壹、案情摘要

南丁公司王郁英等人自恃曾從事護理工作，瞭解嬰兒奶粉、彌月蛋糕、油飯及胎毛筆等廠商亟需產（孕）婦及新生兒個人資料作為寄送型錄及試用品之用，乃藉由過去從事護理工作之人脈，或經熟人輾轉介紹認識各縣市衛生局負責或能接觸產（孕）婦及新生兒個人資料之公務員，與渠等往來一段期間後，便以公司業務需要、能提供產（孕）婦更多選擇為由，央求桃園縣、新竹市、苗栗縣、臺中市、南投縣、嘉義市、臺南市、臺南縣、高雄市、高雄縣等各縣市政府衛生局公務員（約11人），以越權查詢「出生通報系統」或私自影印「產婦B型肝炎產前登錄表」、「孕婦B型肝炎送檢名冊」、「新生兒出生證明書」、「嬰幼兒B型肝炎注射卡」、「嬰幼兒預防接種移轉通知單」書面資料等方法提供（孕）產婦及新生兒個人資料，再由其公司員工將資料上所列（孕）產婦姓名、地址、電話、預產期及新生兒出生日期等個人資料輸入電腦建檔處理。嗣以每筆新臺幣8元至32元不等之價格，販售給金格食品股份有限公司、雀巢股份有限公司、桂格食品股份有限公司、宏亞公司、嘉義食品公司、狀元油飯、郭家筆墨莊、郭大成筆莊、金華堂公司、香帥食品行、藝瑭軒筆墨莊、高松筆墨莊等12家廠商，非但該公司侵害各孕、產婦及新生兒之隱私權而觸法；且前述公務員亦因循私洩密而誤蹈法網。

貳、案情研析

一、在今日商業競爭激烈時代下，主動寄送型錄及試用品乃係增加業績之必要行銷手段，以致業者不擇手段拉攏公務員以獲取行銷客戶之相關資訊。原為行政院衛生署國民健康局為提昇新生兒通報資料處理效率所建置「出生通報系統」，卻因相關承辦人員欠缺保密觀念及委外資訊系統維護廠商未予嚴格把關，致其成為南丁公司精確取得產婦及新生兒個人資料之捷徑，造成91年12月至93年5月間全國新生兒通報資料全部遭到外洩。

二、現今為達到提高行政效率之目的，各機關已逐漸將業務相關資料電腦化，但各機關建置電腦系統時，往往只注重操作之便捷性及資料使用之便利性，常忽略系統資料之安全性，即使考量資訊安全，往往也只限於著重在防止電腦駭客自外部入侵系統之防治工作上，對於來自機關內部非法下載輸出資料之防範，能採取有效措施者寥寥可數。

 

參、策進作為

一、加強公務員法令觀念

一般公務員對於法律所規定「應秘密之文書」之觀念，誤以為僅侷限於公文上標明「機密」或「密」等級之文書需予依法保密，至於其他因職務或身分機會而持有或知悉，但未以保密封套（措施）裝訂或清楚記載「機密」文字訊息之資料，通常便不會有保密之觀念。就如：本案出生通報系統內資料、「產婦B型肝炎產前登錄表」、「孕婦B型肝炎送檢名冊」、「新生兒出生證明書」、「嬰幼兒B型肝炎注射卡」、「嬰幼兒預防接種移轉通知單」等紙本資料未清楚載明「機密」或「密」等字眼，導致涉案公務員雖然瞭解相關資料不可隨意外洩，但仍認為在幫助朋友之立場上，將其提供予王郁英等人應不會造成他人太大之損害。故針對上述情形應就貪污治罪條例、刑法瀆職罪章及電腦處理個人資料保護法等法規內容，利用各種集會宣達，務必使機關內每一位成員（包含正式、工友、約雇、臨時及委外處理人員）清楚知悉法條所列之犯罪型態及所應負刑責，並輔以已判決確定之案例作為宣導，使機關成員皆能引以為戒，不再心存僥倖。

二、明訂廠商洩密責任

出生通報系統內資料均屬民眾之個人隱私，政府部門在處理時自當具備尊重民眾隱私權之觀念，機關委外建置及維護此系統時，應於契約上明訂廠商之保密責任，詳列刑事、民事及行政等三方面責任，使受委託廠商清楚明白違反保密事項之後果為何，茲說明如后：刑事責任方面，依據刑法、貪污治罪條例及電腦處理個人資料保護法之相關規定，受政府機關委託之電腦廠商人員雖不具公務員身分，但根據貪污治罪條例第二條及電腦處理個人資料保護法第五條之規定，如廠商人員行為該當法條之構成要件，仍視為公務員而加重處罰；民事責任方面，應明定如因可歸責廠商之事由，致使資料外洩，民眾金錢或權益上受到損害，廠商必須完全負損害賠償責任；行政責任方面，可羅列政府採購法之相關處罰條文，其中政府採購法第一○一條第一項十二款規定，因可歸責於廠商之事由，致解除或終止契約者，招標單位應將廠商刊登在政府採購公報上，同法第一○三條第一項第二款規定，經刊登在政府採購公報上之廠商，於刊登次一日開始起一年內，將無法參加所有政府採購之招標。

三、建立線上監控機制及核對作業

出生通報系統對於帳號密碼之建立及資料之刪除修改已有完整之程序，但對於帳號密碼是否依規定使用，離（調）職員工之帳號密碼是否確實依規定註銷，線上使用帳號是否皆為依規定申請核准之帳號等工作在安全考量仍有不足之處，故提出下列四項改進建議：

（一）線上核對ＩＰ位址：

應該在系統內設定特定帳號只能在特定ＩＰ位址電腦使用之功能，也就是每組帳號密碼只能在主辦人員之電腦才可使用，即使帳號密碼皆為正確，只要不是在指定ＩＰ位址之電腦連線，皆不得進入系統內，以避免帳號密碼不經意外洩，他人能在主辦人員不知情之狀況下，進入系統內操作。

（二）定期自動更換密碼：

在系統內設定更改密碼功能，並強迫使用者定期（如三個月）必須更換登入密碼，密碼使用期限到期前，可以電子郵件或於登入畫面上提醒使用者更換密碼，使用期限到期後，如仍使用舊密碼將被拒絕進入系統，如此在密碼不慎外洩時，他人無法長時間使用。另外亦可規定密碼之設定應同時具備英文及數字或符號，長度應不小於六個字元，如此將能降低密碼被他人猜中之機率。

（三）人工審核作業：

依出生通報系統作業流程，各醫療院所及衛生所之帳號密碼係由各縣市衛生局核准建立，各縣市衛生局之帳號密碼係由國民健康局負責審核建立，但事實上各縣市衛生局及國民健康局只是作書面之審核，審核同意後皆須將新建立之帳號密碼交予系統維護廠商在系統內執行實質建立，為避免系統維護廠商擅自在系統內建立未經核准之帳號密碼，廠商應每月列印帳號使用月報表，註明帳號使用人（縣市）後分送各縣市衛生局及國民健康局進行人工核對作業，確定每個帳號皆已經各縣市衛生局或國民健康局之核准。

（四）線上監控作業：

於系統內設計自動檢查程式，如有定期下載大量資料之情況，系統應主動發送訊號給系統管理人，以便系統管理人主動詢問使用人下載資料之目的，以防止販售資料之情況發生。

肆、相關法規：

一、公務員服務法第4條：「公務員有絕對保守政府機關機密之義務，對於機密事件，無論是否主管事務，均不得洩露，退職後亦同。公務員未得長官許可，不得以私人或代表機關名義，任意發表有關職務之談話。」

二、貪污治罪條例第2條：「依據法令從事公務之人員，犯本條例之罪者，依本條例處斷；其受公務機關委託承辦公務之人，犯本條例之罪者，亦同。」

三、電腦處理個人資料保護法第5條：「受公務機關或非公務機關委託處理資料之團體或個人，於本法適用範圍內，其處理資料之人，視同委託機關之人。」

電腦處理個人資料保護法第17條：「公務機關保有個人資料檔案者，應指定專人依相關法令辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

電腦處理個人資料保護法第27條第1項：「公務機關違反本法規定,致當事人權益受損害者，應負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。」

四、刑法第132條：「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者，處3年以下有期徒刑、拘役或3百元以下罰金。因過失犯前項之罪者，處1年以下有期徒刑、拘役或3百元以下罰金。非公務員因職務或業務知悉或持有第1項之文書、圖畫、消息或物品，而洩漏或交付之者，處1年以下有期徒刑、拘役或3百元以下罰金。」