衛福部中央健康保險署葉姓退休員工及 2 現職人員等 3 人涉洩漏被保險人個人資料給他人,涉及刑法洩密罪。台北地檢署昨(9)日指揮調查局新北市調處兵分 5 路搜索,並約談葉男等 3 人。健保署回應,全案尚待釐清,尊重並配合司法調查,並強調有兩大機制控管資料讀取,所有讀取紀錄也都永久保存,隨時可查。健保署長李伯璋則表示,雖是無罪推定原則,但相關職員已安排暫調離原職,限縮查閱健保資料權限。
▌健保署員工涉洩漏警調人員個資
檢調接獲檢舉,健保署已退休葉姓員工與謝姓女子、李姓職員涉嫌自 2009 年至 2022 年間洩漏被保險人資料給他人,犯行長達 13 年,數目不詳,涉及中華民國刑法第 132 條第 1 項洩漏或交付國防以外機密等罪嫌。
檢調獲報,遭洩個資以「整套」形式外流,而非單筆計算,因此筆數龐大,短時間難以估算,不排除有部分個資外流徵信業者,積極調查中。
在刑法部分,公務員洩漏或交付關於中華民國國防以外應秘密文書、圖畫、消息或物品者,最高處 3 年有期徒刑;因過失犯前項罪者,處 1 年以下有期徒刑、拘役或 9,000 元以下罰金。
台灣台北地方檢察署昨日指揮調查局新北市調查處兵分 5 路搜索葉姓男子住處等,並約談葉姓男子等 3 人到案說明。檢調初步過濾扣案資料進一步發現,謝姓女子涉嫌非法查詢被保險人個人資料,其中包括調查局、警政署等從事國家情報工作人員資料,違反國家情報工作法不得洩漏、交付、刺探、收集有關情報人員身分等規定。
檢察官複訊後認為謝姓女子涉嫌重大,諭知 10 萬元交保,葉姓、李姓被告請回,將持續擴大清查謝姓女子查詢的個資範圍及是否洩漏給他人等。
健保署資訊組長孫浩淳說明,相關作業程序都依照「資通安全管理法」嚴謹處理,健保署資料庫有多種程式,按照內容敏感程度分級,權限層級不同。若是有員工要讀取資料,需要先填寫電子表單申請,經過權責主管檢視必要性才能開放讀取權限。什麼人在什麼時間、讀取什麼資料,都會被永久記錄下來,隨時可查閱。
▌持續釐清個資有無流向中國等境外勢力
究竟被偷查的個資被害人中,有無包含國家元首、政府或軍事及情報機關「要員」,以及個資有無流向中國等境外勢力的可能?檢調目前尚無相關訊息,被約談的 3 被告也沒有涉及相關案由,不過檢調仍將持續釐清,確保牽涉國安等敏感個資的安全。
據悉,包括 2016 年上線的「健保醫療資訊雲端查詢系統」及前身「健保雲端藥歷系統」,均疑有個資外洩,3 被告涉嫌濫用職務權限登入系統查個資,留下數位足跡而被法辦。
健保署長李伯璋在一早給所有健保署職員的信中提到,看到職員們無預警被檢調約談,內心真的不捨大家承受的壓力,第一時間、政風主任立刻安排律師協助。大家在生命過程,務必記得自我要求做好。身為公務人員,有權限接觸到健保資料,更是一定要依法行事,千萬記得走過必留痕跡。
李伯璋上午接受媒體聯訪時表示,尊重司法,仍在檢調階段,被洩露資料為何、遭到哪種不法用途,暫時還在調查,雖是無罪推定原則,但內部行政還是要面對、需要有所管控,相關人員仍正常上班,但暫時安排轉移到非主管職務,公務人員查詢健保資料權限也會短暫被縮減。
李伯璋說,健保資料保護很重要,雖然健保署常年有資安及查閱資料相關標準流程,但去年進一步設置懲處制度,希望讓所有健保署職員了解,有不當查處狀況,需要負起責任,必須對自我行為有要求。
根據健保署職員違反健保資料庫管理規定懲處原則,違反態樣有 4 大類。第 1 種是非執行法定職務必要範圍內或非經當事人同意,不當查詢民眾個人資料,造成不良後果,記過 1 次;第 2 種為非執行法定職務必要範圍內或非經當事人同意,不當查詢並洩漏或交付民眾個人資料,造成不良後果,記過 2 次;第 3 種則是更嚴重的,非執行法定職務必要範圍內或非經當事人同意,不當查詢並洩漏或交付民眾個人資料,致損害公務人員聲譽,有確實證據者,1 次記 1 大過;最嚴重情形是第 4 種,非執行法定職務必要範圍內或非經當事人同意,意圖為自己或第三人不法利益,不當查詢並洩漏或交付民眾個人資料,致嚴重損害政府或公務人員聲譽,有確實證據者,1 次記 2 大過專案考績或免職。
當健保署職員違規查詢個資,政風單位將依有關規定處理,包含依據個人資料保護法,意圖為自己或第三人不法利益或損害他人利益,足以損害於他人者,最高處 5 年有期徒刑,得併科最多 100 萬元罰金;公務員假借職務上權力、機會或方法,犯罪者,加重其刑至二分之一。
▌監察院曾促銓敘部改善資安
健保署三職員涉偷查、外洩民眾個資,檢調昨發動搜索約談。事實上,早在 2019 年 6 月,銓敘部就曾爆發公務人員個資被置於國外論壇販賣案,外洩資料內含國安局等機敏機關,有威脅國安之虞。監察院 2020 年 1 月通過時任監委仉桂美、劉德勳、包宗和所提調查報告,促請銓敘部檢討改善其資通安全管理制度(ISMS)。
調查指出,該案早在 2012 年 6 月就外洩,但七年後才被發覺;外洩內容為銓敘部 2005 年 1 月起至 2012 年 6 月底間的中央及地方機關公務人員送審人員歷史資料,經比對後實際影響人數為廿四萬餘人,含行政機關、公營事業、衛生醫療機構及公立學校職員等,總計全國逾七成公務人員個資遭到外洩。
三位監委表示,銓敘部雖稱遭外洩者均為文職人員,但所掌業務機敏與否,與文職或軍職身分並無關係,以調查局為例,約有二千餘人個資遭洩漏,對國安的影響甚巨。但也因資料外洩逾七年,相關軟硬體均已報廢,行政院技術服務中心、調查局及刑事局均指出,以現有數位跡證,難以追查實際外洩過程及原因。
調查結果,銓敘部屬於資安責任等級A級機關,卻未能積極配合 2009 年起推動的「政府機關(構)資訊安全責任等級分級作業施行計畫」,直到 2016 年 10 月才將可存取全國公務人員銓審資料的「銓敘業務網路作業系統」、「公文管理及線上簽核系統」納入 ISMS 驗證範圍,使含機敏機關在內的全國公務人員個資長期暴露於高風險中。
再者,銓敘部發現資料外洩前,未能依照「資訊系統分級與資安防護基準作業規定」四大構面予以詳實評估,長期將上開兩大系統低估為安全等級中級,以致相關系統防護基準不足,顯示該部長期漠視全國公務人員個資的洩漏風險。
參考資料:
2020/02/21 監察院 全國24萬餘名公務人員個人資料遭到洩漏,銓敘部責無旁貸,監察院仉桂美委員、劉德勳委員、包宗和委員促請該部就其資通安全管理制度檢討改善
2023/01/10 全國法規資料庫 刑法第 132 條
新聞回顧:
2022/04/10 報呱 又把市民當個資肥羊?柯市府免費提供錄音檔案給廠商利用
2022/06/16 報呱 台灣蘋果新聞網交易陷羅生門?經民連告發經理人違法傳輸個資
2022/07/02 報呱 蘋果日報出售案:蒐集19年台灣個資資料庫 即將轉賣給中資?
2022/09/25 報呱 【報呱全世界】EP125 你的個資安全嗎?沒有停歇過的網路攻擊早開打 ft. 朵飛
2022/09/27 報呱 為凸顯政府資安怠惰?駭客Bjorka單挑印尼政府狂掃13億筆個資