三、資訊安全
情境問題
現在電腦科技這麼發達,高中生都可以駭入外交部網站,我的健康資料在協作中心的使用過程中安全嗎?
是不是任何一個人都可以申請?
會不會很容易申請而導致資料外流呢?
依照目前政府所推行之計劃指出,協作中心所提供的資料,是已受到加密保護且去連結的數據;而協作中心也會要求所有相關研究成員簽定保密切結書並保守秘密,並在資料申請許可後,確認刪除可辨識個人之重要欄位像是姓名、身分證號、護照號碼、電話、住址細節、各種日期、傳真號碼、電子信箱、照片等,並去連結、將資料模糊化等措施。
目前協作中心的資料申請者除學術界研究外,若為非學術界的申請不僅在申請資格上有所限制(應為登記立案之公司機構),申請資料須填妥之表格資料也須經過委員會審核才能予以通過。
而協作中心也會依據申請資料者的申請報告,截取特定部分項目轉換而成的「群組資料」或「類別資料」,這裡的群組、類別資料是指可能在年齡、地區或是性別等變項將其分類,例如年齡資料改為 0-14 歲、15-24 歲、25-44 歲、45-64 歲、和 65 以上等五個類別;而性別資料分為 A 或 B 兩類;診斷資料分為五群;出院結果又可分為三群等,再經過交叉聯合列表提供個案數,達到無法辨識個人資料的目的。因此政府說明申請者所獲得之資料是為統計數據,而非原始資料檔,且也無法對攜出之資料進行還原。
這個小節所指涉的資料安全,主要是指防止資料在未經授權的情況下,被使用、竊取或是破壞的情形,而非上個小節所說的,身分是否容易被識別的隱私安全疑慮。資訊安全問題最常發生的即為駭客,有專家學者指出,目前世界在於開放資料的結合,於牽涉到敏感個人資訊之病歷等健康資料範圍上,所持態度相對保守謹慎,而隨著科技技術之先進,資料傳輸與登錄方面是否會產生被駭客破解的也難免有所疑慮。臺灣人權促進會在它們的網站上也指出:「目前我們沒有辦法確保,任何的資料上傳到雲端,或是透過資料庫販賣、分享給其他廠商、研究單位,即使是身分欄等經過加密,目前的技術就可以完全保障國人的資料不會遭到駭客入侵或是外洩。」
目前世界上對於資訊安全,有些國家有訂定相關的標準,最常被提及的是英國的 BS7799/ISO17799,我國則是有「行政院所屬各機關資訊安全管理實施基準/要點」、「財政部暨所屬機關資訊安全管理基準」、「金融機構辦理電子銀行業務安全控管作業基準」等,而法規上則有銀行法、營業秘密法、個資法、刑法電腦犯罪等。
當筆數為數不少的資料被集中在同一個儲存空間後,很自然會成為資訊安全的疑慮,因為當越多的資訊處於不穩定的環境下,當遭到心存不善者攻擊時,造成的損失可能會越大。常見的資安問題,包括資料在處理、傳輸和儲存的情況下,可能被攻擊、攔截或資料庫被入侵,使資料被盜用的情況。
回到臺灣的健康資料庫加值計畫,當如此大筆(甚至是好幾個大型資料庫串連)的資料在開放給外界使用時,相形下資訊安全的疑慮也會增加。健康資料庫加值應用協作中心在其網站下提供閱覽的「作業須知」與「獨立區使用人員注意事項」等,皆在協作中心的行政人員與申請使用者上進行資安措施的規範,例如禁止攜帶可儲存資料的設備進入協作中心、簽訂保密協議書、禁止使用自備的文具紙張等,以防止資料被不當地攜出協作中心;但是由於沒有明確立法,目前這些作業須知及注意事項,並不具有法律上的強制效力。