英國人體資料庫外洩 台衛福部強化基因影像資料管理

英國人體生物資料庫UK Biobank 50萬名參與者去識別化醫療數據意外上架中國電商平台阿里巴巴，引發全球資安風暴。衛福部長石崇良28日緊急召開記者會強調，台灣現行「資料只進不出」規範已全面管控39個合法人體生物資料庫，資料出境需經主管機關嚴格審查；同時宣佈「人體生物資料庫管理條例」修正草案正送行政院審查，最快本會期送立法院，重點將基因與影像資料納入法定管理範疇，並要求大型基因研究資料必須「進庫」納管，從源頭強化個人隱私防護。此舉呼應國際資安趨勢，亦為台灣生技醫療產業國際合作奠定安全基礎。

台灣人體資料庫管理現況與技術防護

台灣現行人體生物資料庫管理遵循《人體生物資料庫管理條例》，39個合法設立的資料庫（含公私立機構）均採「檢體與個人資料分離儲存」及「去識別化」雙重技術。衛福部指出，所有資料庫建置時須通過「資料安全評估」，檢體僅以編碼標示，完全無法關聯個人身分，且資料庫系統須符合ISO 27001資安標準。以國立臺灣大學人體資料庫為例，其資料處理流程包含「資料匿名化處理」、「存取權限分級」及「操作日誌追蹤」三層防護，任何研究人員查詢均需經倫理委員會審核，並限制單次查詢範圍在1,000筆以下，避免資料聚合洩露風險。石崇良強調，「台灣的管理架構已具備法律依據與技術實力，與英國事件中學術機構未經審查直接提供資料的漏洞截然不同。」此外，資料庫管理系統每日自動掃描異常存取行為，2023年已成功阻斷27起未授權存取嘗試，顯示實務防護效能。

健保系統資安機制與國際認證實績

針對規模更龐大的全民健康保險資料庫，衛福部說明其資安防護達國際最高標準。健保資料查詢嚴格限制於「監控下指定實體空間」，系統採「內外網物理隔離」設計，研究人員無法透過公共網路存取原始資料，僅能下載經統計分析的結果檔。石崇良舉例，例如臺北榮總進行糖尿病流行病學研究時，需先提出「資料使用計畫書」，經衛福部資安專責小組審查後，方能獲取加密的統計摘要資料，原始病歷資料始終儲存於健保署核心系統。該系統已通過ISO 27001資安管理及ISO 27701隱私管理雙認證，並建置「事前審查、事中監控、事後銷毀」三階段機制：研究資料下載前須驗證用途合法性，下載過程全程錄影，使用後72小時內自動銷毀所有副本。2023年健保資料庫服務3,821項研究案，審查通過率98.7%，零洩密紀錄，此成效獲歐盟健康資料治理機構（EuroHealthNet）列為亞太區典範。

修法重點與產業戰略價值

本次修法核心在擴大管理範疇，將基因序列資料與醫療影像（如MRI、X光）明確納入法規規範。石崇良指出，現行條例僅涵蓋基本健康資訊，但近年基因檢測產業年成長率逾15%，2023年台灣基因資料庫規模達12萬筆，若未強制納管，恐重演英國事件。修正草案要求「單一研究計畫涉及1,000人以上基因資料」須向衛福部申請「資料進庫」，並提交「資料使用安全計畫書」，包含加密傳輸、存取限制及洩密應變流程。此舉不僅提升資料安全，更強化國際合作信任度。例如，台灣生技公司與德國藥廠合作開發癌症新藥時，因健保資料庫符合GDPR標準，得以免於額外資料安全審查，加速研發進程。衛福部估計，修法後將使台灣人體資料庫國際合作案年增20%，預計2025年帶動生技產業新增產值50億元。石崇良強調：「資安是生技產業的基石，我們不是要封閉資料，而是以安全為前提打造國際信任的資料生態圈。」