本報告為回應政府繳交之兩公約國際審查國家報告之民間團體平行報告。各點次可對照第四次國家報告回影公民與政治權利國際公約與結論性意見閱讀。本報告已於2025年10月提交人約盟彙整遞送法務部。有關數位人權平行報告的註腳，請見完整報告。

公政公約－第17條 隱私權

保障人民私生活

回應218. 涉及以法律限制隱私權之法律缺乏完整盤點

國家報告並未完整盤點涉及限制隱私權的法律，也並未釐清該等限制是否符合比例原則，以及是否提供隱私受侵害之當事人合理可行的救濟。台灣政府對網路平台業者調取使用者個資的法律分散在不同法規，且並未有事後通知當事人、救濟等措施，舉例來說，可見《詐欺犯罪危害防制條例》第37條。

科技偵查（特殊強制處分）權利救濟有闕漏

2024年《刑事訴訟法》修法，新增以全球衛星定位系統等技術追蹤位置、以科技方法調查行動通訊設備位置（又稱為IMSI catcher、M化車）、非實體侵入之科技方法監看、攝影空間內之人物，於第11-1章規範。規範中允許司法警察於急迫時逕行實施，僅需於事後向法院聲請補發許可書，然而在第153-10條的救濟措施中，卻僅提及法官、檢察官所下的處分，而未討論如何對司法警察逕行實施的特殊強制處分進行救濟。

回應219. 通訊監察中的調取案件超過9成未經法院許可

國家報告僅提到監聽內容的「通訊監察書」，而未提及台灣通訊監察實務大宗的「調取票」案件。以法務統計公開的年度統計資料進行計算，2023年法院核准、部分核准的調取案件件數只有3,769件，佔比為3.5%，而檢察官同意依職權調取加上檢察官同意司法警察調取的件數共有102,809件，佔比高達96.4%。

通訊監察及保障法增加強制無差別保存網路流量資料，具違反比例原則之嫌

2024年《通訊保障及監察法》修法，增加「網路流量紀錄」為可調取類型，並放寬可執行通訊監察的案類限制，目前調取「通訊使用者資料」已無案類限制，且司法警察可逕行調取。本次修法最大的問題在於強制要求電信業者事先無差別保存網路流量紀錄「至少一年」，未設刪除期限，更未針對特定情形或案件進行保存，而要求保存所有人之上網紀錄。《通訊保障及監察法》有三種可調取類型，包含網路流量紀錄、通信紀錄、通訊使用者資料。其中網路流量紀錄的定義及涵蓋「通訊設備識別資料、網際網路位址與位置資訊、通信時間、連線用量與封包數量、網域名稱、應用服務類型及協定等」，即使不是通訊內容，網路流量紀錄已能得知個人所連上的網站、APP服務，長期累積將足以進行個人剖析。根據法務部調查局開出的「網路流量紀錄後端系統建置」採購案招標規範文件更提到系統必須具有大數據分析功能，以「針對全國性網路流量紀錄所需大數據分析，必須應對『僅依時間為調取條件』所衍生之大量資料之大數據演算與訓練」，顯示從強制保存至少一年到可依時間大規模調取並進行大規模分析，有違反必要性、比例原則之嫌。

調取案件缺乏通知義務，影響救濟機制可行性

沒有通知，就沒有救濟可能。調取類案件是《通訊保障及監察法》中執行通訊監察的大宗，也是大量不受法院核可，僅憑檢察官與司法警察發動的類型。此類案件目前通知義務仍缺乏，且未有公開統計。目前僅有2024年新增的「網路流量紀錄」調取有具有「通知」的規範，然而規範中卻排除調取「通訊紀錄」時所得的部分資料為網路流量紀錄、用戶或電信使用人同意調取。此種排除條件，將大大降低政府實際通知受影響人的可能性，強化以其他不須通知當事人的調取類型包裹網路流量紀錄，繞過事後通知當事人的義務。《通訊保障及監察法》中不同措施的通知義務落差可能實質架空當事人的權利救濟。

回應220. 情報機關發動通訊監察缺乏公開統計且法律不明確

國家報告僅討論傳統監聽的「通訊監察書」而未討論蒐集數位生活中各項上網記錄的「調取票」，避重就輕。《通訊保障及監察法》對於情報機關調取通信紀錄、網路流量紀錄或通訊使用者資料，全數由情報機關自行向業者調取，沒有明文說明審核機制與程序，也未提及法院的獨立監督。同時情報機關執行的所有通訊監察均未有公開統計機制，這在2017年《兩公約第二次國家報告國際審查會議結論性意見與建議》中，已被審查委員提出，且至今仍未有相關統計。

個人資料之保護

回應223. 個資保護法中的權利未明確落實

依據公政公約第16號一般性意見：「人人都應有權以明白易解的方式確定是否個人資料存放在電腦資料中，如果是這樣，那麼有哪些資料，其目的為何。人人也都有權確定哪些政府機關或民間個人或機構控制或可以控制其檔案。」這揭示著隱私權在當代資訊社會涵蓋個人對其個資的控制權，以達到資訊自主，甚至資訊自決。台灣個資法保障查詢、刪除等相關權利，亦有規定目的特定、符合法定要件等原則，然而實際上卻出現該等權利過分限制（例如224、230提到的健保資料庫案），甚至毫無罰則或程序工具要求違法的機關確實改正。比如個資法第5條，規定蒐用個資的必要原則與目的特定原則，實際上整部法律卻沒有違反這一條的罰則，導致無論在政府機關還是民間都普遍存在浮濫蒐用個資的情形。

建議：

• 個資保護機關應要求目的事業主管機關定期檢視、抽查相關產業、公部門進行一定規模資料蒐用是否嚴格落實個資法之情形，包含各項資料蒐用之合法蒐用事由、如何符合個資法第5條規範的必要性、特定目的原則，以及依資料主體要求執行個資法第3條的查閱、刪除個資、停止利用等多項權利的統計情形。

回應224. 憲法判決要求的獨立監督機制至今仍未達成

健保資料庫案憲法判決要求於2025年8月建立的獨立監督機制，可以分為內部獨立監督與外部獨立監督兩種相輔相成的機制討論。目前預計負責外部監督的「個資保護委員會」並未於2025年8月如期成立，行政院與立法院也均未將其視為重要組改與法案。成立獨立個資保護機關同時為國家人權行動計畫的任務，政府卻從原定時限的2024年拖延至2025年，方才公布行政院院版法案。院版條文對於個資保護委員會的設計，更難以謂其獨立，理由如下：

1. 個資保護委員會委員組成，可由有關機關人員兼任。這將造成利用個資或者推動蒐用個資政策的機關，將有可能自己監督自己的局面，難以達成外部監督。
2. 個資保護委員會為三級機關，意思為在機關資源以及首長的層級矮於蒐用資料的部會，加上個資法修法並未給予個資會充足的程序工具，未來個資會將難以有足夠法律工具與資源監督二級機關的資料蒐用，以及難以介入不利於保障人民隱私的資料發展政策。
3. 負責從事內部監督的個資保護長，竟是由各公務機關的首長指派，其實與現狀無異，而個資保護業務與資安業務性質不同，前者涉及對是否蒐用個資、如何蒐用個資的決策與各項判斷，因此才對於獨立性有高度要求。

建議：

• 個資保護外部獨立監督機制（個資保護委員會）主要決策成員（委員），不得由有關機關人員擔任。
• 個資保會外部獨立監督機制（個資保護委員會）在層級、資源上不可低於從事大型個資蒐集或處理利用的部會。
• 政府應制定法律，使個資保護委員會具有充足的程序工具以執行獨立監督。（例如：要求啟動個資保護衝擊評估、禁止違法的公部門持續蒐用個資等。）
• 公務機關的個資保護長必須由個資保護委員會指派，並對個資保護委員會報告。

回應225. 近年修法僅處理私部門罰則，而對公部門違法束手無策

2025年行政院為回應111年憲判字第13號判決，提出個資法修正草案，立法院於10月三讀通過，但對於防止公部門違反個資法的措施，缺乏對機關違法決策究責的機制，也無禁止違法機關繼續蒐用個資、刪除違法所得資料的措施。行政院的個資法修正草案，僅賦予個資保護委員會公布未違法仍未改善的公部門的權力，反觀我國在其他法律（諸如勞動基準法）上，賦予主管機關對違法的公部門不只是公布機關名稱，至少還有處以罰鍰的權力。

建議：

• 政府應建立公部門違法個資法的改正措施，並賦予個資保護機關相應之程序工具，以有效停止隱私權侵害。

回應226. 國家數位身分計畫

雖然數位身分證計畫已在缺乏法律保障，與各項隱私與資安問題中暫停數年，但近年仍在推動其他的國家數位身分計畫。數位發展部自2024年起開始規劃的「數位憑證皮夾」（一般稱為數位皮夾），至今仍未公佈保障隱私的法律規範。即使數位皮夾不同於先前的數位身分證計畫採取強制持有，由於其技術特性與使用情境涉及人民在廣泛的公共服務與民間生活所需應用場景中的身分驗證，涉及大量個資傳輸與數位足跡留存，同時亦有提升線上線下實名認證場域增加的風險，以及公共服務或日常服務要求非得以數位方式進行身分查驗對特定族群（如：長者、無法買到可支援數位皮夾的手機、不願意使用的族群）的服務排擠所造成的不平等。近年相關案例有，2022年台北市政府要求市民必須註冊台北通APP才能近用多項公共服務的案例。

台灣身分證字號一人一號，持續一生，在多種跨越公私部門的場域中使用

台灣發展國家數位身分計畫，必須更高度審視法規是否完備，以避免易於使有心人士串聯跨越在政府不同機關，以及民間消費的各種外洩資料，進行剖析(profiling)或其他濫用行為。台灣歷經社會嚴密監控的歷史，不同執政黨都曾推出過「未有明確法律保障人民隱私」的數位身分計畫。儘管歷史上國家已經歷1998年的國民卡、2021年的New eID數位身分證兩次重大的社會反彈並導致失敗，但新政府規劃數位皮夾政策時，除了記取不能強制的教訓外，仍未打算制定明確法律，以保障人民在公約中保障的隱私權中對個人資料的自主控制，以及不受政府與私人業者監測私人生活的自由。

針對包含數位皮夾政策在內的數位身分計畫建議：

• 進行數位身分計畫的各個階段，應進行個資衝擊風險與人權風險評估。
• 政府應主動公開數位身分計畫發展各階段的標案進行成果，而非僅製作宣傳網頁。
• 政府應於數位身分政策正式上路前，制定明確法律保障人民隱私，防止浮濫蒐用個資、擴大線上線下實名身分驗證，以及強行綁定數位服務造成的不平等。（例如：歐盟有相關法律規範。）

個人資料庫

回應230. 健保資料庫案憲法判決結果未被落實

全民健保為全數台灣人必須加入的強制保險，政府蒐集就醫資料以計算給付費用，在此原始蒐集目的之外，政府又將健保資料庫在未取得病人同意的情況下用於第三方研究，並拒絕病人退出目的外利用的要求。政府持續以「資料均已去識別化」規避建構明確的法律規範，且實際尚臺灣個資法定義中的「無從識別」仍能將個人的就醫資料與其他來源的資料，比如稅務、勞保串聯。民間團體聯合發動要求退出目的外利用的訴訟後，政府才將第三方研究限縮在學術研究機構，但仍無視產業與學術機構合作的情形。憲法法庭於2022年做成111年憲判字第13號判決，認定健保資料庫目的外利用缺乏明確法律依據與規範，要求在2025年8月前完成修法。直至2025年10月修法仍未完成，且草案內容舊瓶換新酒，衛生福利部維持過去的制度設計，球員兼裁判，沒有達到憲法判決的獨立監督要求。

衛生福利資料目的外利用無明確法律授權，違反憲法判決

衛生福利資料原先也在衛福部於2024年預告的草案中，但在2025年送入立法院時，卻全盤移出法案，且沒有法律規劃的時間表。衛生福利資料內容龐雜，涵蓋家暴受害者的資料，且可與健保資料進行串聯。健保資料庫案憲法判決揭示：「國家將強制蒐集之個人健保資料進一步儲存、處理，建立成資料庫，甚至對外傳輸，作原始蒐集目的外之利用而言，因已完全脫離個別資訊主體控制範圍，是如何確保該業已逸脫個人控制範圍之個人健保資料，不受濫用或不當洩漏，而導致資訊隱私權之侵害繼續擴大，國家亦有義務以法律積極建置適當之組織與程序性防護機制，以符法律保留原則之意旨。」

基因資料蒐用與國際傳輸的隱憂

台灣基因資料隨著精準醫療研究、基因檢測，以及2024年健保署將「實體癌/血癌次世代基因定序檢測(NGS)」納入健保給付，再次浮現醫療以外用途的知情同意、國際傳輸安全性等問題。首先是，2024年政府曾規劃醫院必須取得病人同意上傳基因定序資料，才能取得保險給付，問題是同意上傳代表病人必須同意其基因定序資料可用於廣泛的其他研究，且醫生與病人權力不對等，可能形成以治療綑綁研究的情形，形成醫療不平等，後續在法律學者與民間團體的反對下停止強迫取得上傳同意的規劃。儘管如此，無法落實知情同意的隱憂，病人在不知情的情況下，基因定序資料被用來從事不知情的研究仍存在，因為目前基因資料的研究利用的規範並沒有因其不同於身高體重不斷變化的恆定性而高於其他類型的病歷資料。知情同意的實務操作，也仍須明確告知患者，就算不同意上傳資料庫提供研究，也不會影響其接受醫療的權利。第二個問題是，在台灣基因定序資料庫本身並沒有如同「人體生物資料庫」的法律保障強度，舉例來說，由一定規模基因資料組成的台灣精準醫療計畫就不是「人體生物資料庫管理條例」規範下的人體生物資料庫。該基因資料庫因國際傳輸與將參與者與之分享的基因資料轉作商用等問題不斷而停止收案，本事件凸顯法律、保障與監督規範不完善，將對資料主體造成的危害。不只是國家資料庫、醫院、研究用資料庫，商業基因檢測公司也存在資料國際傳輸的問題，例如商業公司把在台灣取得的基因資料傳至中國。

建議：

• 政府盡速應盤點公部門大規模資料目的外利用的情形、法律依據、是否符合必要性（資料最小化原則）與比例原則、獨立監督機制、公告或通知當事人可踐行個資法保障的權利（也是公政公約第16號一般意見保障的權利），並補足闕漏的部分。
• 政府應落實111年憲判字第13號判決的要求，建立完整的獨立監督機制。此機制包含內部與外部監督。
• 政府應落實強制蒐用個資的法律保留原則，且依循個資法建立完整的查閱權、停止利用權、刪除權等，並充分告知，以讓民眾得以實際對其個資有控制權。
• 衛福部應明確說明衛福資料利用的立法規劃，以及相關時程。應規劃在衛福資料與健保資料內多項類別中，依敏感程序區分必須取得知情同意的資料類型，而非採取全部強制目的外利用的作法。
• 行政院與立法院應將涉及111年憲判字第13號判決的相關法案列入優先討論，以挽救台灣長期法律真空、缺少個資保護獨立監督機關、個資浮濫蒐用等問題。
• 衛福部應嚴格區分基因資料用作治療與其他利用（包含研究）的知情同意程序。

戶政系統合法介接與接收機關列表至今未公開

2022年台灣2300萬人的戶政資料被駭客於網路上販售，從外洩的資料類別涵蓋身分證字號、兵役別、原住民族身分、家庭狀況、遷入時間等資訊，可確認其原始來源為內政部的戶政系統。這件擴及台灣全人口個資外洩的事件發生已三年，至今內政部仍未公開戶政系統合法提供個資給予哪些機關，嚴重違反「公政公約第16號一般性意見」中「人人有權確定哪些政府機關或民間個人或機構控制或可以控制其檔案」的隱私權意旨。由於內政部表示戶政系統並未受駭客攻擊，台灣人權促進會於2023年向內政部申請政府資訊公開，請內政部公開其依法提供介接戶政個資的公私部門清單、稽核情形等文件，內政部以偵查不公開及文件不存在拒絕；2024年台權會提告，2025年一審敗訴，目前仍在上訴中。

建議：

• 內政部應盡速公布戶政系統合法介接與接收機關清單。

電信資料商業利用合法蒐用事由不明，且遭政治人物分析集會遊行參與人

2024年一位政治人物（現為立法委員）公開表示使用基地台位置資料，分析兩個不同時間地點的大型集會遊行的參與者族群。此種技術常見台灣的電信資料商業利用，即使電信業者聲稱資料均已「去識別化」，但仍有與電信業者合作之數位廣告廠商稱可將電信位置資料與其他消費者資料、線上活動資料串聯，甚至歸戶至特定個人裝置。同時也須注意「去識別化」僅僅只是安全措施，並非業者可以合法利用個資的法律事由，業者將個資處理為去識別化，本身也需要合法處理事由。同時，台灣個資法規定的「去識別化」僅僅只有「假名化」的程度。國家通訊傳播委員會至今未釐清電信業者將消費者的電信資料商業利用，甚至與第三方業者合作的合法蒐用事由，甚至以資料已「去識別化」開脫，台灣人權促進會於事件同年個人資料保護委員會籌備處告發，但因該事件個資法主管機關仍為國家通訊傳播委員會而遭轉文，後國家通訊傳播委員會仍在未說明電信資料商業利用的個資法合法蒐用事由下，表示業者無違法。國家通訊傳播委員會無視人民線下隱私（位置）與線上足跡串聯，且無具體說明依據個資法的哪一項合法蒐用事由，放任業者無視消費者隱私，逕行剖繪族群，對用戶貼標籤。

警政相關大型資料庫

警政系統頻繁遭濫查，甚至出現警察與犯罪集團勾結，負責查詢個資。監察院雖於2025年對警政署、台北市政府警察局提出糾正，並在調查報告中提出多項建議，但針對警政單位持續建立的多個涵蓋不同來源的警政資料庫，仍欠約足夠的問責機制。從112年警政工作年報中可得知，警政相關系統除了民眾熟悉具有戶政、車籍資料的系統外，另外至少還有串聯「其他單位等資料來源，完成 65 項資料來源、54 億餘筆資料整合」的「智慧分析決策支援系統」；以及「來源包含社群、金融、虛擬通貨及網路商店交易資訊等」的「AI 福爾摩斯數位情資處理機制」。

公部門發展或使用人工智慧

如同台灣公部門使用人臉辨識技術缺乏透明問責，且沒有揭示法律依據與相關規範，台灣公部門發展或使用其他人工智慧技術，也是同樣的作法。公部門開發或使用人工智慧，可能涉及蒐用人民個資進行訓練，或是仰賴人工智慧技術進行決策。若公部門沒有對人工智慧的開發、訓練以及應用採取足夠的人權影響評估、個資保護衝擊評估，並建立適切的資料治理、監督、救濟機制，將可能對隱私權、平等權等不同權利產生負面影響。目前已知公部門發展人工智慧的情況至少有：

1. 法務部「受保護管束人再犯風險評估智慧輔助系統」，但其監督機制不明。
2. 衛福部健保署、國家衛生研究院與Google合作開發糖尿病風險預測AI，問題是其使用的資料為國人的健保資料，此批均為未取得當事人同意，以公共利益限制當事人權利強制提供第三方研究利用的醫療資料。該計畫於2024年宣布，此期間正落在在2022年健保資料庫案憲法判決認定健保資料目的外利用缺乏明確法律依據，必須完成修法的期間。該判決要求政府於2025年8月前完成立法修法，並至少須提供當事人踐行停止利用權，以及建立獨立監督機制。然而衛福部卻在尚未允許人民申請停止將其醫療資料提供給第三方研究利用，也還未完成任何修法的期間，繼續從事違反憲法判決意旨的個資利用。

建議：

• 使用資料之前，政府至少應與公民社會一同評估對人權的影響，並公開計劃。
• 當開發涉及敏感資料（例如健康資料）或大量個資（例如國家資料庫）時，需要建立明確的法律規範、基本權影響評估和保護機制。
• 蒐用資料時，政府應尊重資料主體的資訊自主。政府有必要告知資料主體其保護個人資料的權利，並努力提升人民行使這些權利的可及性。這些權利包括但不限於刪除、查閱以及退出（停止利用）。
• 當開發涉及目的外利用，即超出原始目的處理資料時，政府應尋求自由、事前的知情同意（也就是不能強迫對方同意，若個人拒絕同意，就必須為相同治療支付更多費用，那就是強迫同意）。如果存在巨大的公共利益需要使用這些資訊來實現，那麼政府就必須建立法律框架與程序，來確定公共利益的範圍，以及區分資料利用的急迫與必要性，讓資料利用者在特定情況下緩和取得當事人同意的義務。在此情況下，退出權成為當事人得以控制其個資、保障隱私權的最後僅存途徑。

公政公約－第19條 表現自由

限制言論自由之法律

回應242. 缺乏對網路內容管制的法律盤點

國家報告的內容從上次公約審查前的會議，至今毫無新增。公民團體屢次反映限制言論自由的法律不單只有列表上所述內容，還包含多種管制不實訊息或謠言（如社會秩序維護法第63條、傳染病防治法第63條），以及管制網路內容的法律。2025年初的媒體報導指出，政府在管制電子菸商品時，要求網路平台以關鍵字審查商品內容，因「糖果」遭列入審查關鍵字，以致網購平台曾無法出現此二字。

建議：

• 完整盤點台灣限制言論自由之法律、實務作法，並評估正當程序、透明問責與救濟機制。

兩公約第三次國家報告結論性意見

59-60點 （COVID-19疫情）

回應102. 傳染病防治法修法草案並未處理疫情期間電子監控帶來的醫療不平等與潛在功能蠕變問題

2024年預告的傳染病防治法修法草案，在第52條之1新增對隔離者或檢疫者採取科技設備得知其行蹤，以及公布違反隔離或檢疫規定者個資的法律授權。然而，對於此等以科技輔助的電子監控所產生的個資，卻無明確程序要件、刪除期限、告知當事人如何救濟、禁止目的外利用，以及防止科技監控常態化等規範。因臺灣個資法容許政府將已蒐集到的個資從事目的外利用的條件寬泛，政府已有將各類人民個資以法定職權，或公共利益進行研究之名，未經當事人同意即利用的前例（健保資料庫案111年憲判字第13號判決），明確禁止疫情期間特殊緊急情況下蒐集個人生活足跡用於原始特定目的以外，有其必要。疫情期間政府承諾簡訊實聯制取得的人民個資，將定期刪除，然而事後審計部卻發現，資料並未全數刪除且政府未落實外部稽核。除了電子圍籬、簡訊實聯之外，疫情期間政府至少還曾採取要求電信業者提供過去造訪特定地區民眾的個資，進行發送「類細胞簡訊」，並於無告知當事人的情形，逕行以電信資料分析結果認定特定當事人為高風險族群，對其進行健保卡註記，間接造成部分民眾被醫療機構拒絕就診。然而指揮中心卻認為依個資法，以電信資料分析並註記個人健保卡，並不須告知當事人。

建議：

• 疫情中特殊緊急情況下的科技／電子監控措施，不應常態化，其取得資料禁止目的外利用。
• 政府必須建立特殊緊急情況下必須使用科技／電子監控的人權風險評估程序、個資衝擊評估程序、執行之程序要件、刪除期限、告知當事人救濟方式、定期評估手段必要性與比例原則、落日條款。

85點 （提高使用臉部辨識技術透明度）

回應145. 146.

國家報告之說明並未回答結論性意見中的公部門使用臉部辨識技術的透明度、法律依據等建議。無拘束力的指引無法有效防止濫用生物特徵資料，也無法未無明確法律依據的人臉辨識應用提供授權基礎。例如於2021年遭員警濫查個資的M-police人臉辨識功能暫停使用，目前仍未有明確法律依據與規範。

建議：

• 請國家發展委員會與數位發展部公布國家報告所提及之「公務機關使用人臉辨識技術情形調查」結果，並加上各機關使用人臉辨識技術之法律依據、保障隱私權之法律規範盤點。
• 請數位發展部公開「公務機關運用人臉辨識指引草案」供民眾檢視。
• 暫停未有明確法律依據與規範的公部門人臉辨識應用，以待法律規範完成。