法律人 LawPlayer logo
編章節定位
📚資料來源:全國法規資料庫、立法院法律系統🕑閱讀時間 6 分鐘

全民健康保險法 第 80-2 條

  1. 1.對保險人辦理本保險承保及醫療服務之心資通系統,以下列方法之一,危害其功能正常運作者,處一年以上七年以下有期徒刑得併科新臺幣一千萬元以下罰金: 一、無故輸入其帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵其電腦或相關設備。 二、無故以電腦程式或其他電磁方式干擾其電腦或相關設備。 三、無故取得、刪除或變更其電腦或相關設備之電磁紀錄。
  2. 2.製作專供犯前項之罪之電腦程式,而供自己或他人犯前項之罪者,亦同。
  3. 3.意圖危害國家安全或社會安定,而犯前二項之罪者,處三年以上十年以下有期徒刑,得併科新臺幣五千萬元以下罰金。
  4. 4.前三項之未遂犯罰之。
用 AI 讀這條

白話與解析 AI 輔助整理,以原文為準

重點摘要全民健康保險法第 81-1 條對健保核心資通系統駭客行為加重處罰,刑度 1 至 7 年得併科 1000 萬罰金,是刑法 358 至 362 條的加重特別法。

Q · 駭客攻擊健保系統會被判多重?跟一般電腦犯罪有差嗎?

依全民健康保險法第 81-1 條,對健保核心資通系統的無故入侵(破解、利用漏洞)、無故干擾、無故取得或變更電磁紀錄三種行為,處 1 到 7 年有期徒刑,得併科 1000 萬元罰金。意圖危害國家安全或社會安定者加重至 3 到 10 年,最高罰金 5000 萬元。未遂犯罰之,製作專供犯本罪之電腦程式供自己或他人犯罪者亦同。本條是刑法第 358 至 362 條對健保系統情境的特別加重法。

白話解讀

刑法第 358 到 362 條已經把駭客行為切得很細:無故入侵他人電腦(358 條,3 年以下)、無故取得刪除變更電磁紀錄(359 條,5 年以下)、無故干擾電腦(360 條,3 年以下)、製作專供犯罪的電腦程式(362 條,5 年以下)。這些條文對應一般情境已經夠用。但健保法第 81-1 條等於把這一整組條文,針對「保險人辦理本保險承保及醫療服務之核心資通系統」重新寫了一份加重版:刑度一到七年,罰金 1000 萬。意圖危害國安再跳三到十年、罰金 5000 萬。連「製作專供犯本罪程式」都獨立規範。未遂犯罰之。這條存在的意義只有一個:健保系統不能被當成一般網站對待。

法律定性

全民健康保險法第 81-1 條為 2023 年增訂之健保資安特別刑法,將刑法第 358 條至第 362 條的駭客犯罪在健保核心資通系統情境下加重處罰。本條設定三種構成要件:無故入侵、無故干擾、無故取得或變更電磁紀錄,刑度 1 至 7 年並得併科 1000 萬罰金。意圖危害國家安全或社會安定者加重至 3 至 10 年,最高 5000 萬罰金。未遂犯罰之,並明文處罰製作專供犯本罪電腦程式者。

試算與流程 AI 輔助整理,結果僅供參考

🗺 判斷流程

流程圖載入中…

大家也在問 AI 輔助整理

Q1資安研究員發現健保系統漏洞,該怎麼處理才不會踩到這條?

走正式漏洞通報管道:衛福部資安專責單位、iSAC、或 TWCERT/CC。不要自行進一步測試,不要公開概念驗證程式碼,不要跟其他研究員私下分享技術細節。正規漏洞獎勵計畫(Bug Bounty)會有明確授權範圍和免責條款,這份文件就是你的護身符。沒有書面授權就動手,就算你沒惡意也構成『無故』。

Q2本條跟刑法第 358 條到底差在哪?都是駭客罪?

差在刑度和適用客體。刑法 358 條處 3 年以下,本條第一項直接到 1 到 7 年。刑法 359 條處 5 年以下,本條還是 1 到 7 年。本條是特別法,優先適用。另外本條第四項明文未遂犯罰之,刑法 358 條則無未遂規定。實務上檢察官會同時起訴本條跟刑法條文,法院依特別法優於普通法原則選擇本條。

Q3員工離職後還能登入健保相關系統,被發現會怎樣?

最重七年。就算帳號是原本因職務給的,離職後該存取權限即失去合法性,再登入就符合「無故輸入帳號密碼」的構成要件。第三款「無故取得電磁紀錄」也可能疊加。企業端應在員工離職當日完成權限回收,這不只是資安 SOP,是本條刑責的分界線。

Q4健保法 81-1 條是什麼?

2023 年增訂的健保資安特別刑法,對健保核心資通系統駭客行為加重處罰,刑度 1-7 年加 1000 萬罰金。

Q5健保核心資通系統指什麼?

保險人辦理健保承保及醫療服務之核心 IT 基礎設施,包含承保系統、給付核付系統、健保卡認證系統等。

Q6本條的「無故」怎麼定義?

無正當理由或無合法授權之主觀要件,書面授權是排除本要件的關鍵抗辯。沒拿到書面授權就動手即構成。

Q7意圖危害國家安全或社會安定指什麼?

本條第三項加重構成要件,刑度跳至 3-10 年並提高罰金至 5000 萬。實務認定包含對國防、能源、金融等關鍵基礎設施的攻擊意圖。

Q8健保系統漏洞怎麼通報才不犯罪?

走衛福部資安專責單位、iSAC、TWCERT/CC 正式通報管道。不自行進一步測試、不公開 PoC、不私下分享技術細節。保留書面通報紀錄至少 7 年。

Q9資安研究員找漏洞的書面授權怎麼取得?

聯絡健保署或承包商簽 Bug Bounty 計畫合約,明確列出可測試範圍、時間、方法。沒有書面文件就動手是無故,書面授權是日後刑事抗辯的最強護身符。

Q10員工離職健保系統權限怎麼處理?

離職當日完成權限回收。離職後再登入即構成本條無故入侵,最重 7 年。HR 和 IT 的交接時間差就是法律風險敞口。

Q11被告了該怎麼應對?

立即請刑事律師。本條未遂犯罰之、刑度重,初訊極度謹慎。有書面授權第一時間提出爭取排除無故要件。避免在偵訊自我辯護「只是好奇」「沒有惡意」(不成立阻卻違法事由)。

Q12健保法 81-1 vs 刑法 358 差在哪?

客體不同:本條限健保核心資通系統,刑法 358 為一般電腦。刑度差別大:本條 1-7 年加 1000 萬,刑法 358 為 3 年以下加 10 萬。本條未遂犯罰之,刑法 358 無未遂規定。

其他國家怎麼規定 6 國

🇯🇵 日本不正アクセス禁止法 第 3 条 + 刑法 168 条の 2(電子計算機損壞等業務妨害)
🇰🇷 韓國정보통신망법 제 48 조(침해행위 등의 금지)+ 의료법 제 23 조의 4(의료정보 보호)
🇨🇳 中國刑法 第 285 條(非法侵入計算機信息系統罪)+ 第 286 條(破壞計算機信息系統罪)+ 數據安全法
🇩🇪 德國§ 202a-c StGB(Ausspähen und Abfangen von Daten)+ DSGVO Art. 9(besondere Kategorien personenbezogener Daten - Gesundheitsdaten)
🇫🇷 法國Article 323-1 à 323-7 Code pénal(Atteintes aux systèmes de traitement automatisé de données)+ Code de la santé publique L.1110-4
🇺🇸 美國18 U.S.C. § 1030 Computer Fraud and Abuse Act(CFAA)+ HIPAA 42 U.S.C. § 1320d-6

AI 輔助整理之對應參考,非官方對照,以各國原文為準

🔒還有 10 題問答 · 6 國規定比較

法條整合閱讀 · ArticleV09
原始資料來源:全國法規資料庫、立法院法學系統。AI 加值內容僅供理解輔助,法律效力以原文為準。
⊞ 對照台 0
滑到條文裡的引用,點懸停卡的「對照台」
把多條並列逐欄比較
引用