「我們引進全球技術,但前提是必須遵守臺灣的『家規』」。主權雲是一場從技術到法律的全面升級,建立以臺灣為中心的雲端生態系,確保醫療體系永續運作。
採訪/施鑫澤‧文/鄭宜芬‧刊期/2026.2
臺灣 65 歲以上人口已超過 465 萬,面對超高齡社會帶來的健康照顧需求挑戰,照護模式必須從醫院轉向社區與居家的分散式照顧。衛生福利部部長石崇良表示,要達成這些目標,健保支付制度需從「論量計酬(Fee-for-service)」轉向「論值計酬(Value-based)」,這一切成功的基礎在於數位建設,需要豐富的資訊來實現客製化的健康計畫、分散式照顧及科技協助。
臺灣的健保資料宛如寶庫,但須像頁岩油先行提煉才能變成黃金。衛福部近年持續推動醫療資訊升級,包含次世代醫療資訊平台等計畫,目標打通各醫療體系間的資訊,同時也推動基層診所的資訊系統(HIS)雲端化,以提升互通效率、確保資安並增加彈性。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
商業公有雲的隱形風險
在高齡化、照護型態轉變與醫療資料快速累積的背景下,雲端架構的選擇,不只看技術,更需重視國家治理與醫療安全的關鍵。
衛生福利部資訊處處長李建璋強調,醫療資料相當於「準國安等級」,與金融資料的不同之處在於「不可補救性」。金融資料外洩可透過換卡或重設密碼解決,但醫療資料如病歷、基因資訊或特定疾病紀錄,一旦曝光便無法撤回,且將伴隨個人一生,衍生詐騙、保險排擠、就業歧視,甚至國家健康態勢情報外流等風險。
他進一步指出,國際公有雲雖然強大,但架構本質在處理高度敏感資料時存三大結構性弱點:
● 管轄權風險:
資料可能受到母公司所在國的法律調閱,例如美國《CLOUD Act》,失去主權保護。
● 共用責任模式的誤解:
雲端商只保證基礎設施安全,使用者仍須負責加密與 IAM(身分識別與存取管理)。若配置不當,門戶依然洞開。
● 供應鏈漏洞:
即使核心系統安全,但第三方外包商或 IT 供應商往往成為駭客的後門。
近年發生多起國際醫療資安重大案例,例如美國聯合健康集團 UnitedHealth 旗下的美國醫療服務供應商 Change Healthcare 因供應鏈端口與身分授權弱點,導致逾 1.9 億人資料外洩;Oracle/Cerner 在系統整合與遷移期的防護空窗,因舊伺服器遭駭,造成病患資料被複製勒索;紐西蘭最大的患者入口網站 Manage My Health 亦因 API 與應用層攻擊,有約 12 萬名患者資料外洩;英國國家健康醫療服務(NHS)供應商 DXS International 遭駭客勒索,引發關聯資料與第三方備份風險。

主權雲三大支柱與分級戰略
過去雲端導入以效率與成本為主,隨著醫療資安威脅日益嚴峻,健保資料成為駭客目標,這些風險無法單靠個別醫院或單一技術解決。衛福部推動以「主權雲」為核心的雲端治理策略,以數位主權為核心,確保國家資料與系統不受外國的運算環境干涉,完全受本國法律管轄與保護。
主權雲的概念源自國際趨勢,如許多國家將國防、情報、戶政與醫療等機敏資料置於主權雲,而非商業公有雲,以避免責任分擔與管轄權爭議。
● 數據主權(Data Sovereignty:
所有資料(含備份)物理儲存於臺灣,僅受臺灣法律管轄。
● 維運主權(Operational Sovereignty):
系統由具備本國國籍且經審核的工程師維運,防止外國技術人員未經授權進行後端存取。
● 技術主權(Technical Sovereignty):
主權雲掌握加密權和可遷移性,廠商無法解密,也無法鎖定,金鑰由衛福部保管,保有隨時撤離資料的能力。
衛福部的主權雲並非完全禁止公有雲,而是採取分級戰略,根據風險與災難導向部署,並依資料敏感度分級:非敏感的產業資料與一般行政數位服務,屬於一般等級,可使用較彈性的雲主權模型;高敏感的病歷資料、基因監測、傳染病監測及公共衛生資料,屬於準國安等級,則須置於主權雲。
[ 推薦閱讀:【醫療業】五大面向說明軟體重塑醫療業 ]
主權雲的核心原則與八大指導方針
為避免商業公有雲的隱形風險,衛福部針對未來政府雲端採購設立八大指導方針如下:
一. 全程加密:
資料傳輸與儲存須全程加密,衛福部擁有唯一控制權,無解密權限,確保即使資料外洩,也無法解讀內容。加密標準為 AES-256 或以上,金鑰模式為 CMK(Customer Managed Keys)或 HYOK(Hold Your Own Keys)。
二. 用途限制:
無授權亦無二次使用,嚴禁廠商將資料用於機器學習訓練、模型優化或商業巨量資料分析。
三. 不可逆刪除:
透過加密抹除(Crypto-erasure)確保資料碎片無法還原,並須提交具法律效力的物理與數位銷毀證明。
四. 數據在地:
包括生產資料、中繼資料、備份與備援等所有資料,必須物理性存放於中華民國境內,嚴禁任何形式的跨境傳輸。
五. 人員主權:
高權限管理員須具備中華民國國籍,需通過背景審核,並定期揭露授權名冊供衛福部審核。
六. 法治優先:
全面遵循臺灣《資通安全管理法》與《個資法》,若遇外國法律如美國《CLOUD Act》衝突,廠商須承諾以中華民國法律為最優先準則。
七. 數位韌性:
針對關鍵醫療系統,建立雙活(Dual-Active)架構,或異地多可用區,確保遭遇區域性災變時,醫療系統不中斷,RPO(復原點目標)目標為0。
八. 透明稽核:
衛福部具備合約約束力的「持續審核權」,管理員操作日誌(Admin Audit Logs)需即時串流至衛福部資安監控中心(SOC)。
關鍵增補規範 強化主權防線
● 技術支援主權:遠端排障僅限境內核可人員,禁止外國團隊未經授權進行遠端桌面分享。
● 對抗域外管轄:廠商需承諾優先挑戰外國政府的調閱請求。
● 退出策略:確保資料可攜性,支援非私有通用格式導出,確保能無痛搬家。
● 供應鏈透明:定期提供軟體清單(SBOM)與硬體來源,排除高風險組件。
[ 推薦閱讀:AI 如何透過 FHIR 與 HIS 無縫整合 ]
主權雲是全球先進國家的共同趨勢
主權雲政策並非臺灣特例,目前多數先進國家已採取此雲端治理方向。
● 德國-以法律屏蔽建構的在地營運模式
Delos Cloud 是由德國政府與 SAP、德國電信(T-Systems)及 Microsoft 合作推出,將技術與營運分離,強調敏感資料必須儲存在德國境內,並由符合德國法規的法人實體負責。確保即使使用國際雲技術,也不會受到美國《CLOUD Act》等域外法規影響,已規劃用於聯邦政府、國防部與關鍵公共部門。
● 法國-國家控制與歐洲自主的信任標章
核心策略是Cloud de Confiance(可信任雲),規定只有將資料與金鑰完全交付法國或歐盟法人手中的雲端服務,才能承載政府與醫療等高度敏感資料。這是一種將國際技術「去主權化」(De-sovereignizing)後再使用的策略,確保國家對資料的絕對掌控。關鍵實體則在於NumSpot(國家雲端平台),由法國國營金融機構、電信商與科技公司共同成立,服務對象涵蓋中央政府、地方政府與公立醫院。
● 英國-嚴格分級的雲端治理框架
政策背景為 Government Cloud First Policy,一般行政資料可使用基本合規的公有雲,敏感資料如國防、情治、醫療、戶政等需儲存在英國境內,營運商亦需通過安全審查。以NHS(英國國民保健署)為例,欲進行一般分析,可適度使用公有雲資源。病人資料與基因資料則限制在主權雲或政府專屬雲,強調隱私與安全的絕對分級。
● 澳洲-以法規與認證界定主權邊界
澳洲的主權雲應用於醫療、社福與人口資料平台,核心策略為 International Cloud + Local Governance(國際雲技術+在地主權治理)規範雲端服務商需符合澳洲 ISMS(資訊安全手冊)與 IRAP(資訊安全註冊評估機構計畫)認證。資料駐留部分,規範受保護與機密等級的政府資料,必須存放在澳洲境內資料中心。並且規定 AWS、Azure、Google Cloud 三大公有雲必須設立本地資料中心與接受稽核。
● 新加坡-實體隔離與 AI 算力的最終控制
政策背景為 Government on Commercial Cloud(GCC),透過分級配置,規定核心政府資料、醫療與身分資料必須部署在「政府專屬或主權控制環境」中,強調關鍵資料層的實體隔離,而非僅邏輯隔離,且政府擁有對 AI 模型、資料與算力的最終控制權,避免技術依賴,確保數位韌性。
臺灣與合作夥伴共築數位堡壘
「我們引進全球技術,但前提是必須遵守臺灣的『家規』」。李建璋表示,主權雲是一場從技術到法律的全面升級,建立以臺灣為中心(Taiwan-centric)的雲端生態系,確保醫療體系永續運作。衛生福利部制定規則、持有金鑰,國網中心、台智雲與本地電信商進行落地營運與合規審查,願景是打造有溫度、安全且具韌性的數位家園。
石崇良最後強調:「我們不需要在先進技術與國家主權之間做選擇。我們有能力兩者兼得。」他表示,守護生命的第一步就是守護資料,衛福部將透過這套主權雲架構,證明臺灣能夠透過結合領先全球的醫療實力與資訊科技優勢,在確保透明度與安全性的基礎下,持續維持在國際醫療領域的領先地位,讓數位醫療轉型成為臺灣的下一個驕傲。
(本文授權非營利轉載,請註明出處:CIO Taiwan)














