從戶政到健保資料外洩案看我國個資保障，唐鳳部長理當不能以一句配合偵辦輕輕帶過

文：楊佳勳

從稍早前媒體報導及跨黨派立法委員揭露、質詢臺灣戶籍資料疑似外洩的問題，到1月9日衛生福利部中央健康保險署葉前主任秘書、承保組謝姓科長等人疑涉及將全民健保資料外洩至中國遭檢調搜索約談，行政部門接連爆發人民個資外洩議題，一時成為社會矚目之焦點。

然而，我國對公務機關的個人資料、資通訊安全保護卻可能與一般民眾認知不盡相符。

《個資法》宜速修定

在個人資料保護部分，《個人資料保護法》主管機關為國家發展委員會（以下簡稱國發會），不過實際上國發會僅設立「個人資料保護專案辦公室」作為專責單位，預算人力、獨立性及層級均仍嫌不足，本人坦言若非曾因業務需求，甚至不知國發會有設立這專案辦公室。

經司法院憲法法庭111年憲判字第13號健保資料庫釋憲案，憲法法庭既已明白宣示我國《個資法》及相關法律欠缺個人資料獨立保護監督機制違憲，雖尚有約兩年半緩衝期，我呼籲行政及立法兩院儘速提出個資法修正草案並籌設個資保障獨立機關，建議為中央二級（或三級）獨立機關並直屬政院，以落實保障公民個資相關權益。亦是執政黨採取事後補救之有感改革法案。

而國家安全法律部分本人不敢稱太熟悉，但坦白說肯定有不少可檢討之處，若健保資料案真如《鏡週刊》報導披露已將國安高層及情報系統人員資料出賣予中國情治人員，政府需重新通盤檢討《刑法》外患罪、《國家安全法》、《國家情報工作法》、《反滲透法》、《臺灣地區與大陸地區人民關係條例》有關公務員赴中國規定等法律及其罰則，以預防嚇阻類似影響國安重大之犯罪行為。

數位部責任重大

《資通安全管理法》近期固然未修正，查其法規沿革及行政院公告意外發現默默已將大部分法律主管機關移交數位發展部（簡稱數位部），亦即除了「關鍵基礎設施及其提供者」定義、「國家資通安全發展方案」制定、施行日期等少數職權仍留在行政院外，其餘權責幾乎已改由數位部管轄。

數位部身為主管機關，唐鳳部長理當不能一句全力提供資安技術支援、配合偵辦即可輕輕帶過，有權積極監督衛福部健保署及內政部將資通安全事件之通報、調查、處理及改善報告（該法第14條）送交上級或監督機關及數位部。除非資料外洩完全不涉資通安全才與數位部無關。

Photo Credit: 中央社

最後，總統推動資安即國安，各公務機關之資通安全長依《資通安全管理法》第11條由機關首長指派副首長（即副院長、次長、副署長）或適當人員兼任，資通安全長通常非資通訊安全或資訊專業，卻必須肩負起監督治理資安之責任（註：資安並非純資訊單位事務，推測因副首長或主秘級主管方有充分權力要求業務單位遵循資安保護）。

本文著重制度結構無意針對個別人士，卻同樣期盼莫讓政府資安長制形同虛設。

本文經《思想坦克》授權轉載，原文發表於此

延伸閱讀

• 立委賴香伶：政府個資外洩連環爆，數位發展部卻認為事不關己，資安漏洞誰來補？
• 健保署前員工涉利用下屬查詢販情報個資，家族帳戶內超過10億，健保署也啟動內部專案調查
• 台灣的資安認知，真的準備好要應對兩岸之間的軍事衝突了嗎？

【加入關鍵評論網會員】每天精彩好文直送你的信箱，每週獨享編輯精選、時事精選、藝文週報等特製電子報。還可留言與作者、記者、編輯討論文章內容。立刻點擊免費加入會員！

責任編輯：丁肇九
核稿編輯：翁世航