本文為台權會參與TWIGF台灣網路治理論壇,台權會場次座談會活動紀錄。紀錄:陳玟卉。編輯:周冠汝。
個資法賦予我們查閱、刪除等權利,但實際行使這些權利卻困難重重。台灣人權促進會副秘書長周冠汝提到消費者向業者申請刪除網路/APP個資的各種困難,包含要求提供註冊時沒有留下的身分證影本、只能以紙本提出申請等情況。
在電信資料利用方面,更出現消費者無法掌控位置資料等個資被業者與其合作夥伴用於精準行銷,甚至剖析政治傾向等情況。當電信業者聲稱利用的電信資料皆已「去識別化」,卻未能釐清利用的法律依據,同時消費者也難以從同意事項得知資料將遭此利用。台權會整理並提供給個資籌備會、通傳會的公開資料中,數位廣告公司與電信業者合作,利用UID歸戶技術,串聯不同來源的資料,從事精準行銷。然而,通傳會卻以「網路行銷不屬於電信服務」回復台權會,且仍未釐清利用電信個資之法律依據。
去識別化的問題與刪除權面臨的挑戰
去識別並不代表將個人資料全部抹去,還是可能透過串聯零星資訊得知當事人。中央研究院資訊所研究員王柏堯以美國為例,僅需使用公開的選舉人名冊中的郵遞區號、性別、生日欄位,就能從當時所謂「去識別化」的醫療資料中辨識出87%的美國人。王柏堯指出,當資料的隱私保護程度越低、所含的個人資訊越多,其對應的利用價值越高,反之亦然。王柏堯也再次強調,自主控制權包含事前同意、查閱權、更正權與事後刪除權等四個面向才完整。
面對人工智慧發展,王柏堯進一步指出刪除權行使在實務上將遇到的問題。當個人資料被用來訓練模型時,因個資已形成模型的一部份,故若要行使刪除權,在技術上可能會有困難,而刪除權在歐盟有明確規範的情況下,要如何行使就目前來說屬技術上的問題。
個人資料保護委員會籌備處法制組科長曾傑以111年憲判字第13號判決,說明事後控制權的基本概念,無論是自主或被迫交出的個資,當事人仍是其個資的主人。對於使用者觀察到的網路上的刪除權行使情況,曾傑認為使用者要求刪除帳號,即是表示刪除個資的意思,未來也將在個資法實踐上精進,讓業者得以遵循,避免在查閱、刪除權行使上出現轉嫁成本給消費者的情況。針對未來個資保護機關與其他機關的關係,聽眾回饋個資保護機關以網狀結構成立,確保獨立監督,同時留住現行各領域(比如金融監管)從事個資保護業務的專才。
疫情期間蒐用個資的實效性未被檢視
在尚未使用人工智慧的範疇,如果資料利用的單位都無法明確解釋如何利用資料,以及利用的實效性,那該如何面對人工智慧帶來的挑戰?中央研究院法律所副研究員陳舜伶分享針對1922簡訊實聯資料的調查。首先碰到的問題是相關統計取得困難,資料分散於不同機關,且資料格式難以統整,例如通傳會以圖片形式提供統計在社群平台。陳舜伶研究團隊比對相關統計,發現在三級警戒結束後,反而擴大簡訊實聯制;甚至於單一確診者的情況下,在短短數天間調閱20幾萬筆資料。這樣的資料蒐集是否必要?調閱過程是否符合比例原則?台灣缺乏對電子防疫措施的實效性研究,後續於傳染病防治法也未能加入隱私影響評估等改善措施。當政府未來投注更多資源在AI,以及勾稽政府資料(例如行政院長曾公開表示期待勾稽戶政資料,以解決少子化),面臨的隱私權問題與實際有效與否,將帶給政府機關更大的考驗。