SMC 資料庫

議題背景：

英國人體生物資料庫（UK Biobank）在4月23日發布聲明，指該資料庫的資料外洩，且外洩的資料能在中國電商網站上購買。洩漏的資訊包含性別、年齡、社經地位、生活習慣，但不包含姓名、地址或聯絡方式。目前中國電商已下架該資料，且並未有購買紀錄。英國人體生物資料庫執行長表示，該筆資料原本提供給三個學術機構作為研究資料使用，現已暫停他們的訪問權限，並由董事會主導調查此事件。

相關連結：

A message from Professor Sir Rory Collins, Chief Executive and Principal Investigator of UK Biobank

UK Biobank health data listed for sale in China, government confirms

人體生物資料庫是分析人類疾病與健康風險的重要資料來源，同樣作為生物樣本資料庫，台灣人體生物資料庫（Taiwan Biobank）已有超過20萬筆的台灣人生物資料，收集的是哪些資訊呢？要如何把關資料安全呢？

台灣科技媒體中心邀請專家提供觀點，說明生物資料庫的資安管理。

專家怎麼說？

2026年4月27日

中央研究院臺灣人體生物資料庫執行長 褚候維

1. 人體生物資料庫的資料有哪些？這些資料的應用是什麼？

人體生物資料庫所蒐集之資料類型相當多元，不同資料庫依其設計目的與研究方向，收集項目可能有所差異。一般而言，主要包括：問卷資料、身體檢測與生理量測資料、醫療與病歷相關資料和基因體資料與多體學資料等。

整體而言，人體生物資料庫是推動精準健康與生醫研究的重要基礎設施，這些資料的整合，可提供研究人員多面向解析健康和疾病成因。

2. 人體生物資料庫資料外洩，會造成什麼影響？

一般而言，人體生物資料庫對外提供之研究資料，皆已經過去識別化處理，不包含姓名、身分證字號或聯絡方式等直接識別資訊，無法直接辨識特定個人。然而，隨著資料科學與資訊技術的發展，若資料與其他公開資料或外部資料來源進行交叉比對，仍存在特定條件下被重新識別的可能性。

若發生資料不當外流，可能造成之影響包括：個人隱私風險增加、影響民眾對研究與資料庫的信任並進而影響未來參與意願與研究發展。因此，資料安全不僅是技術問題，更關係到整體生醫研究體系的信任基礎。

3. 台灣人體生物資料庫目前的資安維護措施有哪些？

臺灣人體生物資料庫一向高度重視資料安全與隱私保護，並採取多層次的管理與技術措施，包括：

• 依據《人體生物資料庫管理條例》及相關法規進行資料管理
• 個人識別資訊採取實體隔離方式，儲存於不連網之資訊設備中
• 建立嚴謹的存取權限控管與審核機制
• 定期進行資安稽核與風險評估

此外，臺灣人體生物資料庫亦通過國際標準認證，包括ISO 27001（資訊安全管理系統）和ISO 27701（隱私資訊管理系統），以確保資料在蒐集、儲存、處理及使用過程中的安全性與合規性。在申請程序上，建立多重審核機制以確保資料安全，要求申請機構須以正式公文提出，確認僅有經授權且受過資安訓練的研究者方可存取。在合規性方面，透過本院資料庫倫理委員會與申請機構的研究倫理委員會雙重把關，確保研究目的符合倫理規範與公眾利益，嚴防非特定目的之資料挖掘。此外，釋出資料均經過去識別化與資料最小化處理，從源頭降低數據敏感度，完善隱私保護。

截至目前為止，臺灣人體生物資料庫並未發生資料外洩事件。

4. 英國Biobank的資料是提供給學術機構後，發生外洩事件。台灣人體生物資料庫對於資料使用者的規範是什麼？能防止使用者不當外洩資料嗎？

近期發生之UK Biobank事件，係屬已授權之資料使用者違反使用規範，將研究資料不當外流，並無證據顯示為駭客入侵，顯示資料治理與使用者行為管理的重要性。

臺灣人體生物資料庫在資料釋出與使用管理上，採取嚴謹制度設計，包括：

• 申請者須經嚴格審查程序核准後，方可取得研究資料
• 申請者所屬機關（構）須與中央研究院簽署具法律效力之資料使用契約
• 契約中明確規範資料之處理、使用、儲存及銷毀方式，並須符合相關資安與個資法規
• 每一研究案有特殊可追蹤的欄位設計，可進行資料流向追蹤
• 研究結束後，申請機構須提出資料銷毀證明，方得結案

此外，為進一步降低資料外流風險，臺灣人體生物資料庫已逐步建置「可信任研究環境」（Trusted Research Environment, TRE），其核心原則為：

• 研究資料不離開安全環境
• 研究者需在受控環境內進行分析
• 僅能匯出經審核之統計結果與分析圖表

此一模式可有效降低資料被下載、複製或外流之風險，亦為目前國際間生物資料庫發展的重要趨勢。