使用「1922簡訊實聯」或「紙本登記」有哪些個資風險？｜智財科技

使用「1922簡訊實聯」或「紙本登記」有哪些個資風險？｜蕭永蔚

作者：蕭永蔚，Wei Hsiao。現職為個人資料保護管理制度(PIMS)暨資訊安全管理系統(ISMS)企業管理顧問。興趣為研究音樂｜娛樂｜文創相關法律並寫成文章分享給產業小夥伴們。經營粉絲專頁「音律 MUSIC LAW」。　

2021年5月15日，台灣新冠肺炎疫情升級三級警戒，5月19日行政院即舉行記者會推出「1922簡訊實聯制」，純就效率來說，值得為政府機關拍拍手。

「1922簡訊實聯制（以下稱簡訊實聯制）」的運作機制，是讓民眾使用智慧型手機掃描QR code後，直接開啟手機簡訊功能，並同時建置「進入場所代碼」的訊息內容，待發送至收訊號碼「1922」即可完成登記；若民眾使用的不是智慧型手機、沒有辦法掃描QR code，還是可以手動編寫簡訊，並傳送到號碼「1922」。

這樣的設計，是在民眾被確診新冠肺炎時，能夠以其手機號碼所發送的簡訊，向電信公司調取該確診者所經過的場所，藉此整理相關資訊，提醒民眾是否經過該等場所，或警告民眾應避免前往。

而在實聯制的使用過程中（註），可能會有什麼法律問題呢？

簡訊內容算是蒐集個資？實務見解分歧

依我國《個人資料保護法》規定，所謂個人資料就是「自然人之姓名、出生年月日、……社會活動及其他『得以直接或間接方式識別該個人之資料』。」而我們送出去的手機簡訊中，並沒有提到自己的姓名，僅有傳送手機號碼給電信業者，這樣個資算有洩漏嗎？

首先，關於「行動電話的號碼」算不算個人資料，我國法院曾經出現兩則意見歧異的判決。

否定手機號碼為個人資料的意見認為：手機號碼僅係10個阿拉伯數字所組成，無法直接或間接識別某一特定人，不具直接或間接識別性，充其量僅為「資料」，而非個人資料（參照臺灣臺北地方法院103年度訴字第212號判決、臺灣臺北地方法院104年度再微字第1號判決）。

肯定手機號碼為個人資料的意見認為：一般使用者為避免變更號碼後聯絡困難，通常不太會變更自己的手機號碼，又該號碼之持有人僅有一人，可將該號碼與持有人作出連結，也就能夠識別出特定個人（參照臺灣高等法院臺南分院105年上易字第393號判決）。

這可傷腦筋，連法院都出現意見不同，更不用說一般民眾了。筆者身為個人資料保護管理顧問，最常被客戶問的問題就是：「這到底是不是個資？」

實聯制簡訊應可識別個人，為個人資料

簡單說，從簡訊實聯制的簡訊內容來看，無論就其發送的「手機號碼」，或是由手機號碼所帶出的「位置資訊」來解讀，都具有辨識個資當事人的功能，應認定為個人資料。所以，蒐集、處理、利用那些簡訊內容的時候，就應符合個人資料保護法的規範。

另外在主要國家的做法上，歐盟規定的GDPR（General Data Protection Regulation，國家發展委員會譯：歐盟資料保護一般規則），即明確將「位置資訊」甚至是「IP位置資訊」都列為個人資料的範疇。

筆者觀察，目前我國個人資料保護法的修法方向可能將與GDPR趨於一致。也就是說，有高度可能會把「位置資訊」明確定義為個人資料。

實聯制簡訊可以拿去調查刑案或員工狀況嗎？

依照我國《個人資料保護法》規定，在蒐集個人資料以前應該要進行明確的告知，告知被蒐集個資的當事人：什麼個資會被蒐集、「蒐集之目的」，以及個資會被利用的期間、地區、對象及方式等；再者，依照同法規定，個人資料的蒐集、處理或利用應「不得逾越特定目的之必要範圍」。

實聯制簡訊的「特定目的」，如果是為了「調查疫情」，所以為了調查疫情以外目的，進而蒐集、處理、利用實聯制簡訊的行為，就應認屬超出原本特定目的的必要範圍。

像是6月中旬，曾有法官於網路平台「鳴人堂」撰文表示：刑事警察局在搜索票聲請書中，利用嫌犯以簡訊實聯制發送的簡訊來鎖定嫌犯行蹤。筆者認為，此部分應可認定已超出該簡訊所能利用的特定目的。

近日亦有立委表示接獲民眾陳情，其公司老闆疑似利用人事資料查詢員工施打疫苗的狀況。簡單來說，人事資料的預設目的應為人事管理之用，在本案中利用人事資料做人事管理之外的使用，也應認為超過特定目的。

紙本登記實名制，所造成的個資外洩

其實不只簡訊實聯制有問題，時間拉回到三級警戒最初的時候，有些店家緊急採用了「紙本登記實名制」，同時蒐集了到店客戶的姓名與電話。

當時在PTT的Woman Talk板上出現了一篇發文：「女孩們怕不怕實聯制個資遭利用」，該篇發文附上了簡訊截圖，討論一位女性民眾至眼科診所看診並留下自身姓名、電話，而後該診所男性驗光師利用其所留下的實名制資料，多次傳送想與該名女性進一步做朋友的簡訊。

回到前述個案，診所以「紙本登記實名制」蒐集了患者的姓名、電話，目的是為了確認該名患者的足跡；換句話說，「疫情調查」是蒐集病人資料的特定目的，「用這簡訊把妹」就超出了「預設的調查目的」，進而構成「目的外使用」，也就違反個人資料保護法。

結論

筆者因個人職業關係，對於各樣個人資料議題相當感興趣，本次撰文之出發點僅單純為探討「1922簡訊實聯制」與個人資料保護之間的關係。然而在研究過程中也發現，在疫情之下有許多衍生的個人資料保護議題值得被重視，多數不外乎是個資被濫用（逾越特定目的之蒐集、處理、利用）的問題。

個人資料既然是我們身為「自然人」的「人格權」的一部分，其實更應該有周全的保護，也藉由本文作為一個拋磚引玉的介質，希望能促進更完善的個人資料保護體制，減少個資被濫用的可能性。

註：QR code所帶出之簡訊內容通常只包含：場所代碼，以及相關註記「簡訊實聯限防疫目的使用」等字句，並未包含姓名等特定個人資訊。如因疫情調查要比對確診者足跡，則須向電信業者調查相關號碼所發之訊息才能確認。