諮詢預約 2021年4月至5月間,臺灣之新冠肺炎(Covid-19)疫情正式進入社區感染階段,這波疫情始於華航機師與諾富特旅館群聚,並進一步於萬華茶藝館爆發並擴散全台。由於萬華區營業型態複雜,疫調追蹤困難,萬華亦因此成為全台感染個案最多之疫情重災區。為了控制疫情擴散之情況,我國中央流行疫情指揮中心採取一系列因應措施,除了升高防疫警戒級數外,亦積極進行疫調,警示與確診者曾有接觸史之民眾,包括匡列高風險地點並發送約60萬封「疫情警示簡訊」,提醒曾於4月15日至5月12日間出入萬華區高風險區域之民眾注意自身健康狀況,評估染疫風險。
目前我國所採用之「疫情警示簡訊」分有兩種型態,透過政府與電信業者之合作進行。第一種為「細胞廣播」,以廣播方式將訊息同時傳送至特定區域內所有4G手機,此種疫情警示簡訊曾於疫調鑽石公主號時應用,以北北基為範圍發訊警告民眾;第二種則為「類細胞簡訊」,由指揮中心向電信業者提供已掌握之確診者名單,並利用手機開機即自動與基地台連結之特性,找出曾於特定時間與確診者到訪同地區之民眾發送簡訊。然而,疫情警示簡訊之運用招致大眾批評,質疑政府透過基地台定位掌控人民行蹤,有侵犯隱私之嫌。
於發送疫情警示簡訊之情況,可能涉及之個資種類應為「位置資訊」及「手機號碼」。於「細胞廣播」之情況,簡訊發送應無涉電子足跡之蒐集,僅係在特定範圍內無差別傳送至該區域內所有手機號碼,故所利用之資料僅有手機號碼。當然,既於特定範圍發送簡訊,意味著收受簡訊之手機確實在特定時間進入特定範圍,因此該特定手機之通聯紀錄即包括收受簡訊之手機號碼、收受時間及相對應之基地台,此通聯紀錄是否得為警察機關基於偵查或其他目的而為蒐集、利用,則屬另一層次問題。另一方面,於「類細胞簡訊」之情況,係以基地台圈定曾於特定時間於特定地點出沒之民眾發放訊息,故除了手機號碼之利用外,應亦有利用「位置資訊」之情況。「位置資訊」是否屬於個資之一種,雖未明定於我國個資法第2條第1款所例示之個人資料種類中,亦未規範於法務部公告的《個人資料保護法之特定目的及個人資料之類別》所列出類別內,然而,位置資訊若與其他資料相連結比對,即可能識別當事人,故其屬於應受個資法保護之個資,應無疑問。
需先釐清的是,電信業者固屬於個資法上之非公務機關,然而,電信業者係接受衛福部之委託,利用基地台所記錄之資訊向民眾傳送疫情警示訊息。換言之,於發送疫情警示簡訊之情況,電信業者應屬於個資法第4條受公務機關委託利用資料之非公務機關,於個資法適用範圍內,視為委託機關。意即,依照我國個資法規範,電信業者與衛福部合作發送之疫情警示簡訊,應視為公務機關對個人資料之利用。
依個資法第15條規定,公務機關對個人資料之蒐集或處理,應有特定目的,並符合下列情形之一:一、執行法定職務必要範圍內;二、經當事人同意;三、對當事人權益無侵害。又公務機關利用個資之行為應依個資法第16條第1項,於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。依照法務部公告之《個人資料保護法之特定目的及個人資料之類別》,於細胞廣播及類細胞簡訊運用之情形,衛福部蒐集當事人資料之特定目的應係「公共衛生或傳染病防治」,利用個資之行為亦可謂與蒐集之特定目的相符。於執行法定職務之依據部分,衛福部則援引《傳染病防治法》第7條及專為新冠肺炎制訂之《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條作為蒐集、處理、利用個資之依據[1]。於執行法定職務之情形下,衛福部似可不經當事人同意直接利用其個資發送疫情簡訊。
然而,若允許以「執行法定職務」此款一概排除當事人同意而蒐集、處理、利用個人資料,可能導致當事人個資權利保障不足之情形,除了法定職務之認定,亦應依比例原則檢討「必要範圍」以期提供當事人更周全之保障。我國實務對於「執行法定職務」之認定標準頗為寬鬆,自法務部之函釋觀之,「法定職務」並不以法律用語涉及「資料處理」相關明文為限,舉凡衛生主管機關依精神衛生法統整病人資料之規定[2],向網絡公務機關請求失聯個案聯繫方式及就醫診療院所名稱與地址(法務部法律字第10603509600號參照),或交通部為辦理交通統計調查而依統計法及統計法施行細則之規定[3],向電信業者蒐集用戶之行動電話號碼與居住鄉鎮市區等個人資料(法務部法律字第10603510340號參照),及嘉義市議會本於執行地方制度法議決預算之職權[4],請求市警局提供超勤加班費資料(法務部法律字第10203506660號參照),皆解為符合個資法上執行法定職務之情形。
本文以為,於防疫事實上難以取得當事人同意之狀態下,賦予行政機關更具彈性之執行職務權限應用個人資料固無不可,然而我國實務目前於法定職務之解釋上頗為寬鬆,以致對當事人資料權利保障未盡周全。或可思考從組織職掌規範條文出發,限縮法定職權於組織職掌條文明訂機關得處理當事人資料之情況,予當事人更進一步保障。又,回歸疫情警示簡訊之討論,傳送簡訊之手段固有助於提醒民眾,達成防疫目的而符合適當性原則,然而是否符合最小侵害之必要性原則則值得思考。尤其於使用「類細胞簡訊」警示之情形,除了手機號碼外,另行取得民眾之位置資訊是否有必要?若亦採取「細胞廣播」方式向全國民眾統一廣播,則雖利用民眾資料之基數變大,但僅使用手機號碼,亦能提醒全國民眾齊心注意疫情擴散情況,相較於針對特定族群蒐集位置資訊未必更侵害當事人之隱私,以防疫之重要性與發送簡訊之手段相比,亦能符合比例原則之衡平性。故本文認為,指揮中心於運用「類細胞簡訊」之手段方面可再斟酌並釐清法源依據及手段運用,排除人民位置資訊遭政府蒐集之疑慮。
參考資料:
-
個人資料保護法
-
個人資料保護法施行細則
-
個人資料保護法之特定目的及個人資料之類別
-
傳染病防治法
-
嚴重特殊傳染性肺炎防治及紓困振興特別條例
-
法務部法律字第10603510340號
-
法務部法律字第10603509600號
-
法務部法律字第10203506660號
-
數位時代,吳元熙,「60萬簡訊警示曾到萬華茶藝館周遭民眾!一表看懂「細胞簡訊」與國家級警報差異,指揮中心名單怎麼來?」,2021/5/13,<www.bnext.com.tw/article/57390/what-is-pwc-warning-system> (最後瀏覽日:2021/6/3)
[1] 《傳染病防治法》第7條:「主管機關應實施各項調查及有效預防措施,以防止傳染病發生;傳染病已發生或流行時,應儘速控制,防止其蔓延。」;《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條:「中央流行疫情指揮中心指揮官為防治控制疫情需要,得實施必要之應變處置或措施」。
[2] 《精神衛生法》第5條:直轄市、縣(市)主管機關掌理轄區下列事項:一、民眾心理健康及精神疾病防治之方案規劃及執行事項。二、中央訂定之病人服務與權益保障政策、法規及方案之執行事項。三、病人就醫與權益保障政策、自治法規與方案之規劃、訂定、宣導及執行事項。四、病人醫療服務相關專業人員訓練之規劃及執行事項。五、病人保護業務之執行事項。六、病人資料之統整事項。七、各類精神照護機構之督導及考核事項。八、其他有關病人服務及權益保障之策劃、督導事項。
[3] 統計法第3條第2款、第3款:「政府應辦理之統計為左列各種:…二、各機關職務上應用之統計。三、各機關所辦公務之統計。…」;統計法施行細則第8條規定:「本法第3條第2款所稱各機關職務上應用之統計,係指各機關為制定政策、擬訂計畫、執行公務、考核施政績效,運用左列有關資料辦理之統計:一、本機關所辦公務之統計。二、本機關舉辦調查所得之統計。三、其他機關、團體編製之統計調查資料、研究分析報告及其他可供參考之統計。」第9條規定:「本法第3條第3款所稱各機關所辦公務之統計,係指各機關依據執行職務經過與結果而辦理之統計。」
[4] 地方制度法第36條第2款:「縣(市)議會之職權如下:…二、議決縣(市)預算。…」