「台灣社交距離App」之思考(上)—隨機ID是個人資料?

「台灣社交距離App」之思考(上)—隨機ID是個人資料?

因應我國本土新冠肺炎疫情升溫,中央流行疫情指揮中心鼓勵國民下載「台灣社交距離App」,希冀透過科技手段優化疫情調查效率及發現可能風險個案。而此軟體也遭受個資保護的質疑,本文先從軟體運作方式予以說明,並就「隨機ID」是否為個人資料提出討論,下篇文將針對防疫與個人隱私之抗衡提出看法。

 

指揮中心說明如下:

「臺灣社交距離App」以保護隱私且尊重使用者意願為最高原則,對於個人隱私的保障優於《歐盟的一般資料保護規範》(GDPR)。APP無須註冊,也不會上傳任何個人資料;功能主要是利用藍牙技術,記錄接觸對象去識別化資料,不包括地點定位資訊,相關接觸資料僅儲存於個人手持裝置端14天,不會上傳到任何雲端服務。當使用者接獲通知為確診者時,經衛生單位徵得確診者同意後可上傳資料,App將主動通知過去 14 天曾接觸過的對象(例如曾與確診者於2公尺內接觸2分鐘以上者)並出現警示畫面,提醒用戶注意最近的身體狀況。當用戶收到提醒後,請主動與防疫人員聯繫,減少疫情擴散機會,保護公眾健康。[1]

 

由此,我們整理上開說明可知:

  1. App不會取得個人資料
  2. 相關接觸資料不會上傳雲端
  3. 需確診者主動提供資料,且該資料僅為隨機ID

App主打無需用戶提供任何個人資料而具有保護個人隱私,有疑問者是「隨機ID」是否屬於個人資料,而得使他人透過藍芽裝置存取?

依個人資料保護法第2條第2款個人資料之定義為:「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

本文以為是否得直接或間接方式識別該個人,應從「利用機關」的角度判斷。舉例而言,如「學號」,對於普通人而言,學號不過是一串毫無意義且無關聯的數字,但若係教育機關,則得以此資料識別個人。因此「隨機ID」是否為個人資料,因其非明文列舉之資料,而需透過概括條款予以判斷。隨機ID無法直接或間接識別個人,而僅能提供用戶是否曾接觸確診者之輔助判斷,蓋縱透過App得知曾與確診者接觸,用戶亦無從直接或間接識別該確診者之身份。

 

防疫與個人隱私往往係抗衡難題,尤其在防疫政策上,非藥物介入公共衛生手段(NPI)有其阻斷傳播鏈達成控制疫情之效果,其中疫情調查是非常重要的手段,然而疫情調查往往會探知人民之個人生活隱私,如接觸史。尤其有許多科技手段的輔助,如Google Map的地圖軸功能、Apple內建的定位服務等,是否應考量個人隱私權利之保障。就此問題,各國透過何種策略,我們將在下篇為大家介紹。

[1] 衛生福利部疾病管制署(2021),「臺灣社交距離App」已上架 鼓勵全民下載使用 掌握疫情擴散相關資訊,2021年5月14日,連結為:https://www.cdc.gov.tw/Category/ListContent/EmXemht4IT-IRAPrAnyG9A?uaid=4tvSn4wPDjJe42YTuS8LjA

發佈留言