明毓律師事務所HSU & Associates
2021/9/15 / 時事探討

萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念

 

2021年4月至5月間,臺灣之新冠肺炎(Covid-19)疫情邁入社區感染階段,因有新冠肺炎確診個案於不知自身染疫之情況下出入萬華茶藝館,而萬華區域營業型態及人流複雜,疫調不易進行,因此釀成大規模社區疫情爆發,萬華亦因此成為全台新冠肺炎感染比例最高之區域。為控制疫情擴散,我國中央流行疫情指揮中心匡列萬華為高風險地區,並發送約60萬封「疫情警示簡訊」,提醒於特定期間內曾進出萬華區域之民眾進行自我健康管理並於身體不適時及時通報。

 

有關「疫情警示簡訊」之運用所涉之個資議題,本所曾撰文分析[1]。然而,近期媒體更進一步爆出,指揮中心於收受類細胞簡訊之60萬人民健保卡資料上進行註記。據媒體報導,2021年5月16日,指揮中心召開「萬華地區高風險族群註記專案會議」,要求電信業者針對60萬筆門號的足跡進行分析,找出符合指揮中心定義的「萬華高風險族群」並提供衛生福利部中央健康保險署進行健保卡註記。

 

根據媒體報導,指揮中心依照出入萬華區域之時段與頻率將應註記者區別為從業人員、顧客及接觸者,除註記健保卡外,指揮中心更進一步要求台北市政府警察局萬華分局及內政部移民署提供萬華地區高風險族群之電話號碼,並請電信業者協助釐清足跡及即時位置,送交內政部警政署及移民署協尋;同時要求電信業者分析曾出入高風險地區之外籍人士手機所瀏覽之網頁及曾經活動地區,以簡訊及廣告方式發送警告。

 

指揮中心此舉無疑有濫用《傳染病防治法》及《嚴重特殊傳染性肺炎防治及紓困振興特別條例》之嫌,即使認為註記健保卡係為控制疫情需要而實施之必要應變措施,符合執行法定職務之要件,亦不可能通過比例原則之檢驗。首先,大規模註記健保卡是否果有助於達成防疫目的,即不無疑問,僅憑出入時段及頻率分類之方式未必能精準劃分出染疫高風險族群,於多數為未染疫民眾之情況下,頗有亂槍打鳥之嫌疑;又健保卡註記此一具標籤化之行為,顯然相較單純發送簡訊提示個人之情形,更可能造成當事人權利之侵害。舉例而言,當事人或將遭遇醫療院所拒絕提供醫療服務或標籤化之情形而影響其權利。是註記健保卡此舉難謂能符合適當性及最小侵害之必要性等比例原則標準檢驗,遑論指揮中心進一步要求分析「外籍人士」手機所瀏覽之網頁,追蹤網頁瀏覽內容既難謂能與防疫目的連結,以國籍區分亦有不妥,更可能違反通訊監察之規定。

 

另一方面,本案涉及之個資分析數量達60萬之多,可能涉及我國個資法尚未規範之自動化決策與剖析(profiling)之情形,於此不妨簡介歐盟一般資料保護規則(General Data Protection Regulation, GDPR)中之規範供讀者參考。因應人工智慧與大數據分析之潮流,以自動化方式廣泛蒐集個人資料並剖析做出決策之情形越趨尋常,為確保個人自由權利,GDPR第22條規定資料當事人應有權避免自動化決策或剖析對其產生法律或相類重大效果之影響,故自動化決策僅得於三種例外情況下進行:一、為簽訂或履行契約所必要;二、歐盟或會員國法律所授權;三、資料主體明示同意。

 

所謂「剖析」,依照GDPR之定義,係指對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵,特別是用來分析或預測有關當事人之工作表現、經濟狀況、健康、個人偏好、興趣、可信度、行為、地點或動向等特徵。易言之,指揮中心指示電信業者大量分析個資並評估其身分、染疫風險及動向等等,應屬於剖析之情形。相類案例在我國既已發生,人民基本權利亦可能因此類決策而遭侵害。立法機關可思考類似規範納入我國個資法之可行性,以賦予我國人民更完善之個資權利保護。

 

綜上所述,指揮中心對萬華地區高風險族群所採取之註記健保卡及分析瀏覽網頁、位置之行為實有不妥,以《傳染病防治法》及《嚴重特殊傳染性肺炎防治及紓困振興特別條例》為執行法定職務之依據,卻忽略比例原則之檢驗,更難謂個資蒐用符合法律規範。當蒐用個資之規模擴張,並採取自動化剖析方式,對人民權利影響更鉅,應如何從法規範上建立合適框架賦予人民充分保障值得深思。於防疫之非常時期,政府與人民間之誠實互信為發揮防疫最大效果之基礎,政府於利用民眾個人資料時,應盡可能公開透明說明利用依據及具體手段,透過資訊公開消除基本權侵害之疑慮,並爭取民眾配合齊心防疫,方能貫徹防疫目的並使防疫手段之效益最大化。

 

參考資料:

1. 個人資料保護法

2. 傳染病防治法

3. 嚴重特殊傳染性肺炎防治及紓困振興特別條例

4. 謝幸恩、洪玲玲,毅傳媒,「新冠三級戰》【獨家】內部文件曝光!指揮中心竟密令監測萬華60萬人足跡 挑出「高風險族群」註記健保卡」,2021/5/26,<www.yimedia.com.tw/covid19/117647/?fbclid=IwAR0pB5HD37UQxVTZzgE1ad59D90RGvKsAowmjaBDi7ybZpZ-qaOLbXzIDAk>(最後瀏覽日:2021/6/23)

5. General Data Protection Regulation

註解:

[1] 欲了解疫情警示簡訊之運用原理及所涉個資議題,可參閱本所法律專欄:「從隱私保障角度檢討疫情警示簡訊:『細胞廣播』與『類細胞簡訊』之運用」一文。
文章分類
近期文章
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知
Cookie掰掰,但Google的FLoC群組真能更加保護用戶隱私?
刷臉換登機?淺談近期人臉辨識相關規範
美國消費者隱私保護專法第二槍
加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!
疫情與人權—簡介以色列法院對於電子足跡的看法
會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議
隱私聲明惹的禍?臉書被罰650萬美元
微軟承諾:保障跨境傳輸的用戶資料
Google因追蹤無痕模式使用者而面臨50億美元求償
Facebook將停用歐洲使用者Ig及Messenger部分功能