明毓律師事務所HSU & Associates
2021/9/11 / 時事探討

從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用

 

2021年4月至5月間,臺灣之新冠肺炎(Covid-19)疫情正式進入社區感染階段,這波疫情始於華航機師與諾富特旅館群聚,並進一步於萬華茶藝館爆發並擴散全台。由於萬華區營業型態複雜,疫調追蹤困難,萬華亦因此成為全台感染個案最多之疫情重災區。為了控制疫情擴散之情況,我國中央流行疫情指揮中心採取一系列因應措施,除了升高防疫警戒級數外,亦積極進行疫調,警示與確診者曾有接觸史之民眾,包括匡列高風險地點並發送約60萬封「疫情警示簡訊」,提醒曾於4月15日至5月12日間出入萬華區高風險區域之民眾注意自身健康狀況,評估染疫風險。

 

目前我國所採用之「疫情警示簡訊」分有兩種型態,透過政府與電信業者之合作進行。第一種為「細胞廣播」,以廣播方式將訊息同時傳送至特定區域內所有4G手機,此種疫情警示簡訊曾於疫調鑽石公主號時應用,以北北基為範圍發訊警告民眾;第二種則為「類細胞簡訊」,由指揮中心向電信業者提供已掌握之確診者名單,並利用手機開機即自動與基地台連結之特性,找出曾於特定時間與確診者到訪同地區之民眾發送簡訊。然而,疫情警示簡訊之運用招致大眾批評,質疑政府透過基地台定位掌控人民行蹤,有侵犯隱私之嫌。

 

於發送疫情警示簡訊之情況,可能涉及之個資種類應為「位置資訊」及「手機號碼」。於「細胞廣播」之情況,簡訊發送應無涉電子足跡之蒐集,僅係在特定範圍內無差別傳送至該區域內所有手機號碼,故所利用之資料僅有手機號碼。當然,既於特定範圍發送簡訊,意味著收受簡訊之手機確實在特定時間進入特定範圍,因此該特定手機之通聯紀錄即包括收受簡訊之手機號碼、收受時間及相對應之基地台,此通聯紀錄是否得為警察機關基於偵查或其他目的而為蒐集、利用,則屬另一層次問題。另一方面,於「類細胞簡訊」之情況,係以基地台圈定曾於特定時間於特定地點出沒之民眾發放訊息,故除了手機號碼之利用外,應亦有利用「位置資訊」之情況。「位置資訊」是否屬於個資之一種,雖未明定於我國個資法第2條第1款所例示之個人資料種類中,亦未規範於法務部公告的《個人資料保護法之特定目的及個人資料之類別》所列出類別內,然而,位置資訊若與其他資料相連結比對,即可能識別當事人,故其屬於應受個資法保護之個資,應無疑問。

 

需先釐清的是,電信業者固屬於個資法上之非公務機關,然而,電信業者係接受衛福部之委託,利用基地台所記錄之資訊向民眾傳送疫情警示訊息。換言之,於發送疫情警示簡訊之情況,電信業者應屬於個資法第4條受公務機關委託利用資料之非公務機關,於個資法適用範圍內,視為委託機關。意即,依照我國個資法規範,電信業者與衛福部合作發送之疫情警示簡訊,應視為公務機關對個人資料之利用。

 

依個資法第15條規定,公務機關對個人資料之蒐集或處理,應有特定目的,並符合下列情形之一:一、執行法定職務必要範圍內;二、經當事人同意;三、對當事人權益無侵害。又公務機關利用個資之行為應依個資法第16條第1項,於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。依照法務部公告之《個人資料保護法之特定目的及個人資料之類別》,於細胞廣播及類細胞簡訊運用之情形,衛福部蒐集當事人資料之特定目的應係「公共衛生或傳染病防治」,利用個資之行為亦可謂與蒐集之特定目的相符。於執行法定職務之依據部分,衛福部則援引《傳染病防治法》第7條及專為新冠肺炎制訂之《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條作為蒐集、處理、利用個資之依據[1]。於執行法定職務之情形下,衛福部似可不經當事人同意直接利用其個資發送疫情簡訊。

 

然而,若允許以「執行法定職務」此款一概排除當事人同意而蒐集、處理、利用個人資料,可能導致當事人個資權利保障不足之情形,除了法定職務之認定,亦應依比例原則檢討「必要範圍」以期提供當事人更周全之保障。我國實務對於「執行法定職務」之認定標準頗為寬鬆,自法務部之函釋觀之,「法定職務」並不以法律用語涉及「資料處理」相關明文為限,舉凡衛生主管機關依精神衛生法統整病人資料之規定[2],向網絡公務機關請求失聯個案聯繫方式及就醫診療院所名稱與地址(法務部法律字第10603509600號參照),或交通部為辦理交通統計調查而依統計法及統計法施行細則之規定[3],向電信業者蒐集用戶之行動電話號碼與居住鄉鎮市區等個人資料(法務部法律字第10603510340號參照),及嘉義市議會本於執行地方制度法議決預算之職權[4],請求市警局提供超勤加班費資料(法務部法律字第10203506660號參照),皆解為符合個資法上執行法定職務之情形。

 

本文以為,於防疫事實上難以取得當事人同意之狀態下,賦予行政機關更具彈性之執行職務權限應用個人資料固無不可,然而我國實務目前於法定職務之解釋上頗為寬鬆,以致對當事人資料權利保障未盡周全。或可思考從組織職掌規範條文出發,限縮法定職權於組織職掌條文明訂機關得處理當事人資料之情況,予當事人更進一步保障。又,回歸疫情警示簡訊之討論,傳送簡訊之手段固有助於提醒民眾,達成防疫目的而符合適當性原則,然而是否符合最小侵害之必要性原則則值得思考。尤其於使用「類細胞簡訊」警示之情形,除了手機號碼外,另行取得民眾之位置資訊是否有必要?若亦採取「細胞廣播」方式向全國民眾統一廣播,則雖利用民眾資料之基數變大,但僅使用手機號碼,亦能提醒全國民眾齊心注意疫情擴散情況,相較於針對特定族群蒐集位置資訊未必更侵害當事人之隱私,以防疫之重要性與發送簡訊之手段相比,亦能符合比例原則之衡平性。故本文認為,指揮中心於運用「類細胞簡訊」之手段方面可再斟酌並釐清法源依據及手段運用,排除人民位置資訊遭政府蒐集之疑慮。

 

參考資料:

  1. 個人資料保護法

  2. 個人資料保護法施行細則

  3. 個人資料保護法之特定目的及個人資料之類別

  4. 傳染病防治法

  5. 嚴重特殊傳染性肺炎防治及紓困振興特別條例

  6. 法務部法律字第10603510340號

  7. 法務部法律字第10603509600號

  8. 法務部法律字第10203506660號

  9. 數位時代,吳元熙,「60萬簡訊警示曾到萬華茶藝館周遭民眾!一表看懂「細胞簡訊」與國家級警報差異,指揮中心名單怎麼來?」,2021/5/13,<www.bnext.com.tw/article/57390/what-is-pwc-warning-system> (最後瀏覽日:2021/6/3)

註解:
 

[1] 《傳染病防治法》第7條:「主管機關應實施各項調查及有效預防措施,以防止傳染病發生;傳染病已發生或流行時,應儘速控制,防止其蔓延。」;《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第7條:「中央流行疫情指揮中心指揮官為防治控制疫情需要,得實施必要之應變處置或措施」。

[2] 《精神衛生法》第5條:直轄市、縣(市)主管機關掌理轄區下列事項:一、民眾心理健康及精神疾病防治之方案規劃及執行事項。二、中央訂定之病人服務與權益保障政策、法規及方案之執行事項。三、病人就醫與權益保障政策、自治法規與方案之規劃、訂定、宣導及執行事項。四、病人醫療服務相關專業人員訓練之規劃及執行事項。五、病人保護業務之執行事項。六、病人資料之統整事項。七、各類精神照護機構之督導及考核事項。八、其他有關病人服務及權益保障之策劃、督導事項。

[3] 統計法第3條第2款、第3款:「政府應辦理之統計為左列各種:…二、各機關職務上應用之統計。三、各機關所辦公務之統計。…」;統計法施行細則第8條規定:「本法第3條第2款所稱各機關職務上應用之統計,係指各機關為制定政策、擬訂計畫、執行公務、考核施政績效,運用左列有關資料辦理之統計:一、本機關所辦公務之統計。二、本機關舉辦調查所得之統計。三、其他機關、團體編製之統計調查資料、研究分析報告及其他可供參考之統計。」第9條規定:「本法第3條第3款所稱各機關所辦公務之統計,係指各機關依據執行職務經過與結果而辦理之統計。」

[4] 地方制度法第36條第2款:「縣(市)議會之職權如下:…二、議決縣(市)預算。…」

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知