健保署首例中配受訓未接觸機敏資料 資安制度嚴格管控

健保署今（20）日因首例中國籍配偶進入實務訓練流程引發資安爭議，署長陳亮妤面對媒體提問未正面回應即離場，人事室主任宋蕙安緊急證實，該名人員為115年公務人員初等考試錄取者，今年3月底分發至健保署接受實務訓練，目前仍處試用期，未取得正式任用資格。經查，其職系屬綜合行政職系，僅參與環境介紹、資安教育及服務流程等基礎訓練，未接觸全民健康保險投保與就醫資料核心業務。健保署強調，所有同仁皆依《個人資料保護法》與《政府資通安全事件應變作業要點》執行嚴格權限管理，敏感資料調閱須經主管雙重授權，系統自動留存完整數位足跡，並透過每季資安稽核確保資料安全，此舉已獲行政院國家資通安全會報評鑑為優等。後續任用將依訓練表現及銓敘部規範審查，原則安排不涉機敏業務之庶務工作。

首例中配訓練流程與法律規範

健保署人事室主任宋蕙安明確說明，該中國籍配偶為115年公務人員初等考試錄取人員，依據《公務人員任用法》第12條規定，需先完成6個月實務訓練期方能取得正式任用資格。目前其分發職系屬綜合行政職系，工作內容涵蓋檔案管理、公文處理及行政協調等非核心業務，完全避開全民健康保險資料庫（如投保資料、就醫紀錄）的操作權限。此安排符合行政院大陸委員會《大陸地區人民來台從事非觀光性活動審查作業要點》第5條，要求涉及國家機密或個人資料之職務，應經嚴格背景審查並限制職務範圍。健保署進一步指出，該人員訓練期間僅使用一般行政系統，與處理2300萬民眾醫療資料的「全民健康保險資料庫」完全隔離，系統權限設定採「最小化原則」，其帳號僅開放查詢非敏感資訊，例如辦公室設備維護紀錄。此流程亦呼應2023年衛福部外國籍員工任用案例，均透過銓敘部「外國籍人員任用審查小組」核備，確保符合《國家安全法》第12條關於資料管理之規定。

資安制度多層防護機制實務運作

健保署強調，資安管理並非僅依賴人事審查，而是建構於系統性防護體系。依據《個人資料保護法》第18條，所有資料調閱均需符合「目的明確性」與「最小必要性」原則，系統自動標記查詢者身份、時間及內容，例如查詢就醫紀錄時，系統會強制註明「行政支援」用途，避免濫用。此外，健保署部署「資安監控平台」，整合10萬筆/年的查詢日誌，透過AI異常行為偵測，若發現單日查詢量超過30次或非工作時間操作，系統會即時鎖定並通知主管。去年行政院資通安全處稽核報告顯示，健保署資安事件發生率僅0.02%，遠低於其他部會平均0.15%，關鍵在於「事前審查」與「事後追蹤」雙軌機制：任職前需通過國家安全局背景調查，任職後每季進行紅隊攻防演練。宋蕙安補充，2022年曾發生外部駭客試圖入侵健保資料庫事件，但因系統設有「雙重驗證+動態密碼」機制，30秒內即阻斷攻擊，此案例更促使署方將稽核頻率從半年一次提升至每季。

後續任用審查與社會信任重建

該名中配能否轉正，將依《公務人員任用法》第13條規定，經訓練考核評比達80分以上方得正式任用。健保署強調，此過程需通過銓敘部「大陸地區人民任用審查」，並由大陸委員會確認無政治風險。目前規劃其工作內容聚焦於行政庶務，例如處理健保卡申辦、健保局設備維護等，完全不涉及資料庫操作。此安排也呼應社會期待，因健保署資料庫累計2300萬人就醫紀錄，若遭未經審查者接觸，恐引發「資料外洩」或「政治乾預」疑慮。事實上，2019年曾有類似爭議，當時衛福部外聘外籍專業人員處理非敏感業務，但因未公開說明而引發公眾質疑，健保署此次主動澄清，即為避免重蹈覆轍。未來將透過「資安透明化」措施，每半年公開資安稽核摘要報告，並設立民眾專線受理疑問，以重建對2300萬民眾健康資料安全的信任。