明毓律師事務所HSU & Associates
2021/7/1 / 時事探討

全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂

 

新冠肺炎(Covid-19)疫情於全球肆虐已一年多,近日台灣本土疫情爆發,隨著感染人數日創新高,亦出現多起感染源不明之情形,令一線公衛醫療人員疲於奔命。我國流行疫情指揮中心遂於 2021 年 5 月 19 日宣佈全國疫情警戒級數升至第三級,休閒娛樂場所全面關閉,各營業處所及公共場域需落實實聯制、人流管控、社交距離等措施。由於各營業處所採取之實聯制措施不一,民眾出入各場所頗有不便,亦引發個資洩漏及隱私保障之憂慮。舉例而言,以紙本表單填寫之個資一覽無遺易遭有心人士竊取,各營業場所是否遵循個資法之規定落實保護管理措施及確實刪除資料亦引發民眾不安。為此,行政院政務委員唐鳳於全國疫情警戒提升當日,亦同步公佈「簡訊實聯制」措施,盼於疫情期間能透過全國通用之簡訊實聯制便利民眾日常生活並輔助疫調進行。

 

簡訊實聯制強調「5 秒 3 步驟」,一、掃描店家 QR Code;二、點擊連結;三、發送簡訊至 1922。完成以上步驟並由場所人員確認簡訊傳送畫面後,即完成實聯登記。任何種類的機關、單位、個人營業者,都可以上網申請包含「場所代碼」之 QR Code,場所代碼由系統隨機產生,純粹用以記錄該場所,並不包含商業登記或其他地點資訊。政務委員唐鳳說明,該簡訊將傳送至民眾私人號碼所屬之電信業者處,不會保存於營業處所,電信業者處僅會收到「場所代碼」、「手機號碼」及「進入場所之時間」,並將於 28 日後刪除資訊。另一方面,衛福部則掌握場所代碼對應之商家資訊,疫調人員掌握確診者後,只要將手機號碼提供給該號碼所屬之電信業者,電信商比對出該號碼 28 天內出入之場所代碼後,便可發送警示通知予同一時間出入該場所之其他民眾。

 

簡訊實聯制確實降低民眾進出場所之時間成本,並改善紙本填寫重複使用紙筆之衛生疑慮,然而此制度運作是否能遵循個資法之架構兼顧人民之隱私保障,仍有必要細加檢視。行政院雖強調簡訊僅儲存於電信業者處,政府並不會取得人民之個人資料。惟若電信業者係受衛福部之委託而蒐集民眾之個人資料用於防疫,則電信業者應屬於個資法第 4 條受公務機關委託蒐集、處理或利用個人資料之情形,於個資法適用範圍內,應視同委託機關而應遵循個資法第二章有關公務機關蒐集、處理、利用個人資料之規範。依照個資法15條及16條,公務機關於執行法定職務必要範圍內,無須取得當事人之同意即可蒐集處理個資,惟蒐集處理個資必須有特定目的且對個資之利用須與蒐集之特定目的相符。於簡訊實聯制之情形,衛福部係依《傳染病防治法》第7條及專為新冠肺炎制訂之《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條[1],主張其法定職務並依《個人資料保護法之特定目的及個人資料之類別》中代號〇一二之「公共衛生或傳染病防治」之特定目的蒐集個資追蹤民眾之接觸史。

 

簡訊實聯制或可認為係為控制疫情需要而實施之必要應變措施,符合執行法定職務之要件。惟是否能通過比例原則之檢驗而認為此種蒐集處理係執行法定職務必要範圍內,則可再商榷。蒐集民眾手機號碼及出入場所之時間,固然可認為有助於疫調之進行而尚屬適當,然而是否為最小侵害手段而能通過必要性之檢驗則有疑問。儘管簡訊實聯制僅蒐集「場所代碼」、「手機號碼」及「進入場所之時間」等資訊,然而,結合多封簡訊觀察即可能拼湊出完整之活動軌跡,況且蒐集民眾個資是否能於疫調派上用場,繫於不確定是否發生之接觸史,換言之,蒐集範圍過廣,難謂能符合最小侵害之情形。又,防治傳染病擴散固為重要目的,然而簡訊實聯制將簡訊集中儲存於電信業者處,引發假防疫之名行國家監控之實,蒐集私人生活軌跡之質疑,以蒐集全民活動軌跡之手段達成防疫目的,似有難以衡平之處而不能符合狹義比例原則之檢驗。易言之,是否合於「執行法定職務必要範圍內」之要件而得排除當事人之同意蒐集處理資料,並得免告知當事人蒐集個資應告知之事項,尚有可斟酌之處。

 

儘管政府強調,於簡訊實聯制之運用中,電信業者僅掌握「場所代碼」、「手機號碼」及「進入場所之時間」,而「場所代碼及場所資訊對照表」由衛福部保管,於拆分資訊不交互對照之情況下,任一方應無法直接拼湊出人民實際行動足跡,因此主張國家監控私人之說並不可採。然而,簡訊實聯制係公私協作之情況,衛福部與電信業者雙方之合作權責關係有所不明,欲釐清以上疑慮,衛福部仍應更進一步說明其與電信業者間存在之合作關係基礎,委託電信業者蒐集資訊,是否存在適當之監督機制?是否得依合作關係請求電信業者交付其所掌握之個資?衛福部或電信業者是否可能將透過簡訊實聯制所取得之資料與其所掌握之其他電信用戶資料串連為特定目的外利用?政府應公開向大眾說明合作關係所依據之法源或契約關係,否則個資之蒐集、處理、利用缺乏監督,一旦發生個資侵害事故將難以追究權責歸屬。

 

在疫情擴散之威脅下,隱私人權固然不免面臨一定程度之犧牲,然而並非謂高舉防疫及公共利益之大旗,即可不顧個人基本隱私權利保障之界線。我國面臨這波流行疫情,隱私及個資保護相關法制上確有不完備之處,或可從設立個資保護專責機關、建立明確監督機制等角度更深入反省。需注意的是,儘管因應時勢所趨推動法制整備係絕對必要,然於法制化框架完備前亦不可忽略公眾溝通之重要性,政府仍應進一步就簡訊實聯制之細節運作具體說明,務求能公開透明解釋政策實施方針並提出政策所依據之現行法源,以行動釐清大眾疑慮。

 

參考資料:

1. 個人資料保護法

2. 個人資料保護法之特定目的及個人資料之類別

3. 個人資料保護法施行細則

4. 傳染病防治法

5. 嚴重特殊傳染性肺炎防治及紓困振興特別條例

6. 鏡週刊,謝文哲,「『簡訊實聯制」5秒3步驟就完成 唐鳳:不留個資不收費」,2021/5/19,< www.mirrormedia.mg/story/20210519edi003/>(最後瀏覽日:2021/5/26)

7. 唐鳳,「1922 簡訊實聯制 & 使用 QA」<https://g0v.hackmd.io/@au/HkmyoS-Fu>(最後瀏覽日:2021/5/26)

8. Public Digital Innovation Space,唐鳳,彭筱婷,「1922 簡訊實聯制」,2021/5/20,<https://reurl.cc/W34kmy>(最後瀏覽日:2021/5/26)

 


[1] 《傳染病防治法》第7條:「主管機關應實施各項調查及有效預防措施,以防止傳染病發生;傳染病已發生或流行時,應儘速控制,防止其蔓延。」;《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條:「中央流行疫情指揮中心指揮官為防治控制疫情需要,得實施必要之應變處置或措施」。

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知