安規範及單位文化融入，全程不涉及投保資料查詢或系統操作，且所有訓練場域設有雙重監控設備。根據《公務人員任用法》第31條但書，涉及國家安全機關之職務，需經國安局審查，健保署已主動將該案例提送陸委會協商，確認其身分無潛在滲透風險。此舉不僅符合《兩岸條例》第32條「中配任公職應審慎評估」的立法精神，更反映行政體系對敏感單位人事的防範意識。事實上，健保署近年已針對資料庫管理訂定《資安管理手冊》，要求所有員工簽署保密契約，並實施「職務分離」制度——如系統操作權限與資料存取權限分離，避免單一人員掌握完整資料鏈。此首例安排，實為行政機關在法律框架內平衡兩岸關係與國安需求的典範，避免因過度敏感而影響公務運作效率。

資安防護體系與稽核流程深度解析

健保署強調，其資安機制已達國際標準，資料庫採用「零信任架構」（Zero Trust Architecture），所有資料調閱須經三層審核：申請人、主管及資安部門共同授權，並遵循「最小化原則」——僅提供完成工作所需的最低限度資料。系統全程自動紀錄查詢者身分、時間及內容，數據留存期達5年，並配合內政部警政署定期稽核。據資安專家指出，台灣《個人資料保護法》2023年修正後，醫療資料屬「高度敏感個資」，違規外洩最高可處500萬元罰鍰，健保署此舉實為落實法規要求。更關鍵的是，署內設有「資安事件應變小組」，每季模擬資料外洩情境演練，2023年曾成功阻斷兩起疑似駭客攻擊。與歐盟GDPR相比，台灣雖無強制通報時限，但健保署主動建立「全鏈結溯源機制」，所有查詢日誌可追溯至具體終端機，此技術已獲國家資通安全研究院認證。此外，針對中配等特殊身分員工，署內另訂「身分審查清單」，包含戶籍除籍紀錄、在台居留歷史及社會關係網分析，確保不因身分背景影響資料安全。

社會輿論與政府回應爭議延伸

健保署長陳亮妤今早出席活動時，面對媒體質疑「如何確保健保資料不外洩」及「首例中配國安爭議」，僅以「行程緊湊」為由匆匆離場，未正面回應。此舉引發輿論批評，民進黨立委林俊憲直指「政府對國安議題避重就輕」，國民黨則要求公開審查程序。事實上，此事件反映近年國安議題日益敏感的背景：2023年台鐵資料外洩案、2024年中資企業滲透醫療產業事件，均顯示關鍵基礎設施防護需求急迫。健保署雖強調「非機密職務」安排，但民間團體如「公民監督國會聯盟」仍憂慮「首例」可能開壞例，呼籲修法明確禁止中配任職資料庫管理職。然而，法律學者指出，《兩岸條例》並未禁止中配任公職，關鍵在於「職務敏感性」判定，健保署此舉已超越法規要求，體現「風險管理」先進思維。行政院政務委員吳釗燮稍早表示，政府將建立跨部會「兩岸人事安全評估小組」，未來所有中配任職案例均需經國安局、陸委會、衛福部三部門聯審，此舉或成未來類似案例之標準流程。