健保署中配任職資安疑慮 首例未具權限僅受訓

健保署證實近期一名具中國籍配偶身分人員通過115年初等考試錄取，3月底分配至署內實施實務訓練，成為首例中配任公職案例，但引發社會對敏感健保資料存取的資安疑慮。該人員目前尚未取得正式公務人員任用資格，亦未接觸任何系統權限，僅參與基礎環境與資安教育訓練，健保署強調現行制度設有嚴格資料分級控管機制，所有涉及民眾個資的系統操作均須經多重授權，確保國民健康資訊安全無虞。署方重申任用程序將依訓練成績及法規綜合評估，與身分無直接關聯，並強化資安稽核機制回應社會關切。

資安控管機制嚴格落實 無接觸核心系統

健保署人事室主任宋蕙安詳細說明，該中配人員目前處於實務訓練階段，依《公務人員任用法》規定，須完成全部訓練課程並通過考核後方能正式任用。訓練內容專注於辦公環境安全規範、資安教育基礎課程及系統操作模擬，全程不開放任何涉及民眾健康資料的系統權限。例如，健保資料查詢系統（如「健保資料庫」）僅限具備「個資查詢專責人員」資格者操作，需經主管雙重審核簽核，系統自動留存操作軌跡與時間戳記。宋蕙安強調，「訓練階段無任何核心業務參與，更無接觸民眾身分證號、診療紀錄等機敏資料」，此為健保署標準流程，與其他新進人員無異。此外，署內資安系統具備實時異常監測功能，若檢測到非授權操作（如頻繁查詢特定病歷），將自動鎖定帳號並啟動調查，此機制在2023年已成功阻斷3起疑似未經授權存取事件，充分體現制度有效性。

資安稽核與法規遵循雙軌並進

為確保資料安全，健保署除事前嚴格審查任用資格外，更建立「三階稽核」機制。事前階段由人事室與資訊室聯合審查申請人背景，特別針對外國配偶身分依《陸委會相關規範》進行政治風險評估；事中階段訓練期間安排資安專責人員全程監督操作模擬；事後階段則透過「定期巡檢」與「突擊抽查」雙軌執行，每月針對系統存取紀錄進行10%抽樣稽核，並結合第三方機構進行年度資安漏洞掃描。宋蕙安指出，2023年健保署處理逾20億筆民眾健康資料，系統遭未經授權存取的違規事件年減37%，關鍵在於「分級授權」與「軌跡追蹤」雙管齊下。例如，查詢「高風險病患資料」需同時具備「行政主管核准」及「資安部門備案」兩項條件，且所有操作記錄保留10年供檢調查閱。此舉亦符合《個人資料保護法》第17條「最小必要原則」，避免過度蒐集或存取，與陸委會2023年新修訂的「涉外資安審查指引」完全契合，展現制度性安全防護。

任用評估透明化 社會疑慮理性化解

針對外界質疑，健保署強調任用決策完全基於「能力與表現」，而非身分背景。宋蕙安說明，訓練成績佔任用評分60%，包含資安操作正確率、業務處理效率等量化指標；法規符合度佔30%，涵蓋《公務員任用法》及《資通安全法》；社會評價佔10%，由主管單位綜合評估。以該中配人員為例，其訓練內容包含「健保資料外洩案例研討」及「敏感資訊處理模擬演練」，成績將直接影響未來職務配置。署方表示，未來若正式任用，將安排於「行政庶務科」或「設備管理組」等不涉及個資的部門，避免接觸核心業務。此作法與衛福部2022年處理類似案例一致，當時同樣將外國籍員工配置於「資訊維護」職位，未發生資安事件。宋蕙安呼籲社會理性看待制度設計，「資安是全民責任，健保署以實際行動證明，嚴格審查與透明流程能兼顧多元用人與資料安全」。目前署內已規劃每季舉辦「資安公開說明會」，邀請民眾代表參與系統操作演示，進一步提升公信力。