衛福部公布主權雲八大方針，醫療雲端採購新基準出爐

衛福部資訊處今日提出主權雲八大指導方針，包括全程加密與金鑰自主、數據用途限制、不可逆刪除協議、絕對數據在地化、維運人員須具備本國籍、本國法律優先、數位韌性與雙活架構，以及透明化稽核。

圖片來源:

攝影／王若樸

過去一年，醫療機構接連成為駭客攻擊目標，從國內醫院遭勒索軟體入侵，到國外大型醫療機構和保險系統發生資料外洩事件，都讓一個問題浮上檯面：醫療資料適合放在雲端嗎？如果要放，怎麼放才安全？

衛福部資訊處今日（1/14）首次揭露主權雲政策及八大指導方針，回答了誰管資料、誰管系統、誰握鑰匙等三大關鍵問題，也定義了不同風險的資料，應放在不同等級的雲上。

為什麼醫療資料特別敏感？

衛福部資訊處處長李建璋先是點出，醫療資料和金融資料最大的不同，在於能不能補救。

信用卡被盜，可以換卡；帳號外洩，可以重設密碼。但病歷、基因資料、特定疾病紀錄，一旦被看見、被複製、被用來分析，這件事就沒有重來的機會。這些資料幾乎伴隨一個人一輩子，就像是每個人的數位DNA。

這類資料一旦外流，不只可能被用來詐騙，還可能影響保險、就業，甚至被拿來做未經同意的AI分析。也因此，衛福部將這類醫療與公共衛生資料定位為「準國安等級」，必須用比一般資訊更嚴格的方式管理。

公雲服務的3大隱形風險

李建璋坦言，現有的商業公有雲技術相當成熟，效能與彈性都有其優勢。但真正的風險，往往不在技術本身，而在治理。

他看到的公雲治理風險有3個，首先是共用責任模式的誤解。因為，多數雲端服務只負責底層機房與硬體，帳號權限、資料加密等工作還得靠使用者自己管理。一個設定錯誤，就可能把資料暴露在外。另一個風險是供應鏈漏洞，就算主系統防護嚴密，外包廠商、第三方套件或API串接，仍可能成為破口。

第三個風險是跨境法規問題。當資料放在國際雲端業者手中，就可能受到外國法律影響，和本地法規產生衝突。舉例來說，美國雲端法案（Cloud Act）允許美國政府調閱雲端業者所管轄的資料，就算是他國業者託管的資料也算在內。這對醫療資料來說，風險特別高。

主權雲指導方針不是禁用公有雲，而是分級使用

因此，衛福部資訊處提出主權雲概念，強調國家數據和系統需完全受本國法律管轄與保護，而且要是不受外國干涉的運算環境。

不過，主權雲指導方針不是要把所有系統都關進封閉環境，而是先把資料分級。比如，一般行政資料、低敏感資訊，還是可以使用符合規範的商業公有雲服務；但病歷、基因資料、傳染病監測等高度敏感資料，則必須放在主權雲或政府專屬雲環境中。簡單來說，就是把不同風險的資料，放在不同等級的雲上。

衛福部提出主權雲八大指導方針

在衛福部的定義中，主權雲不只是資料「放在哪裡」，而是回到三個核心問題：誰能管理資料、誰負責系統維運，以及誰握有解密與存取的關鍵權限。

根據這個治理思維，衛福部提出「主權雲八大指導方針」，來回應上述三項關鍵問題，並將抽象的主權概念，轉化為可落地的技術與管理要求。以方針內容來看，第一、第四與第六條，分別要求資料全程加密且金鑰由衛福部掌控、數據必須存放於境內，以及資料須完整受我國法律管轄；第五條則進一步規範，關鍵系統的管理權限必須掌握在本國人員手中。第二與第三條，明確界定資料的使用範圍與刪除方式，而最後兩條，則聚焦於主權雲業者的系統韌性與當責能力。

完整方針如下：

第一，全程加密與金鑰自主：所有資料在儲存與傳輸過程中都要加密，而且加密金鑰必須由衛福部自己掌控，雲端業者無法解密。

第二，數據用途限制：原則是無授權、無二次使用，醫療資料只能用在事先說好的用途，禁止雲端廠商拿去訓練AI或做商業分析。

第三，不可逆刪除協議：資料不需要時，要能真正刪乾淨，確保無法還原。

第四，絕對數據在地化：也就是說，生產數據、中繼資料（Metadata）、備份、備援等，必須物理性存放於中華民國境內，不得有任何形式的跨境傳輸。

第五，維運人員主權：雲端高權限管理員，必須具本國籍。這些人員也得通過背景審核，而且廠商要定期揭露名單供衛福部核備。

第六，法律優先性：廠商必須以我國法律為最高準則，即《資通安全管理法》和《個資法》，外國法規不能凌駕其上。

第七，數位韌性與雙活架構：主權雲必須具備高可用性與備援能力，包括雙活（Dual-Active）或異地多可用區，就算遭攻擊或天災，也不能讓醫療服務停擺。

第八，透明化稽核：所有管理行為都要能被稽核與追蹤，確保出了問題找得到人、追得到原因。廠商管理員的操作日誌，必須即時串流至衛福部資安監控中心（SOC）。