程法彰 \ 教授
這次台灣在歷經疫情的洗禮中,不但看得出人民的自律,在過程中也引發了許多議題的討論。但在議題的討論中,對於個人資料保護的面向,相對於其他的議題,顯得較無深入廣泛的討論。這樣的現象或許是因為嚴峻的疫情與特別法(嚴重特殊傳染性肺炎防治及紓困振興特別條例第八條)的授權,因而使得在防疫政策的決策上,個人資料的保護考量並非首要因素。同時對於一般民眾而言,期待疫情的儘快落幕也使得大眾願意配合。但是這並不表示個人資料的保護不重要,相反的重視個人資料的保護,將使得提供的主體更願意提供其(數位)足跡,反而有助於現時(可能)的疫調完整與正確性。疫調與個人資料保護兩者間,事實上處於既對立又合作的狀態,因此如何評估與落實兩者之間的互動,或許在本次危機過後,應該可以進一步討論與思考,作為若未來不得已再次面對相關重大公衛議題時,對於其與個人資料保護互動的政策參考。接下來的討論將以實聯制為例,主要針對預防性實聯制的個人資料收集做法,因為此種廣泛預防性收集的作法,相較於事後回溯性的疫調取得可能更有許多必須考量的地方。
首先,雖然前述特別條例給予中央流行疫情指揮中心為錄影、攝影、公布其個人資料或為其他必要的處置措施。但是有疑問的是對於個人資料保護法第五條特定目的之必要範圍與正當合理關聯的基本要求,是否應持續作為管制考量的必要因素。由前述特別條例的「必要」二字觀察之,似乎立法者亦認為個人資料保護的基本原則應繼續遵守。若前述的立論確是如此,那麼對於進入三級警戒後要求外出全程配戴口罩的要求,是否仍有廣泛場域全面實聯制的需要,即有值得討論的地方。事實上若是按照中央流行疫情指揮中心在發布雙北三級警戒後的指引中,在實聯制的部分亦僅針對全國性的宗教及類似相關活動以及雙北的餐飲場所以及婚、喪禮,而其並未對於所有場所加以規範。這樣的規範背後理由應該主要是在於飲食以及特定類型的大規模群聚,有相當感染的風險。而當疫情指揮中心之後強化三級警戒的說明中,要求餐飲外帶、宗教活動全面停止、不宴客以及不公祭後,面對如此高強度的公衛措施實行下,實聯制的實施必要性,在其與個人資料保護的法益衡量後,則似乎法益衡量的天平已明顯向個人資料保護傾斜。
此外在實聯制的資訊安全部分的考量,許多民間都有其自行開發實聯制應用程式,但是對於前述民間實名制應用程式的個人資料保護,在使用者往往無法確認資訊的技術與利用情況下,即可能會產生違反的情事發生。例如之前發生的「防疫實聯衝衝衝」的資訊技術漏洞,即為一例。行政院所推出的「簡訊實聯制」雖然因為有政府的背書以及借重對資安有充足經驗的電信業者把關,不太可能有重大資訊安全違反。但與民間對於個人資料收集的共同處,在於若非中央流行疫情指揮中心經過評估後的實聯制使用時機,所為的實聯制收集作法理論上主要是基於個人資料提供者的同意。在政府行政指導的鼓勵甚或是行政命令的要求下,幾乎所有的商場以及店家都進行實聯制的認證,而在此情況下購物的民眾基本上也大都自律性的配合。但是從法律層面的角度嚴格來說,此種近乎沒有選擇之同意是否為真正自由意志的同意尚有爭議,因此這樣非屬中央流行疫情指揮中心強制的輔助做法是否真正符合個人資料保護的規範,存在潛藏的法律爭議。
在人民的高素質與中央、地方的通力合作下,相信困難的時間終究會過去。但是當艱難過去後,個人資料保護所要面對的議題才正要開始。首先在實聯制的強制實施上,未來在防疫考量前提下對於實施與否決策上,建議應與其他措施(口罩令、管制熱區、高風險行業、執行可能性、可能替代方案等)一併整體考慮,作成可遵循的標準流程,並由指揮中心統一定調,避免部會各自為政。在審慎的評估流程下儘量節制其實施範圍,亦即不輕易強制實施實聯制,而一但實施就需徹底執行。此外對於民間自發性實聯制,政府亦應宣導其非為強制性,使得民眾有明確的遵循規範。其次,在資訊安全的管控上,對於自發非強制性的實聯制,建議應考量政府統一的應用程式(如簡訊實聯制),避免民間實聯制應用程式或實體簽名所可能產生的資訊安全風險,並對於協助政府的電信業者,考慮給予適當的補償。最後,對於個人資料在過程中的保存以及結束後的刪除監督之責,在目前尚未有個人資料保護專責機關的前提下,除了紙本的部份外,關於電子個人資訊的保存與監督之責,究竟由何主管機關負責,是行政院資通安全處、國家發展委員會、國家通訊傳播委員會甚或是未來可能成立的數位發展部,亦有待日後進一步的釐清。
