【國際資料隱私日特輯】從2017到2018,你應該繼續關注的台灣隱私新聞

每年1月28日是國際資料隱私日。去年的這個時候,我們首度嘗試整理了台灣的隱私新聞,希望能幫助大家有效掌握重要的隱私議題。

雖然今年已經過了兩天,但我們還是延續去年的作法,希望能整理出一份清楚、簡單的清單,供大家未來一年參考。也因為新聞不少,心力有限,如有缺漏或描述錯誤之處,歡迎大家隨時在本文下方留言給我們喔!                


▼修法或立法(一):國家取得「非內容資料」的修法(通信紀錄、GPS)

相對於「內容資料(Content Data)」,「非內容資料(Non-Content Data)」是描述人的活動或通訊的資料。而本處所指的非內容資料,主要僅包含以下兩類:通信紀錄、GPS紀錄。

通信紀錄

顧名思義,通信紀錄是描述通訊行為的紀錄,例如某次通訊的時間、對象、地點、方式等。《通訊保障及監察法》(下稱《通保法》)在2014年修法後,肯認通信紀錄在當代的重要地位,因此要求政府原則上僅能在特定罪名、並取得法院許可下方可調取通信紀錄。

立法院在2017年末,接連將兩個試圖鬆綁通信紀錄使用規定的《通保法》修正草案送入委員會(分別為國民黨許淑華及民進黨蔡易餘的提案)。其中蔡易餘的版本,更賦予警察在偵辦重罪時,不需檢察官或法官許可,即可逕行調取通信紀錄的權限(蔡委員說明見此)。

這個攸關人民通訊隱私的修正草案,是否將在立法院下一會期被排入委員會議程審查,自然值得我們優先關注。

GPS追蹤器

同樣在2017年底,最高法院也就2016年海巡士官長於車底裝設GPS追蹤器的案件做出被告無罪,證據無效的判決。法務部亦在判決後表示,將會研擬GPS追蹤器的法規,並傾向於「無法院令狀保留」的方向。倘若法務部的說法屬實,你我乘坐的車上未來可能都有不必經法院許可的GPS追蹤器,人民未來的位置隱私將會岌岌可危。

延伸閱讀:

  1. 將被民進黨立委棄守的通信紀錄(何明諠|台灣人權促進會、蘋果日報、上報)
  2. 最高法院:無法院令狀,GPS辦案違法的理由(一起讀判決)

▼修法或立法(二):《數位通訊傳播法》立法

國家通訊傳播委員會(NCC)所負責的兩部重要法案——《數位通訊傳播法》及《電信管理法》——也在2017年底送出行政院,並完成立院一讀,正等待委員會審查。(因研究能量有限,我們暫時不討論《電信管理法》)

《數位通訊傳播法》對所有網路使用者來說都至關緊要。因為法案中所謂的「數位通訊傳播服務提供者」,一般認為至少包含了電信業者,以及Facebook、Google、Yahoo、PChome等內容服務提供者。在這部法案中,NCC試圖規範這些服務提供者的義務,好比對其平台上內容的管理方式、應配合國家的事項等。

儘管過去對這部草案的討論,主要著重於業者該如何進行內容管制;但因在草案的第5條中,亦有要求數位通訊傳播服務提供者須配合國家的情形,在條文內容不明確的前提下,也不免讓人質疑,是否有放任國家恣意監控人民的可能。

延伸閱讀:

  1. 匯流N法是否支持「網路中立性」討論會(推動網路中立性立法FB粉絲頁)
  2. 恐危害言論自由的數位通訊傳播法(何明諠|台灣人權促進會、蘋果日報
  3. 自己的網路自己救!看懂數位匯流修法背後疑點(Mg Lee|g0v.news)

▼修法或立法(三):《資通安全管理法》立法

訂定《資通安全管理法》(下稱《資安法》),是行政院資安處自2016年8月掛牌成立後,最重要的任務之一。

在數位時代,公、私部門欲維持業務正常運作的前提之一,便是要確保其資訊系統是否已受到妥善保護。然而為了資訊安全而訂定的《資安法》,卻從立法之初,即飽受「國家擴權」的質疑。

國家擴權的質疑主要源於於行政院的《資安法》草案中,要求特定非公務機關必須配合政府的稽核(第6條)或行政檢查(第18條),加之「關鍵基礎設施」的定義始終不明,導致各業者人心惶惶,深怕政府的檢查反將導致營業秘密及用戶個資的大量外洩。

儘管本草案在2017年底立法院討論時,已刪除了第18條有關行政檢查的條款,但「稽核」該如何執行的問題仍未解。加之本法案的立法程序尚未結束,相關條文是否會死灰復燃,影響人民的隱私權,仍待觀之。

延伸閱讀:

  1. 行政院版資通安全管理法草案評析(劉靜怡、徐彪豪|月旦法學雜誌2018年1月)
  2. 資安法草案問題一堆,政府還不好好回應?(李柏毅|蘋果日報)
  3. 《資通安全管理法》草案的各項問題(陳坤助|Rocket Café)

▼資料隱私(一):健保資料庫釋憲案

說到資料利用與隱私間的關聯,自然不能漏了健保資料庫。本案同時也是我們在去年的隱私新聞介紹中,推薦應關注的議題之一。

台權會自2012年起,集合了八位使用者,針對健保資料庫的加值利用提起訴訟,要求行政機關落實個人的資訊自主權。在巨量資料利用成為顯學的時代中,健保資料庫的訴訟案的結果將決定隱私權所保護的範疇。

這個耗時多年的行政訴訟案,在2017年1月底最高行政法院做出確定判決,駁回八位原告的請求後,已確定將步入釋憲的階段。在2017年11月,原告遞交了此案的釋憲聲請書給司法院,其中提出了6項《個人資料保護法》可能的違憲之處,並希望大法官採「嚴格違憲審查」。

本案後續將等待大法官會議的受理及釋憲結果。

延伸閱讀:

  1. 【釋憲聲請書簡易版】嘿,你知道健保資料庫要釋憲了嗎?(台灣人權促進會)
  2. 【懶人包】健保資料庫行政訴訟案(台灣人權促進會)
  3. 【釋憲】健保資料庫釋憲理由書公開(台灣人權促進會)
  4. 你的個資,他的研究和商機?——強迫中獎的全民健康資料加值應用是否違憲(台灣人權促進會)

▼資料隱私(二):換發晶片身分證

此案也是我們去年推薦的隱私新聞之一。

在2017年,內政部除正式對外公布了晶片身分證較完整的計畫詳情外,也曾舉辦國際研討會,討論發行後的配套機制。然而問題在於,直到去年7月中,內政部都仍未討論「全面換發」本身所蘊含的隱私風險與合憲性問題,因此也遭民間批評本末倒置,已持既定立場討論等。

在批評聲浪過後,內政部遂委託政治大學,開始進行晶片身分證的開放決策工作坊。9月工作坊結束後,則啟動身分證外觀設計的討論。內政部長葉俊榮亦在去年年底表示,將在2018年底前推出晶片身分證。這些跡象顯示,今年可能將是政策方向抵定甚至開始落實的一年。

延伸閱讀:

  1. 晶片身分證,請由法制面談起(何明諠|台灣人權促進會、蘋果日報)
  2. 人權組織台權會:eID應訂專法,建立法源,也避免數位足跡遭濫用(王立恒|iThome)
  3. 懸崖勒馬,撤回提案!台權會呼籲各委員儘速撤回《戶籍法》修法提案(台灣人權促進會)

▼資料隱私(三):電信業擴大資料保存(Data Retention)

電信業者所架設的線路是現代通訊的基石。但問題是,我們有意識到電信業者會藉此保存使用者的通訊行為嗎?我們又知道這些資料會如何提供給政府的嗎?

在現行的《電信法》或其他相關法規中,其實皆有針對上述問題的規範;但問題是,當前保存的資料類型、手段、期限等是否合理,消費者又是否了解其通訊行為可能被紀錄的狀況。

台權會在2016年底,接獲投訴指出,因應人民通訊型態的改變(使用網路偏多),NCC與刑事局召集了各大電信業者,商討擴大資料保存的可能性。由於涉及大規模的資料搜集、利用,攸關全民的通訊隱私,因此在接獲消息後,我們旋即要求NCC應進行資訊公開。

經過為時近一年的資訊公開程序後,在2017年8月,我們得到了NCC的回覆。遺憾的是,在回覆中,NCC以本案仍在草擬中,回絕了大部分資訊公開請求,僅給予我們近乎空白的兩份會議記錄。因此我們也在2017年9月正式提出訴願(但因提出時間逾期一天,而遭不受理)。

儘管本次訴願在時間提出上犯了堪稱愚蠢的錯誤(T^T),但我們已儘速重啟法律程序,持續追蹤此案。而NCC亦在近日對此案有所討論,因此我們也呼籲大家一同關注,捍衛自身的通訊隱私。

延伸閱讀:

  1. 資料保存(Data Retention)在台灣(1):NCC不願說的真相(何明諠|台灣人權促進會)
  2. 警欲蒐網站DNS登錄檔,NCC:無明確法源(蘋果日報)
  3. 國家通訊傳播委員會第783次委員會議記錄(國家通訊傳播委員會)

▼資料隱私(四):萬用的eTag

eTag再次上榜絲毫不讓人意外。這張從裝設之初即充滿隱私爭議的貼紙,近幾年被大幅利用在停車場、開放資料、或交通監測等領域後,已處處背離使用者原始的申裝目的。而在2017年,刑事警察局甚至直接表示,希望斥資四千萬,藉由eTag來建置「涉案車輛巨量資料情資分析平臺」,以在部分平面道路上,掌握所有裝設eTag車輛的精確行蹤,有效偵辦犯罪。

eTag拿來偵辦犯罪是否有效,我們不得而知(畢竟人民只要撕掉就好了)。但政府處心積慮使用eTag以追蹤人民位置的意圖,如今倒是明擺著的事實。如何有效抵抗,自然值得我們後續深思。

延伸閱讀:

  1. eTag新用途:國家監控(台灣人權促進會臉書專頁)
  2. eTag會不會讓我們曝露在「老大哥」的監控下?(呂苡榕|端傳媒)
  3. 105,交,119(新竹地方法院ETC證據無效裁判書)(法院裁判書)
  4. 立法院公報第106卷第82期院會紀錄(尤美女委員書面質詢涉案車輛巨量資料情資分析平臺)(立法院)
  5. 立法院公報第106卷第116期院會紀錄(刑事警察局回覆尤美女委員書面質詢)(立法院)

▼資料隱私(五):資料在地化(Data Localization)

對多數台灣人來說,「資料在地化」可能還是個陌生名詞,但在2013年的Snowden事件,以及2017年中國《網路安全法》開始施行後,這議題已明顯在全世界發酵

簡單說,資料在地化是指企業打算在某國提供服務時,該國會要求企業必須將該國的用戶資料儲存在該國境內,或不得任意傳輸至該國境外。支持資料在地化的人認為,這將有助於維護國家安全、發展數位經濟、提高行政效率等;而反對方最大的顧慮則在於內國監控的風險大幅上升,以及全世界網路破碎化(Internet Fragmentation)的問題。

2017年底,蘋果宣佈將配合中國落實資料在地化政策後,便遭外界大力抨擊置消費者隱私於不顧,台灣內部當時也人心惶惶。而更早在2016年底,Airbnb便曾為了配合同樣政策,已引發類似風波。

回到台灣,目前我國的《個人資料保護法》雖對資料跨境傳輸有部分規範,政府近兩年來也陸續有一些討論,但尚未有明確走向。資料在地化對未來究竟是好是壞,值得我們再三考慮。

延伸閱讀:

  1. 資料在地化政策與個人資料保護議題(陳文生|Rocket Café)
  2. 你的個資歸誰管:Airbnb「翻譯錯誤」事件背後隱藏的跨境服務四大問題(何明諠|台灣人權促進會、Rocket Café)
  3. 資料在地化:身為一個企業經營者的初步問題(T.H. Schee|Taipei.IO)

▼資料隱私(六):不特定對象的驗尿(與物聯網的問題)

尿液篩檢一直是公、私部門用以檢驗毒品吸食者的手段之一。在過去,台灣曾有部分縣市打算在義務教育實施全面尿檢,而遭民間抗議此舉有將學生行有罪推定、或標籤化不配合學生的可能。類似狀況,直到去年都還在發生。       

而即便是在現行的《特定人員尿液採驗辦法》中,也保留了可能對所有中輟或休學的學生皆可進行尿檢的寬鬆條件。

如今的問題是,不只不特定尿檢還在被持續推廣,隨著物聯網科技的普及,更可能讓全民已置身在那樣的處境中。過去一兩年,我們發現部分地方政府已計劃在公共場所裝設可直接進行驗尿的小便斗。而問題在於,這類與一般小便斗外觀類似的高科技驗尿小便斗,倘被裝設在公共場所,又欠缺明確提醒,不只將大量侵害全民隱私,更將成為對全民行有罪推定的一場展演。我們毋寧須慎重以待。

延伸閱讀:

  1. 台權會針對《特定人員尿液採驗辦法》修正建議(台灣人權促進會)
  2. 雲端科技打造的瘋狂驗尿小便斗(何明諠|台灣人權促進會、Rocket Café)

▼體制改革:設置獨立的隱私專責機關

台灣雖自2012年起,即開始施行《個人資料保護法》,但個資法施行至今,卻始終沒有專責的主管機關負責該法的落實(僅有法務部在需要時作為統一的解釋機關),這從而也導致了《個資法》時常面臨解釋不一、落實不一、無法主動保護民眾隱私、以及法規內容過時等問題。

儘管民間一直以來都希望政府設置獨立的隱私專責機構,以解決上述問題,但近幾年來,政府總以組織精簡、人事縮編為由,回應相關的訴求。也因此,在去年的隱私新聞中,我們並未將建立隱私專責機關的列入值得關注的新聞。

但令人稍微欣慰的是,政府在2017年底開始,開始對外蒐集設置隱私專責機關的意見,加上台灣若需加入部分國際組織(APEC),可能亦須有類似機關方符合條件,因此本議題在2018年是否可能出現重大進展,值得後續留意。

延伸閱讀:

  1. 恣意擴權的國發會:從個人資料評議中心談起(何明諠|台灣人權促進會、蘋果日報)
  2. 【隱私專責機關介紹I】香港個人資料保護公署(謝東憶|台灣人權促進會)
  3. 個人資料保護專責機關與資料在地化之法制研究(葉奇鑫|vTaiwan.tw)

▼工商服務:台灣網路透明報告出版

說到2018年應關注的隱私新聞,當然不能錯過台權會即將出版的台灣網路透明報告(無誤)。

當網路已成為現代人的主要活動、張貼/接收資訊、相互溝通的主要場域時,確保政府不濫用使用者線上留存的資料、不任意干涉線上言論,將有助民主社會的長久維持。這也是台權會發起台灣網路透明報告這個計畫的主因。

台灣網路透明報告是目前台灣檯面上唯一就數位權利(Digital Rights)整體進行批判檢視的報告。而睽違了兩年多後的新報告(預計2月底至3月中發表),除將揭露2015-2017年政府索取個資或限制內容的相關資料外,也將檢討目前部分台灣網路企業的隱私與內容政策,並就未來的發展提出正面建議。

延伸閱讀:

  1. 2012-2014台灣網路透明報告(台灣人權促進會)
  2. AccessNow關於台韓港「網路透明報告」的介紹(台灣人權促進會)

▼番外篇:歐盟個人資料保護規則(GDPR)施行

這可能是史上最重要的番外篇之一。歐盟即將於今年5月25日正式施行「個人資料保護規則」(General Data Protection Regulation, GDPR),這勢必將對全世界公、私部門的隱私權保護帶來巨大影響。

GDPR帶來了幾項巨幅或根本的改變,例如將跨境公司明確納入規範、大幅增加違法的罰款金額、強化個人同意的地位、個人存取資料的權利、資料可攜的權利、刪除資料的權利、以及要求設置資料保護專員等。

作為世界的成員之一,台灣不可能自免於與歐洲接觸。政府及企業如何因應GDPR,調整自身隱私保護的標準,將是今年度的主要挑戰之一。

延伸閱讀:

  1. 歐盟個人資料保護規則(財團法人金融聯合徵信中心)
  2. 史上最嚴資料保護令來了!(Micorsoft)

過去的國際隱私日活動

延伸閱讀