fbpx

Written by 10:36 時事白話文

使用「1922簡訊實聯」或「紙本登記」有哪些個資風險?|蕭永蔚

作者:蕭永蔚,Wei Hsiao。現職為個人資料保護管理制度(PIMS)暨資訊安全管理系統(ISMS)企業管理顧問。興趣為研究音樂|娛樂|文創相關法律並寫成文章分享給產業小夥伴們。經營粉絲專頁「音律 MUSIC LAW」。 

2021年5月15日,台灣新冠肺炎疫情升級三級警戒,5月19日行政院即舉行記者會推出「1922簡訊實聯制」,純就效率來說,值得為政府機關拍拍手。

「1922簡訊實聯制(以下稱簡訊實聯制)」的運作機制,是讓民眾使用智慧型手機掃描QR code後,直接開啟手機簡訊功能,並同時建置「進入場所代碼」的訊息內容,待發送至收訊號碼「1922」即可完成登記;若民眾使用的不是智慧型手機、沒有辦法掃描QR code,還是可以手動編寫簡訊,並傳送到號碼「1922」。

這樣的設計,是在民眾被確診新冠肺炎時,能夠以其手機號碼所發送的簡訊,向電信公司調取該確診者所經過的場所,藉此整理相關資訊,提醒民眾是否經過該等場所,或警告民眾應避免前往。

而在實聯制的使用過程中(註),可能會有什麼法律問題呢?

簡訊內容算是蒐集個資?實務見解分歧

依我國《個人資料保護法》規定,所謂個人資料就是「自然人之姓名、出生年月日、……社會活動及其他『得以直接或間接方式識別該個人之資料』。」而我們送出去的手機簡訊中,並沒有提到自己的姓名,僅有傳送手機號碼給電信業者,這樣個資算有洩漏嗎?

首先,關於「行動電話的號碼」算不算個人資料,我國法院曾經出現兩則意見歧異的判決。

否定手機號碼為個人資料的意見認為:手機號碼僅係10個阿拉伯數字所組成,無法直接或間接識別某一特定人,不具直接或間接識別性,充其量僅為「資料」,而非個人資料(參照臺灣臺北地方法院103年度訴字第212號判決、臺灣臺北地方法院104年度再微字第1號判決)。

肯定手機號碼為個人資料的意見認為:一般使用者為避免變更號碼後聯絡困難,通常不太會變更自己的手機號碼,又該號碼之持有人僅有一人,可將該號碼與持有人作出連結,也就能夠識別出特定個人(參照臺灣高等法院臺南分院105年上易字第393號判決)。

這可傷腦筋,連法院都出現意見不同,更不用說一般民眾了。筆者身為個人資料保護管理顧問,最常被客戶問的問題就是:「這到底是不是個資?」

實聯制簡訊應可識別個人,為個人資料

簡單說,從簡訊實聯制的簡訊內容來看,無論就其發送的「手機號碼」,或是由手機號碼所帶出的「位置資訊」來解讀,都具有辨識個資當事人的功能,應認定為個人資料。所以,蒐集、處理、利用那些簡訊內容的時候,就應符合個人資料保護法的規範。

另外在主要國家的做法上,歐盟規定的GDPR(General Data Protection Regulation,國家發展委員會譯:歐盟資料保護一般規則),即明確將「位置資訊」甚至是「IP位置資訊」都列為個人資料的範疇。

筆者觀察,目前我國個人資料保護法的修法方向可能將與GDPR趨於一致。也就是說,有高度可能會把「位置資訊」明確定義為個人資料。

實聯制簡訊可以拿去調查刑案或員工狀況嗎?

依照我國《個人資料保護法》規定,在蒐集個人資料以前應該要進行明確的告知,告知被蒐集個資的當事人:什麼個資會被蒐集、「蒐集之目的」,以及個資會被利用的期間、地區、對象及方式等;再者,依照同法規定,個人資料的蒐集、處理或利用應「不得逾越特定目的之必要範圍」

實聯制簡訊的「特定目的」,如果是為了「調查疫情」,所以為了調查疫情以外目的,進而蒐集、處理、利用實聯制簡訊的行為,就應認屬超出原本特定目的的必要範圍。

像是6月中旬,曾有法官於網路平台「鳴人堂」撰文表示:刑事警察局在搜索票聲請書中,利用嫌犯以簡訊實聯制發送的簡訊來鎖定嫌犯行蹤。筆者認為,此部分應可認定已超出該簡訊所能利用的特定目的。

近日亦有立委表示接獲民眾陳情,其公司老闆疑似利用人事資料查詢員工施打疫苗的狀況。簡單來說,人事資料的預設目的應為人事管理之用,在本案中利用人事資料做人事管理之外的使用,也應認為超過特定目的。

紙本登記實名制,所造成的個資外洩

其實不只簡訊實聯制有問題,時間拉回到三級警戒最初的時候,有些店家緊急採用了「紙本登記實名制」,同時蒐集了到店客戶的姓名與電話。

當時在PTT的Woman Talk板上出現了一篇發文:「女孩們怕不怕實聯制個資遭利用」,該篇發文附上了簡訊截圖,討論一位女性民眾至眼科診所看診並留下自身姓名、電話,而後該診所男性驗光師利用其所留下的實名制資料,多次傳送想與該名女性進一步做朋友的簡訊。

回到前述個案,診所以「紙本登記實名制」蒐集了患者的姓名、電話,目的是為了確認該名患者的足跡;換句話說,「疫情調查」是蒐集病人資料的特定目的,「用這簡訊把妹」就超出了「預設的調查目的」,進而構成「目的外使用」,也就違反個人資料保護法。

結論

筆者因個人職業關係,對於各樣個人資料議題相當感興趣,本次撰文之出發點僅單純為探討「1922簡訊實聯制」與個人資料保護之間的關係。然而在研究過程中也發現,在疫情之下有許多衍生的個人資料保護議題值得被重視,多數不外乎是個資被濫用(逾越特定目的之蒐集、處理、利用)的問題。

個人資料既然是我們身為「自然人」的「人格權」的一部分,其實更應該有周全的保護,也藉由本文作為一個拋磚引玉的介質,希望能促進更完善的個人資料保護體制,減少個資被濫用的可能性。

註:QR code所帶出之簡訊內容通常只包含:場所代碼,以及相關註記「簡訊實聯限防疫目的使用」等字句,並未包含姓名等特定個人資訊。如因疫情調查要比對確診者足跡,則須向電信業者調查相關號碼所發之訊息才能確認。

(Visited 1,561 times, 18 visits today)
Close