1月9日,台北地檢署懷疑健保署官員集體洩漏並盜賣全台2,300萬民眾個資至中國,指揮調查局新北市調處國安站兵分5路,搜索該署前主任祕書葉逢明及承保組科長謝玉蓮與職員李仁輝等3人住處及辦公室,查扣手機及電腦等證物,訊後依違反《國家情報工作法》將謝女以10萬元交保。
本刊掌握,全案嚴重影響國安,舉凡總統府、立法院、國防部與國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵等11情治系統投保人員的個資全都外洩,就連一般民眾在各公司行號或工會、農漁會的投保資料也全流出,案情遠遠超越一般洩密案,消息一出,震驚各界。
11情治系統小檔案
台灣早期以8大情治系統來統稱國家情報、治安機關,不過,隨著解嚴及政府組織調整,情報機關的定位與定義已跟過去大不相同。根據最新修訂完成的《國家情報工作法》規定,情報機關指的是:國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊、海洋委員會海巡署、國防部政治作戰局、憲兵指揮部、資通電軍指揮部、警政署、移民署及調查局,由國家安全局統合指導協調。
密集赴中返台 鉅款即匯入
雖然葉逢明獲無保請回,不過,專案小組掌握他的家族成員在海內外擁有超過新台幣10億元鉅款,加上他近年密集往返中國10多次,只要回台,家族成員的相關帳戶幾乎都會有大筆款項匯入,懷疑是盜賣個資所得,不排除還有共犯,專案小組將他放掉並暗中監控,近日將發動新一波約談行動逮人。
本刊調查,葉逢明等人涉嫌從2009至2022年間,利用職務查詢健保資訊系統權限,外洩6大類健保被保險人資料等個資,歷時13年,由於健保資料庫龐大,分為保費及醫療管理等二個不同獨立系統,幾乎涵蓋全體國人,葉逢明等人此舉無疑是將台灣民眾的隱私全洩光。
依照健保二大資料庫設計,攸關加退保與保費的承保系統,可循此一窺投保單位、投保金額、被保險人收入和住址等個資,保戶的工作單位或財力背景也全都一覽無遺。
至於另個醫管系統則更加敏感,裡面存有民眾抽血、開刀、電腦斷層、核磁共振或健保給付金額等詳細就醫明細。這兩套系統一旦外洩,宛如全台民眾的個人財務背景及健康史全被看光。
隨身碟盜資料 危敵後特工
葉逢明雖身為主祕,但不負責查詢民眾健保資料,因此並無授權密碼,只好利用他長期拉拔的謝玉蓮、李仁輝二名部屬在承保組任職,擁有查詢民眾健保資料權限取得全台民眾個資,專案小組懷疑他以化整為零的方式,利用隨身碟拷貝檔案,有計畫地逐步將全民資料偷走盜賣至中國。
除了11大情治單位、陸海空三軍士官兵與研發飛彈的中科院人員個資遭外洩,更令人擔憂的是,謝玉蓮曾查詢「陳×勳」等特定情治人員的健保資料,恐讓埋伏在敵後工作的國安人員真實身分曝光,萬一遭誘捕,性命必遭威脅。
本刊掌握,除了葉逢明遭鎖定是盜賣健保個資的首腦外,檢調擴大清查健保署是否另有偷查個資的漏網之魚,發現謝玉蓮以查詢方式窺探民眾投保資料筆數達13萬筆,卻僅在健保署排名第二,另名未曝光的楊姓女職員查詢約15萬筆,檢調正釐清她與全案是否有所關聯。
至於遭約談獲請回的李仁輝,曾私下查詢總統府、國安會及調查局的投保個資達3萬5千筆;另名江姓女職員也查了在國防部投保的三軍將士「林×明」等5千筆個資;溫姓女員工查了近5千筆;張姓及朱姓職員則查了特定人的醫療紀錄及中華電信員工等個資。檢調已一併調查中。
攜妻不假西進 標緻女陪玩
本刊調查,葉逢明近年經常不假赴中國北京、上海、南京及成都等地,他從港澳入境後即轉進中國,最常搭乘週四班機出國,並在週日返台,旋風式出國次數超過10次,而且幾乎都帶著妻子同行。
雖然葉逢明聲稱是出國旅遊,不過,專案小組掌握,他抵達中國即有特定人士接待,帶著他吃喝玩樂,甚至有長相標緻的女子作陪,至於葉妻則由號稱當地貴婦的特工團陪著遊山玩水、逛街吃美食,讓這對夫妻玩得盡興。
最詭異的是,專案小組發現葉逢明每次回台不久,他家人在港、澳等地的銀行帳戶就有不明的大筆資金匯入,之後再輾轉匯入台灣其他親友戶頭。由於葉逢明未依規定報備前往中國,專案小組懷疑他極可能藉此交付資料,並利用人頭帳戶洗錢。
檢調擴大清查發現,葉逢明曾在2011年12月18日至23日、2012年6月18日至24日分別赴中國北京及成都,但出境前卻都未至銀行換人民幣,後來比對其他出境紀錄也發現類似狀況,加上信用卡未出現異常交易,究竟他到中國的花費從何而來?是否接受中國官方落地招待?均有待進一步調查。
陸情報員來台 辦公室密談
專案小組循線查出,葉逢明的夏姓妻子在台電任職多年,曾在2013年4月,存了人民幣1萬2,000元至中國信託銀行帳戶。此外,葉逢明與媽媽也曾在2018年1月,有500萬元匯款紀錄,而葉妻家族相關帳戶從2010年至2014年更有超過1,200萬元的不明資金進出。
調查局洗錢防制處全面清查葉逢明與太太、小孩,以及長輩和姊妹的金流後,發現葉家在港、澳與台灣的帳戶存有逾人民幣3億元(逾新台幣12億元),財力驚人,由於葉家的可疑帳戶仍在清查中,預料資金規模還會擴大。
此外,檢調查出,兩岸關係在馬政府時代達到高峰,兩岸人員往來交流密集,具有中國政協身分的情治人員,表面上以商務考察名義來台,卻多次至葉逢明的辦公室閉門會談,甚至了解健保署的運作及業務,伺機刺探取得民眾個資的方式,進而導致全台民眾的個資流出,顯見健保署的內控機制完全失靈,對於人員管制也形同虛設。
由於中國情治人員在刺探過程中,得知全台民眾幾乎都是健保保戶,投保人依職業別分成六大類,亟欲突破葉逢明取得資料,其中最多國人被歸類在第一類,包括政府機關、公私立學校專任有給人員或公職人員;公、民營事業、機構的受僱者;雇主或自營業主;專門職業及技術人員自行執業者。
第二類則是無一定雇主或自營作業而參加職業工會者,以及參加海員總工會或船長公會為會員之外僱船員;第三類為農會及水利會會員;第四類是應服役期及應召在營期間逾二個月的受徵集及召集在營服兵役義務者、國軍軍事學校軍費學生及特定軍人遺族或受刑人;第五類為低收入戶;第六類是榮民與遺眷。此六類相關資料均落入中國手中。
五眼聯盟示警 4年前告知
民眾個資外洩事件頻傳,時代力量去年12月曾召開記者會,指全台2,300萬筆國民個人資料疑遭駭,並被放在國外論壇兜售,資料鉅細靡遺,包括姓名、身分證字號、戶號、生日、婚姻狀態、親屬關係、地址、出生地、配偶與父母姓名等,要求政府相關單位速查嚴防,當時所指的遭洩個資,極可能與此次健保署外洩事件有關。
不只如此,早在4年前,由美國、英國、加拿大、澳洲、紐西蘭組成的五眼聯盟(Five Eyes),曾提供情資給我國政府,告知有銓敘部59萬筆公務員個資被張貼在美國的網站論壇,舉凡身分證字號、姓名、手機電話、服務機關單位等資料全都外流,懷疑是銓敘部的一部電腦主機被植入木馬程式,不排除是維修人員、內鬼或駭客所為。
出身軍人世家 去年初退休
本刊當年7月獨家報導披露此事,查出遭洩露同樣包括各情治人員的身分證字號、本名、行動電話及服務單位,扣除重複部分,仍有高達24萬筆,其中2萬8千名官員仍舊在原單位任職,影響層面不容小覷,國安局透過美方情報系統緊急要求業者下架。
詭異的是,PO出該我方公務員個資的美國RAIDFORUMS網站,是電腦駭客經常分享訊息的交流園地,設有動漫區版、全球新聞版、八卦版及成人版,這些台灣公務員的檔案被公開販售竟只要價10歐元,不禁讓人質疑散布該個資的駭客用意為何。
至於此次健保署洩露國人個資的嫌疑人葉逢明,出身軍人世家,家族曾出過將軍,並與國民黨黃復興黨部友好。葉逢明早期從健保署台北業務組基層做起,後來升上該署最重要的承保組組長再接任主祕,業務嫻熟,除多次代表健保署參加個資相關研討會,更不忘拉拔謝玉蓮等人升官,直到去年初才退休,並轉至民間科技大廠任職,負責雲端健康等業務。
由於資安即國安,檢調實有必要加速查明此案,才能確保國家安全。
近年民眾個資遭外洩事件
- 2023.01:華航驚傳遭駭客入侵導致會員資料庫外洩,據傳包括副總統賴清德、台積電創辦人張忠謀及藝人林志玲等多位政商名流個資全流出,民航局已要求華航說明事件始末,並確保各項資通系統作業安全。
- 2022.09:警方統計年度第2季「解除分期付款詐騙案」,號稱全台最大的「博客來網路書店」以2,725件名列高風險賣場冠軍,不排除有內鬼盜賣個資,已著手清查。
- 2022.07:北市警信義分局前偵查小隊長王耿宏應友人所託,以警務電腦查詢大量個資,資料輾轉賣給徵信業者,台北地院依違反《個資法》等罪,判王2年徒刑,緩刑5年,並須繳50萬元給國庫,服120小時義務勞務,可上訴。
- 2022.07:刑事局查出國內至少45間公益社福團體的電腦遭駭客盜走捐款人個資,詐騙集團誘騙捐款人操作ATM再詐款,估計1年有上百人遭騙,總金額超過3,000萬元。
