北市聯醫外泄3000筆愛滋感染者資料 可國賠最高兩萬
臺北市立聯合醫院驚傳外泄愛滋感染者名單,有多達3000筆資料在網路上公開。疾病管制署今(20)日上午召開記者會迴應,當時未告知感染者是避免引起感染者二度傷害或者更大的資安疑慮考量;北市衛生局已經成立窗口供感染者諮詢,由於此案屬於公務機關泄漏資料,受影響感染者可提出國賠,無明確事證之損害賠償最高兩萬;並強調,此次主要影響是97年以前的感染者資料,97年以後新確診個案無需擔心。
根據《鏡週刊》報導,爆料者爲一具醫療背景人士,105年12月份於國外網站查詢資料時發現這份「毒品病患愛滋減害試辦計劃清潔針具計劃」,附件中竟含有3千多筆愛滋感染者個人資料,包含姓名、身分證字號、出生年月日等。該資料是由時任研究員的莊蘋於96年執行簡報時,不慎把資料留於授課單位電腦,105年3月放置在國際簡報下載網站。
疾管署副署長羅一鈞表示,疾管署在105年9月6日獲醫院端通知,立即透過與行政院資通安全處、警政署刑事警察局、行政院國家資通安全會報技術服務中心、臺北市政府衛生局等單位啓動跨國網路事件合作機制緊急處理,事件當日下載平臺即依要求完成簡報檔下架,三天內也陸續移除各大搜尋網站的連結與庫存頁面、並完成下架原發現平臺以外五處存有那份簡報的網址檔案。
同年9月13日刑事警察局發現第7處網址有部分text文字資料(無簡報檔),但因該公司非臺美司法互助範圍,隨即起跨單位小組持續運用多方管道請對方下架,於隔年2月網址終獲移除。疾管署強調,中央與地方政府相關單位持續監測至今,已無發現含有前述個資的檔案或連結。
▲世界愛滋日資料照。(圖/疾管署提供)
羅一鈞表示,爲免類似案例重演,事件後中央與地方愛滋防治團隊已完成系統性檢討,加強個資保護及資安管理相關教育與法規訓練、提升承辦人員資訊安全知能,輔以資訊系統的各項把關措施,務使個資外泄事件不再發生。
當初沒有直接通知感染者,羅一鈞解釋,根據《個資法》規定,有資安外泄事件發生,有必要用適當方式通知當事人,但此事件特殊之處在於感染者名單全都綁在一起,若告知可能會增加尋找資料的機會,也憂心刺激資料持有者做出其他舉動,是避免二次傷害與更大資安疑慮。
感染者若有疑慮,疾管署已請北市衛生局成立窗口供查詢;另依據《個資法》損害賠償的相關規定,且此案爲公務機關適用國家賠償法,如果感染者查詢有明確舉證因事件受到權益受損,可以受損程度提出求償,若被害人不易或無法證明實際損害,每一件仍可最高有2萬元的求償,疾管署也願提供感染者相關協助。
疾管署也強調,感染者相關資料屬《個資法》第6條所規定的特種資料,爆料者或媒體如無法律上原因持有相關資料,不得蒐集、處理或利用,否則得依該法第47條處5萬元以上50萬元以下罰鍰,倘行爲人另意圖爲自己或第三人不法之利益或損害他人之利益,違反本法足生損害於他人者,則依該法第41條處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。