消費者只能被動接受個資任憑業者分享、利用的隱私條款嗎?病人只能容忍就醫與社福資料未經個人同意,供第三方研究利用,除了事後退出外,沒有更進一步同意權的保障嗎?
國際數位人權大會RightsCon今年來台舉辦,台權會投稿入選,舉辦圓桌議程,與全球數位人權公民團體、專家一同辨識在健康、電信、網路等場域出現「繞過同意權」的行為樣態,串聯討論我們可以如何拿回我們的資料自主權。除此之外,我們也受邀各項不同議題場次的合辦與與談,涵蓋通訊監察、數位身分、網路內容管制。
奪回我們的健康與電信資料
圓桌討論中,我們分享台權會歷時十年,至今仍在倡議修法的的健保資料庫憲法訴訟案及其修法動態,還有去年電信資料遭政黨人士利用從事集會遊行群眾分析後,我們蒐集到數位廣告業者利用之電信資料可與其他來源的個資串聯的證據後,與個資會籌備處、通傳會公文往來的經過。來自菲律賓的參與者分享2023年政府為了打擊簡訊詐騙,要求SIM卡持有者註冊實名資訊。無論公私部門,都存在強迫同意,或以其他理由繞過同意,過分限縮同意權的情形。包裹式同意廣泛出現在各種服務,而消費者/使用者未必清楚自己有權拒絕。
除了本場圓桌討論外,其他有關健康資料的場次,也有比利時的參與者強調「Consent by Design」的重要性,建議從研究設計就應考量資料主體的同意權,並建立持續性的互動關係,讓資料主體得知研究進展,並給予資料利用建議與回饋。
資料掮客與數位身分:民主社會的隱憂
RightsCon會前的各種座談會中,我們分享去年通保法修法強制保存網路流量紀錄(瀏覽網域、應用程式等後設資料)後,法務部訂出保存期限是「至少一年」,我們參考歐洲過去的判決,對無差別保存以及期間過長的擔憂。德國的公民團體GFF分享,在該判決之後德國採取對特定案件發動的強制保存,而非對過去所有上網情形的無差別保存。近期GFF關心資料探勘與分析業者販售資料供警方從事預測性警務的問題。目前已知Palantir公司提供德國警方自動化資料分析服務,但相關法律、業者蒐用的個資、自動化建立個人剖析檔案的方式均不透明。
個資保護是科技方案的基本立足點,沒有在制度上保障基本權的科技解,反而製造更多問題。這次恰好有機會參與數位身分訴訟甘苦談,參與者紛紛表示,國家數位身分制度不斷東山再起,制度改進卻非常有限,每個訴訟只能改變一點點。肯亞歷經不只一次針對國家數位身分政策的訴訟,國家終於修了個資法,結果下一個數位身分政策又沒做個資法要求的個資保護衝擊評估。肯亞與法國合作提告數位身分與生物識別大廠IDEMIA的訴訟,也只促成該公司在盡職調查中多一個表格。法院擋掉一個問題重重的政策,又一個接一個來,倡議數位身分政策正視人權保障,需要全球的公民團體與專家一起結盟。
