英國人體資料庫爆個資外洩！衛福部：修法「擴大納管範圍」

英國人體生物資料庫（UK Biobank）近日爆出資料疑似外流並被上架中國電商平台販售，引發國際對生物資料安全的關注。對此，衛福部長石崇良今（28日）強調，台灣人體生物資料庫與健保資料庫均有嚴格法規與多重資安機制把關，所有資料跨境使用須經主管機關審查，且採取去識別化與封閉式使用環境，確保個資不會外洩。

英國人體生物資料庫（UK Biobank）近期傳出資料疑遭外流，部分去識別化健康數據一度出現在中國電商平台販售，引發國際關注。該機構表示，遭外洩的數據是機構提供給3所中國學術機構的內容，且該機構也強調，在電商平台未有交易達成前，已經迅速下架銷售資訊。

石崇良表示，我國人體生物資料庫管理採嚴格法制規範，所有資料跨境傳輸均須經主管機關事前審查核准，不得任意輸出。目前國內已依法設立的人體生物資料庫共39個，多數由大型醫院或政府機構建置，皆納入法規管理。

石崇良指出，國內生物資料庫在資料與生物檢體儲存上採「分離管理」，避免直接連結個人身分資訊，降低可識別風險。同時，所有資料在釋出前均已去識別化處理，「單純的檢體，不知道他是誰的」。

石崇良說，健保資料庫涵蓋約2,300萬人口資料，管理機制更為嚴格。其開放使用僅限「研究」用途，且需於指定實體場域進行作業，場域內設有監控系統，全程留存紀錄，不開放遠端連線使用。此外，健保資料採「只進不出」原則，研究人員僅能攜入資料進行串接與分析，最終僅可攜出統計結果，原始資料不得離開系統。所有申請須事前審查，並依使用權限分級管理；大量查詢或資料調閱亦需主管核准。

石崇良補充，系統內部亦採內外網隔離設計，通過ISO 27001（資訊安全管理系統）和ISO 27701（隱私資訊管理系統）認證。同時建立完整稽核機制，包括使用紀錄留存、異常行為監測、定期報表查核，以及資料下載後的最小揭露與到期銷毀制度，以確保資料安全與個資保護。

《人體生物資料庫管理條例》修正案目前已在行政院審查中，石崇良表示，此次修法重點在於擴大生物資料庫的定義範圍，將基因資料與醫學影像資料一併納入管理體系，以強化整體監管與資安防護。若進度順利，預計本會期將送交立法院審議。