為了查緝網路犯罪,越來越多一般人的上網資料被保存,跨機關的個資被整合進大型資料庫。本次活動邀請參與者一起閱讀台權會近期收集到的政府資訊,包含涉及網路流量紀錄保存與調取的標案內容、申請政府資訊公開取得的文件(匯集不同來源個資的大型政府資料庫說明)、M化車(IMSI catcher)相關政府資訊。民主社會如何在犯罪偵查與隱私保護間取得平衡?大型個資保存、匯集2300萬人不同來源個資的大型資料庫如何達到透明問責,需要公民一同參與。
周冠汝:如何追蹤修法後續發展
2024年《通訊保障及監察法》修法後規範業者強制無差別保存使用者網路流量紀錄,至於保存時長僅要求機關與業者協商,並未明確規範。以歐盟判決為例,法院表示保存四週的位置資料或十週的流量記錄,已經能建立個人的私生活剖析,因此強制保存網路流量紀錄僅能在重大影響國安的案件上使用。然《網路流量記錄管理辦法》卻將保存時長設定為「至少一年」,且無上限,在必要性與比例原則上顯有不符。
目前法務部尚未回應台權會,因此本次座談會討論的網路流量記錄保存資訊,均來自台權會購買的政府採購標案需求書。在需求書中,出現以網域調取網路流量紀錄的「反求模式」,以及僅以時間調取的「大數據分析模式」,此種大規模調取形式,如何符合比例原則的要求,也是一大問題。
同場也討論與強制保存網路流量紀錄同時修法的M化車統計資訊,以及警政署跨機關來源大型資料庫的透明資訊。本次討論資料來源主要為警政署回應台權會政府資訊公開申請揭露的內容。同場與談人指出,後續應進一步釐清「建置」此類蒐用大量一般人民個資之政府資料庫的法律依據。
匿名資安研究員:科技偵查技術白話文
研究員說明從標案需求書以及政府資訊公開文件中看到的技術與流程設計。網路流量紀錄調取,可在嫌犯未知時使用「反求模式」調查嫌疑人IP及Port、網域、APP類型等資料;嫌犯已知時則使用「正向模式」,則利用固網識別碼、手機門號、線路編號、IMEI/IMSI等資料追查。另外也可看到中華電信的「4G/5G GMLC即時定位系統」提供警方追查目標門號手機位置等。
另外,透過系統取得通訊監察所得、IP監錄設備所得、通聯調閱資料與即時定位系統等資料後將進行異質資料整合分析,利用此類型之非網路流量取得之資訊進行橫向比對分析。此外,也可藉由流量比對,對使用者VPN資料進行分析。最後,研究員介紹2017年的其他研究,說明如何在不蒐集內容資料的情況下,仍能透過網路流量等Metadata(中介資料),得知網路使用者在哪一部電影或影集。
林俊宏:流量保存之法律討論
通訊保障與監察法之修法,允許檢察官為偵查犯罪與蒐集證據,有事實足認通訊紀錄或網路流量紀錄於本案之偵查有必要性及關連性時,除有急迫情形不及聲請者外,應以書面聲請該管法院核發調取票。然而,目前的條文規定,可能導致法官無從否決調取票之核發聲請。
同時本次通保法修法,對「網路流量記錄」採取舉例的方式定義,實質範圍不明確。對於新增訂的措施可能對人權產生的負面影響,行政院也缺乏具體的評估與說明。
陳舜伶:政府大型資料庫與個資法之省思
111年憲判13號判決(健保資料庫案),揭示大型資料庫的建立與利用需要有明確的法律依據,同時更要有組織與程序上必要的防護措施。從本次警政署應台權會申請政府資訊公開,揭露的大型資料庫蒐集、查詢個資的法律依據中,均使用個資法、組織法。這些僅是「框架性規範」,而未詳細規定其使用。建議後續應釐清「建立」資料庫的法律規範。
提升問責與公共參與需要的進一步資訊,以疫情期間的簡訊實連制為例,學術研究機構透過透過申請公開簡訊實連的統計資訊,進一步評估防疫措施的手段是否符合當下疫情的發展,或是使用過強的手段,蒐集過多的個資。如今因應詐騙犯罪制定的各項偵查手段,必要性是否充足,個資保存或調取對象的範圍設定如何才算合理,值得深思。
