全民健康保險法 第 80-1 條
- 1.以竊取、毀壞或其他非法方法,危害保險人辦理本保險承保或醫療服務之核心資通系統設備或電腦機房之功能正常運作者,處一年以上七年以下有期徒刑,得併科新臺幣一千萬元以下罰金。
- 2.意圖危害國家安全或社會安定,而犯前項之罪者,處三年以上十年以下有期徒刑,得併科新臺幣五千萬元以下罰金。
- 3.前二項情形致釀成災害者,加重其刑至二分之一;因而致人於死者,處無期徒刑或七年以上有期徒刑,得併科新臺幣一億元以下罰金;致重傷者,處五年以上十二年以下有期徒刑,得併科新臺幣八千萬元以下罰金。
- 4.第一項及第二項之未遂犯罰之。
白話與解析 AI 輔助整理,以原文為準
重點摘要健保法第 81 條之 1 規定攻擊健保署核心資通系統處 1 到 7 年有期徒刑、罰金最高 1000 萬,意圖危害國安再加重至 3 到 10 年,致死最重無期徒刑。
Q · 攻擊健保署系統會被判幾年?刑度跟一般駭客罪差在哪?
依全民健康保險法第 81 條之 1,攻擊健保署核心資通系統或機房:基本刑度 1 到 7 年有期徒刑、罰金上看 1000 萬元;意圖危害國家安全或社會安定,跳到 3 到 10 年、罰金 5000 萬元;釀成災害加重二分之一;致人於死處無期徒刑或 7 年以上,罰金上看 1 億元;致重傷處 5 到 12 年。未遂犯亦罰。刑度遠高於刑法第 359 條(5 年以下)的普通電磁紀錄罪。
白話解讀
破壞電腦這件事在一般刑法裡最重判三年(刑法第 359 條取得刪除變更電磁紀錄罪)。但如果你破壞的是健保署的核心資通系統或電腦機房,健保法第 81 條直接把刑度跳到 1 到 7 年有期徒刑,罰金上看新臺幣 1000 萬。意圖危害國家安全或社會安定而為之,再跳到 3 到 10 年、罰金 5000 萬。致釀災害加重二分之一,致人於死處無期徒刑或 7 年以上,罰金 1 億。未遂犯罰之。這是 2023 年 5 月才增訂的新法,標示國家把健保資通系統視為關鍵基礎設施的正式宣告。勒索病毒集團如果還把健保當普通網站攻擊,這條告訴他們:刑度帳單不是你想的那樣。
法律定性
全民健康保險法第 81 條之 1 為 2023 年 5 月新增之資安特別刑罰條款,將攻擊或破壞健保核心資通系統與電腦機房之行為,從刑法普通電腦罪(最重 5 年)拉高為 1 到 7 年起跳的特別刑度,並針對危害國安、釀災、致死等情形分層加重,正式宣告健保資通系統屬於國家關鍵基礎設施保護範圍。
大家也在問 AI 輔助整理
Q1我做資安滲透測試時不小心動到健保系統,會不會被抓?▾
有可能。本條要件是「無故」或「非法方法」,有合法授權就不構成。關鍵是你的授權書範圍寫得夠不夠清楚、明不明確排除核心系統。內行人提示:正規白帽測試合約會有一頁「排除範圍」清單,明確寫明核心資通系統不在授權內,這頁紙的存在就是你的法律保命符。口頭授權在本條面前幾乎沒有防禦力。
Q2這條跟刑法的毀損電腦罪差別在哪?▾
差在刑度和適用範圍。刑法第 359 條取得刪除變更電磁紀錄罪是 5 年以下;本條針對健保核心資通系統一下跳到 1 到 7 年。若意圖危害國安再升級到 3 到 10 年。致死更到無期徒刑。這是「特別法從重」的典型設計。內行人提示:檢察官起訴時會優先適用本條(特別法優於普通法),被告想主張適用較輕的刑法通常會被駁回。
Q3健保法第 81 條之 1 是什麼?▾
2023 年 5 月新增的資安特別刑責條款,把健保核心資通系統劃進國家關鍵基礎設施保護範圍,刑度從刑法 5 年以下跳到 1 到 7 年起跳。
Q4什麼算「核心資通系統」?▾
承擔健保承保業務或醫療服務之核心系統,故障會造成全國性服務中斷者。具體邊界由實務判決逐步釐清,醫院內部系統一般不在內,但連接健保卡讀取的介面是高風險灰帶。
Q5什麼叫「意圖危害國家安全或社會安定」?▾
行為人具有破壞國家整體運作或社會公共秩序之主觀意圖,需檢察官就動機與後果舉證。一般刑事犯罪的勒贖目的不當然成立,但若涉及國家級 APT 組織或敵對勢力委託即可能適用。
Q6「致釀災害」具體指什麼?▾
因攻擊行為實際導致全國性醫療系統停擺、就醫流程中斷、無法調閱病歷致醫療事故等災害結果。第三項對此情形加重二分之一。
Q7資安從業者怎麼避免觸犯本條?▾
簽訂書面授權契約 → 明確列排除清單 → 測試環境隔離 → 每步驟留書面紀錄 → 發現生產零日漏洞走 iSAC/TWCERT 通報。
Q8被檢察官調查時該怎麼做?▾
立即請刑事律師(不要自以為「沒成功就沒事」)→ 調出書面授權文件 → 整理測試計畫書與往來郵件 → 偵查階段爭取不起訴或緩起訴是最佳時機。
Q9健保資料因系統被攻擊外洩怎麼求償?▾
依個資法第 28 條對健保署主張損害賠償(公務機關責任),保留收到資料外洩通知文件作為損害證據,可單獨提起或集體訴訟。
Q10本條的追訴時效多長?▾
依刑法第 80 條,本條最重 10 年以下時效 20 年;若屬致死無期徒刑情形時效 30 年。實務上資安事件偵辦從通報到起訴平均 18-36 個月。
Q11本條 vs 刑法第 359 條差在哪?▾
刑度差距:359 條 5 年以下,本條 1-7 年起跳。適用對象差距:359 條一般電腦,本條限健保核心系統。檢察官優先適用特別法(本條),被告主張適用刑法通常被駁回。
Q12本條 vs 健保法第 81 條之 2 差在哪?▾
81-1 重「破壞、毀損、危害運作」結果面,81-2 重「入侵、未經授權存取」手段面。一個攻擊可能同時觸發兩條,併合論罪。
容易搞混的概念 AI 輔助整理
| 比較面向 | this_article | criminal_code_359 | nhi_81_2 |
|---|---|---|---|
| 適用對象 | 健保署核心資通系統與電腦機房 | 一般電腦或相關設備 | 健保署核心資通系統(但採取入侵手段) |
| 基本刑度 | 1-7 年有期徒刑 + 1000 萬罰金 | 5 年以下有期徒刑 + 60 萬罰金 | 1-7 年有期徒刑 + 1000 萬罰金 |
| 國安加重 | 3-10 年 + 5000 萬罰金 | 無 | 3-10 年 + 5000 萬罰金 |
| 致死加重 | 無期徒刑或 7 年以上 + 1 億罰金 | 無 | 無期徒刑或 7 年以上 + 1 億罰金 |
| 未遂處罰 | 處罰未遂 | 處罰未遂 | 處罰未遂 |
| 立法時點 | 2023 年 5 月新增 | 2003 年新增、歷次修正 | 2023 年 5 月新增 |
其他國家怎麼規定 6 國
AI 輔助整理之對應參考,非官方對照,以各國原文為準
🔒還有 10 題問答 · 易混淆概念對照 · 6 國規定比較
把多條並列逐欄比較