諮詢預約 2021年4月至5月間,臺灣之新冠肺炎(Covid-19)疫情邁入社區感染階段,因有新冠肺炎確診個案於不知自身染疫之情況下出入萬華茶藝館,而萬華區域營業型態及人流複雜,疫調不易進行,因此釀成大規模社區疫情爆發,萬華亦因此成為全台新冠肺炎感染比例最高之區域。為控制疫情擴散,我國中央流行疫情指揮中心匡列萬華為高風險地區,並發送約60萬封「疫情警示簡訊」,提醒於特定期間內曾進出萬華區域之民眾進行自我健康管理並於身體不適時及時通報。
有關「疫情警示簡訊」之運用所涉之個資議題,本所曾撰文分析[1]。然而,近期媒體更進一步爆出,指揮中心於收受類細胞簡訊之60萬人民健保卡資料上進行註記。據媒體報導,2021年5月16日,指揮中心召開「萬華地區高風險族群註記專案會議」,要求電信業者針對60萬筆門號的足跡進行分析,找出符合指揮中心定義的「萬華高風險族群」並提供衛生福利部中央健康保險署進行健保卡註記。
根據媒體報導,指揮中心依照出入萬華區域之時段與頻率將應註記者區別為從業人員、顧客及接觸者,除註記健保卡外,指揮中心更進一步要求台北市政府警察局萬華分局及內政部移民署提供萬華地區高風險族群之電話號碼,並請電信業者協助釐清足跡及即時位置,送交內政部警政署及移民署協尋;同時要求電信業者分析曾出入高風險地區之外籍人士手機所瀏覽之網頁及曾經活動地區,以簡訊及廣告方式發送警告。
指揮中心此舉無疑有濫用《傳染病防治法》及《嚴重特殊傳染性肺炎防治及紓困振興特別條例》之嫌,即使認為註記健保卡係為控制疫情需要而實施之必要應變措施,符合執行法定職務之要件,亦不可能通過比例原則之檢驗。首先,大規模註記健保卡是否果有助於達成防疫目的,即不無疑問,僅憑出入時段及頻率分類之方式未必能精準劃分出染疫高風險族群,於多數為未染疫民眾之情況下,頗有亂槍打鳥之嫌疑;又健保卡註記此一具標籤化之行為,顯然相較單純發送簡訊提示個人之情形,更可能造成當事人權利之侵害。舉例而言,當事人或將遭遇醫療院所拒絕提供醫療服務或標籤化之情形而影響其權利。是註記健保卡此舉難謂能符合適當性及最小侵害之必要性等比例原則標準檢驗,遑論指揮中心進一步要求分析「外籍人士」手機所瀏覽之網頁,追蹤網頁瀏覽內容既難謂能與防疫目的連結,以國籍區分亦有不妥,更可能違反通訊監察之規定。
另一方面,本案涉及之個資分析數量達60萬之多,可能涉及我國個資法尚未規範之自動化決策與剖析(profiling)之情形,於此不妨簡介歐盟一般資料保護規則(General Data Protection Regulation, GDPR)中之規範供讀者參考。因應人工智慧與大數據分析之潮流,以自動化方式廣泛蒐集個人資料並剖析做出決策之情形越趨尋常,為確保個人自由權利,GDPR第22條規定資料當事人應有權避免自動化決策或剖析對其產生法律或相類重大效果之影響,故自動化決策僅得於三種例外情況下進行:一、為簽訂或履行契約所必要;二、歐盟或會員國法律所授權;三、資料主體明示同意。
所謂「剖析」,依照GDPR之定義,係指對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵,特別是用來分析或預測有關當事人之工作表現、經濟狀況、健康、個人偏好、興趣、可信度、行為、地點或動向等特徵。易言之,指揮中心指示電信業者大量分析個資並評估其身分、染疫風險及動向等等,應屬於剖析之情形。相類案例在我國既已發生,人民基本權利亦可能因此類決策而遭侵害。立法機關可思考類似規範納入我國個資法之可行性,以賦予我國人民更完善之個資權利保護。
綜上所述,指揮中心對萬華地區高風險族群所採取之註記健保卡及分析瀏覽網頁、位置之行為實有不妥,以《傳染病防治法》及《嚴重特殊傳染性肺炎防治及紓困振興特別條例》為執行法定職務之依據,卻忽略比例原則之檢驗,更難謂個資蒐用符合法律規範。當蒐用個資之規模擴張,並採取自動化剖析方式,對人民權利影響更鉅,應如何從法規範上建立合適框架賦予人民充分保障值得深思。於防疫之非常時期,政府與人民間之誠實互信為發揮防疫最大效果之基礎,政府於利用民眾個人資料時,應盡可能公開透明說明利用依據及具體手段,透過資訊公開消除基本權侵害之疑慮,並爭取民眾配合齊心防疫,方能貫徹防疫目的並使防疫手段之效益最大化。
參考資料:
1. 個人資料保護法
2. 傳染病防治法
3. 嚴重特殊傳染性肺炎防治及紓困振興特別條例
4. 謝幸恩、洪玲玲,毅傳媒,「新冠三級戰》【獨家】內部文件曝光!指揮中心竟密令監測萬華60萬人足跡 挑出「高風險族群」註記健保卡」,2021/5/26,<www.yimedia.com.tw/covid19/117647/?fbclid=IwAR0pB5HD37UQxVTZzgE1ad59D90RGvKsAowmjaBDi7ybZpZ-qaOLbXzIDAk>(最後瀏覽日:2021/6/23)
5. General Data Protection Regulation註解:
[1] 欲了解疫情警示簡訊之運用原理及所涉個資議題,可參閱本所法律專欄:「從隱私保障角度檢討疫情警示簡訊:『細胞廣播』與『類細胞簡訊』之運用」一文。