◎ 王昱培
健保署驚爆多名職員疑涉外洩民眾個資,引發外界譁然,突顯公務機關資安漏洞甚大,茲提改善建議如下:
一、健保署應儘速制定個資保護相關法規:健保資料庫涵蓋全國納保民眾的健康狀況、用藥紀錄等機敏性資料,然憲法法庭一一一年憲判字第十三號判決指出儲存、處理、對外傳輸及對外提供利用之主體、目的、要件、範圍及方式暨相關組織上及程序上之監督防護機制等重要事項,於全民健康保險法中均欠缺明確規定,違反憲法第二十三條法律保留原則暨第二十二條保障人民資訊隱私權之意旨,因此諭令健保署應自該判決宣示之日起三年內,修正全民健康保險法或其他相關法律,或制定專法明定之。此回健保個資外洩事件影響甚鉅,健保署應加速修法或立法進度,以強化健保個資的法律規範密度。
二、落實資通安全管理制度的檢討改善:保管運用民眾個資的公務機關所在多有,除健保署外,還有警政、戶政與稅務等機關。《資通安全責任等級分級辦法》依機關業務機敏性、保有或處理資訊種類、資通系統規模等條件,將公務機關的資通安全責任等級,由高至低分為A級、B級、C級、D級及E級,從管理面、技術面暨認知與訓練等三大面向確保資通安全。與健保署同屬資通安全責任等級A級的銓敘部,在二○一九年六月間爆發公務人員個資外洩事件,監察院針對該事件的調查報告就指出,銓敘部未依相關規定詳實評估存取全國公務人員銓審資料之「銓敘業務網路作業系統」及「公文管理及線上簽核系統」,以致相關系統防護基準不足。鑒於類此事件一再發生,數位發展部應即刻協助公務機關全面檢核內部的資訊系統等級、作業流程有無缺失漏洞,一經發掘即予以改善,避免衍生後續資安風險。
三、加強公務人員的法紀與資安教育:本案涉案人員眾多,顯見公務人員的法紀觀念與資安意識雙雙不足,因此各公務機關應加強人員的法紀及資安教育訓練,以防杜類案再生。
綜上,筆者建議政府應就上述三方面落實改善,才不致讓「資安就是國安」的宣示淪為口號。
(作者為公務員,高雄市民)
編輯精選
自由評論網粉絲團