科技防疫與個資保護

＃科技防疫 ＃隱私保護 ＃個人資料保護

§ 編輯部

數據技術與巨量資料之應用在此波COVID-19疫情，被許多國家廣泛用來作為防疫之重要工具，但卻也同時引起是否侵害或限制隱私權與個人資料保護之重要爭議；尤其技術發展往往相對單純，而各國所面臨之真正挑戰往往是在調和技術與權力之衝突。以英國接觸者追蹤程式之發展為例，在疫情爆發初期，英國便嘗試發展接觸追蹤軟體（contact tracing app），但卻引起社會對隱私保護之廣泛擔憂（BBC: UK coronavirus app 'must respect privacy rights'），2020年4月英國因隱私理由拒絕apple與google所發展之軟體（BBC: NHS rejects Apple-Google coronavirus app plan），但2020年6月又在apple與google之軟體基礎上另行發展出政府版contact tracing app（BBC: UK virus-tracing app switches to Apple-Google model），並於2020年9月正式發布作爲防疫用途（GOV·UK: NHS COVID-19 app launches across England and Wales），但2021年4月間apple與google又因對該軟體之隱私疑慮（NHS將其修改為不需經使用者同意後即可自動更新軟體）而暫停其更新（Guardian: Apple and Google block NHS Covid app update over privacy breaches）。

而這起事件所表現出的便是防疫與隱私間複雜之衝突，而英國政府並非以恐懼之方式操弄民眾對contact tracing app之接受程度，而是嘗試藉由大量之資訊公開透明方式取得社會共識與信任，如在NHS網站上便可看到對該軟體運作模式之說明、蒐集資料之內容、需要同意之項目等（National Cyber Security Centre: NHS COVID-19: the new contact-tracing app from the NHS），對於政府取用個人資料亦透過privacy notice通知社會大眾（GOV·UK: Guidance: NHS COVID-19 app: privacy notice）；同時，英國政府亦承認平時之隱私保護法制無法完全適用於緊急防疫時間對資訊之蒐集、處理與利用需要，因此也透過大量指導準則之制定以規範政府與企業在contact tracing app可能面臨之管制問題。

但相對而言，台灣社會在contact tracing app（其他亦可擴張至電子圍籬或QR code實聯制）上之討論卻相對有限，這對於科技防疫與隱私保障間之政策平衡並沒有助益。

（一）在科技防疫與隱私保障之拉扯中，必須要先承認衝突存在之可能性，而非一味否認個資已被利用之事實，方能真正在衝突中找到平衡點。但以今日政府所推出之「簡訊實聯制」而言，雖然政府一直強調「不需要使用個資」，但在簡訊傳送至1922時說明仍會「留下聯繫資料」以方便日後必要時之通知（蘋果日報：5秒鐘護一生！唐鳳出手推「簡訊實聯制」），而該聯繫資料為何？是否屬於「可間接識別」之個人資料？卻又沒有見到政府更進一步之說明。換句話說，在疫情緊繃之情況下使用個人資料應是具有正當性的，但對於是否已經使用個人資料卻也同樣需要正面面對，而不是將非個人資料之範圍無限擴張，以迴避隱私與個人資料保護之規範。

（二）需要有基本倫理與法律規則作為規範基礎。參考各國就COVID-19疫情中對隱私與個資保護另訂之規範（COVID-19: Data Privacy & Security Guidance on Handling Personal Data During a Pandemic (Global) Tracker），可以發現各國均嘗試在正當程序與合法性基礎上，明確化在疫情中對個人資料之運用；但相對而言，台灣之法制規範卻相對偏少，甚至均回歸到嚴重特殊傳染性肺炎防治及紓困振興特別條例第7條與第8條之帝王條款；但類似之管制架構對於隱私保障之程度卻明顯不足，甚至可能會因為缺乏明確標準，而使得民眾對資料處理產生質疑，反而不利於防疫（台權會：肺炎疫情引恐慌：電子監控的「民主內傷」誰來顧？）。

（三）需要有透明之資訊揭露機制與論責機構，方能建立社會團結（solidarity）之基礎。但以政府近日大力鼓吹民眾安裝之台灣社交距離app而言，雖然疾管署網站上有常見問答集提供說明，但對於該軟體操作模式之解釋卻仍難稱適當具體，而這對於民眾理解該軟體可能對其權利之影響程度、或科學家適當檢視該軟體是否有漏洞，並不適當。即令在英國，公開之資訊已相對完整，但仍有學者批評不夠充分之資訊仍無法使社會對contact racing app有足夠認識，而可能導致個人資訊之流出（可能被駭客攻擊，或是不當地傳送至電信商（ZDNet: Contact-tracing apps: Android phones were leaking sensitive data, find researchers）。

（四）在英國contact tracing app相關爭議中，其中一個問題便是應採中央集中式（centralized system）或分散式之資訊處理，而歐洲多數國家多因資安疑慮而不採取前者；但台灣政府對此顯然也缺乏說明、社會亦沒有討論，導致「簡訊實聯制」之推出，在方便為前提之考量下，便直接以中央集中式（傳送至1922）之方式蒐集資料，但相關風險似乎未明。

其實在各國之討論中不難發現，沒有國家或學者否認contact tracing app在防疫中之重要性（ZDNet: Conntact-tracing app averted around 600,000 COVID infections, says study），但如何在科技防疫與隱私保障間認識衝突並取得平衡，可能是台灣在這波疫情下仍要學習的艱難課題。