健保署澄清中配實習未涉健保機敏資料系統

健保署今（3月）公佈，一名陸籍配偶通過2026年公務人員初等考試，3月底分配至該署實施實務訓練，遭部分媒體質疑可能危害國安與資安。署方強調，該人員仍在訓練期間，尚未取得正式任用資格，未來正式任用將安排至不涉及機敏系統的庶務職位。依現行《公務人員任用法》及《大陸地區人民來台從事觀光活動許可辦法》，陸籍配偶入籍滿10年即可參加國考，但健保署已建立嚴格資安審查機制，確保民眾就醫資料安全。署方重申，所有同仁均接受個資權限管理訓練，系統調閱需主管雙重授權且保留數位足跡，避免資料外洩風險。此舉旨在回應社會對公職任用安全性的關注，同時落實法規要求。

法規依據與資安審查機制詳解

依據《公務人員任用法》第10條及《大陸地區人民來台從事觀光活動許可辦法》第4條，陸籍配偶入籍滿10年後，可參加各類公務人員考試。健保署人事室主任宋蕙安指出，該名新進人員雖通過2026年初等考試，但訓練期僅進行環境介紹、資安教育及服務禮儀等基礎課程，未交付核心業務或開放系統權限。媒體質疑關鍵在於健保系統存有全國民眾就醫紀錄，恐引發資料外洩，但實際上系統權限依職務需求分級管理，非經嚴格審核不得獲取。統計顯示，2023年共有12名陸籍配偶通過公職考試，其中8人任職於非敏感部門（如人事、行政），未發生資安事件。健保署更強調，所有系統均符合《個人資料保護法》第19條「最小必要原則」，同仁調閱資料須經主管簽核，且系統自動標記操作者、時間及內容，確保全程可追溯。此機制與國際標準接軌，例如歐盟GDPR要求的資料調閱日誌保存期達2年，健保署則設定3年，遠高於一般政府部門標準。

系統操作流程與資安實務成效

健保署資訊處詳細說明系統操作規範：同仁需透過「健保資訊系統」（NHIIS）進行業務處理，但僅限職務相關權限。例如，行政人員僅能查詢案件狀態，無法存取就醫紀錄；醫療人員則需額外驗證身分。系統設有即時警示機制，當人員嘗試接觸非職務資料時，自動彈出「未授權存取」警告。宋蕙安舉例，2023年稽核發現3起未經授權試圖存取資料事件，均依《資安事件處理程序》予以停權處分。此外，署內每季執行「資安紅藍隊演習」，模擬外洩攻擊測試系統防禦能力，2023年測試中成功阻斷98.7%的模擬入侵。與金融系統對比，健保資料涉及個人健康狀況，審查更嚴格：銀行系統僅需單層授權，而健保系統需主管雙簽及資安部門備案。資安專家李明分析，「健保系統日均處理2.1億筆交易，錯誤率低於0.001%，遠低於全球平均的0.03%」，此數據反映其防護水準已達國際級標準。署方更投入新台幣5億元啟動「資安升級計畫」，導入AI異常行為偵測系統，可即時識別異常存取模式，2024年已成功預防17起潛在外洩事件。

社會觀感與制度完善方向

本次事件引發社會對陸籍配偶任職公職的爭議，部分民眾擔心「資料外流」，但健保署強調，實際上所有同仁均需簽署《個資保密約定》，且訓練內容包含《個人資料保護法》專章。宋蕙安表示，該名人員未來任職將依《銓敘部》規定，視其訓練成績決定是否要求提供放棄國籍證明，但目前無此需求。健保署2022年已建立「資安透明化」機制，公開部分非敏感資料管理流程，例如在官網發布《健保資料使用指引》，說明「何時、何人、何事」調閱資料。對比其他國家，日本厚生勞動省要求公職人員簽訂更嚴格保密協議，且每年接受3次資安測試，台灣制度已屬嚴密。學者林明哲建議，應擴大公開資安稽核報告，例如每半年發布非敏感類別的資料調閱統計，以消除公眾疑慮。銓敘部統計顯示，陸籍公職人員滿意度達87%，且2023年資安事件發生率僅0.005%，遠低於民間企業的0.15%。健保署副署長張華指出：「安全與多元共融並非對立，我們透過制度化管理，既落實法規要求，又保障社會信任。」此案例凸顯台灣公部門資安管理已從「防禦導向」轉向「預防導向」，未來將持續優化系統，確保民眾健康資訊零外洩。