這次新冠肺炎(武漢肺炎)疫情下,政府為了防疫需求,追蹤民眾足跡、對疑似接觸者發送類細胞簡訊、整合資料庫在健保卡註記民眾職業別等行為,民眾黨團提出修法呼籲,認為此類資料於防疫期間為公眾和公衛目的徵用,但在非防疫期間,民眾隱私資料應善加管理保護,民眾黨團提出《個資法修法》版本,請政府支持修法保護民眾個資,讓個資也能防「溢」。
民眾黨副總召張其祿及幹事長高虹安12日上午在立院召開「個資防疫超前部署、修法保障民眾安心」記者會。高表示,稱政府「徵用」,是了解政府為了公共衛生、社會公益才去徵用大數據,但過程中民眾黨團也提出警訊,認為個資防「溢」需要超前部署。
高虹安列舉5例,指疫情期間政府為有效控制疫情,基於公衛考量實際蒐集、分析、運用許多民眾個資大數據。如鑽石公主號62萬民眾足跡大數據,在行政院副院長陳其邁論文即指出此事。還有磐石艦急發24萬則簡訊、清明連假11熱點疫情警示細胞簡訊通知、「1968」App人潮熱點報你知、健保卡註記職業,如有1位空姐去醫院就醫,發現健保卡被註記職業別等等。
高虹安指出,台灣民眾都信任政府,但過去法規裡這些個資未被授權使用,是因疫情期間,以《紓困特別條例》第7條「必要之應變處置或措施」,使指揮中心得以取得運用。
中華科技金融學會秘書長劉湘國指出,大數據不是萬能,準確度有先天限制。先前特斯拉自動駕駛出問題、google做流行病學預估失準,微軟聊天室機器人引發種族歧視等都是先例。他指,政府在利用蒐集來的民眾個資推行政策前,如果沒先進行政策評估報告,依「先封閉環境測試、後再做開放環境測試」等步驟,不僅無法達成預期效果,還可能有害公共利益。
劉湘國指,交通部「1968」App引用之中華電信大數據為例,即是手機訊號先天侷限,導致數據誤差難以做為熱區預測使用,讓使「冷氣房大數據」與「現場大數據」產生落差,亂象叢生。
張其祿指,這次我們有防疫需求,但援用的大量個資,到底有沒有只做防疫用,能不能保護不外流,這些都很重要,歐盟《一般資料保護規範》(GDPR)已於2018年5月生效,加州於2018年6月也通過《加州消費者隱私保護法》(CCPA),其中,有許多規範定義,值得我國《個人資料保護法》借鑒修正。
民眾黨團所提《個人資料保護法》修法版本,共有5個方向:
一、個資定義應擴充,減少蒐集、處理、利用之爭議:即擴大個資法定義,包括於個資法第2條第1項第1款,增訂網際網路時代常見的「識別號碼、位置資料、線上識別碼、數位足跡」,將GDPR中揭示的「經濟、文化、社會身分」等特徵引入,明確定義個資蒐集、處理、利用方式,讓個資法的使用更完整。同時,修法增加有關「資料可攜權」規定,要求公務機關或非公務機關應依當事人請求,讓其個人資料能在不同資料管理者間自由傳輸流通,降低在不同社群網絡中自由移動的難度。
再者,在個資利用方面,主張「去識別化資料」應可開放給社會大眾基於公益目的使用。去識別化資料是指資料經過處理之後,沒有個人隱私疑慮,且無法逆向工程回溯原始資料,可在公眾利益和福祉提升目標下,開放給非公務(如研究、商業)使用,或讓產業再利用,目前國內未允許這樣的使用方式,未來可修法加強且做好資安管理後,開放讓產業加值應用。
二、重視個資外洩通知義務:目前《個資法》有關通知的對象,僅限資料當事人,中央目的事業主管機關並不在通知範圍內,造成難以後續監督。民眾黨團認為,應參考歐盟個資規定,將個資外洩通知義務分為「對監督機關之通知」及「對資料當事人之通知」2類,並分別規定通知的要件、通知時點及通知內容;若對當事人權益有重大危害情形,則應立即通知當事人。
三、考量「利益權衡原則」,避免空白授權或實務限縮:目前《個資法》欠缺「利益權衡條款」概念,導致非公務機關在蒐集、處理或利用一般個資時,有時難有適當的合法事由依循,無法確實平衡個人資料保護與個資合理利用的利益。
四、應先出具評估報告:公務機關及非公務機關對個人資料使用前,應提出評估報告,包括資料使用風險、對當事人權利影響、安全維護計畫,並訂定適當管控及因應措施。在跨境傳輸等相關事務上,應事前監督和預防,提供相關防範計畫,讓各業者或機關在處理個人資料時,能適當提供管控等措施。
五、刪除「限期改善」、加重罰則,擴大資安保障範圍。《個資法》第27條,非公務機關保有個人資料檔案者,應採行適當的安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,但目前《個資法》第48條,罰則卻是「限期改正」,如果等到限期改善多次後才處罰,根本是輕忽資安問題對民眾影響。黨團主張,針對部分《個資法》違法狀況,刪除限期改善的開罰前提,並加重罰則,擴大資安保障範圍。
