COVID-19與隱私保護

在COVID-19 疫病流行期間，台灣使用了許多新穎的巨量資料與數據技術來進行接觸者追踪、社會距離、居家隔離/自主健康管理和疫病調查。而這些科技防疫技術被認為是台灣成功遏制COVID-19流行之重要因素，包括在感染者活動範圍廣泛且屬開放式公共空間時，通過手機訊號追蹤（甚至可能包括監控攝影機）收集感染者之日常活動路線資料（可能細緻到十數分鐘為單位），並將該資料公開給社會大眾，以便去過這些地方的民眾可以警惕並自我觀察是否有COVID-19症狀；或是利用民眾手機與基地台間之三角定位，建置電子圍籬，以監控居家隔離/自主健康管理之行蹤。雖然這些措施可能會減損隱私與個人資料保護，但政府在使用科技防疫技術上之緊急權力，卻得到台灣社會的普遍接受與信任，而其原因可能不僅單純是對疫病流行的恐懼，也可能包括政府維持密集與民眾之溝通與資訊透明公開，以及民眾對民主選舉與任命的專業官僚的信任。

然而，當台灣面臨2020年以來最嚴重的疫情時——5月13日至6月8日已有10,438例感染（包括本地和輸入病例），296例死亡——隱私問題卻再次受到關注。主要是因為政府進一步擴張其緊急權力之範圍、並再度擴大政府所宣稱防疫需要而需要被豁免個人資料保護的範圍；但對於豁免之範圍與目的，政府卻沒有提供更進一步的說明與解釋。例如，中央流行疫情指揮中心（指揮中心）在沒有通知民眾（個資主體）的情況下，便收集了萬華區（疫情爆發熱點）所有居民（無論其是否為潛在病例）的電話號碼和手機位置（從電信公司所收集操而來）等資訊，並將其提供給中華電信所屬實驗室，分析所有萬華居民的數位足跡，甚至分析其所瀏覽之網頁資料，並依該分析資料將所謂「高風險者」加以分類，並在他們的健保卡上加以註記。由於該措施不合理地擴大指揮中心的緊急權力和嚴重侵犯個人隱私，而受到社會與立法委員的質疑。由於台灣現在正面臨新一波 、且是最嚴重的COVID-19 感染疫情，並開始進一步緊縮並限制隱私保護，因此重新評估台灣在COVID-19疫情下對隱私保護的態度，是非常重要的。

台灣所面臨的第一個挑戰，是政府放寬隱私保護限制與允許更廣泛收集、處理、利用個人資料的緊急權力，其界線模糊不清。一般而言，政府依據嚴重特殊傳染性肺炎防治及紓困振興特別條例 第 7 條規定所被賦予的緊急權力，已被一些學者批評過於空泛且違反法律明確性原則；雖然在新興疫病的科學不確定前提下，不可否認政府防疫措施在適用法律明確性原則時需要一定的靈活性，而不可能期望所有防疫措施都是可預見的或直接在法律條文中明確規定。然而，在宣COVID-19被宣布為公共衛生緊急事件 後，已然超過一年，科學界對於COVID-19病毒與控制措施已有更多的了解，此時仍繼續維持特別條例廣泛且不夠明確的全面授權方式，同意政府得未經民眾同意使用其個人資料、或超出個人資料原始收集目而例外運用於疫病防治措施上，而未能制定更為細緻或明確之行政命令規範政府對於個人資料在疫病期間之運用——包括哪些個人資料被收集、用何種方式與工具收集個人資料、收集並利用個人資料之防疫目的為何——在法律正當性便可能越來越受到質疑與挑戰。換言之，政府並沒有隨著時間的推移、對COVID-19理解之增加，對特別條例進行調整、或以行政命令補充特別條例之不足，包括對於何時、何種條件下得正當授權政府採取限制隱私的措施以進行疫病防制，仍未能有明確且細緻之授權依據

第二個挑戰是，指揮中心未能全面披露收集了哪些個人資料、個人資料是如何收集與處理的、以及個人資料的使用目的。儘管指揮中心維持每日與社會就COVID-19之相關資料（如染病人數與最新防疫措施）進行更新與高度透明的溝通；但由於擔心民眾可能會找到作弊的方法規避政府對於其行蹤監控，因此指揮中心並不願意提供社會相對透明的科技防疫具體措施和操作機制（如指揮中心醫療整備組副組長羅一鈞便曾表示，「[天網]不是只有完全全只靠手機，所以我想我不能講很細，就是說好像講出去，那大家就知道怎麼樣，來逃這件事情」）。但問題是，如果沒有這些資訊，社會就無法對政府限制隱私保護的措施進行正當性的審查；更重要的是，由於特別條例所賦予的廣泛緊急權力和可能對隱私保護產生的嚴重侵犯，且鑑於政府收集個人資料的範圍、手段均可能遠高於平常時期的密度與強度，政府有必要對社會更詳細與公開地說明這些科技防疫機制之運作機制與收集個人資料的範圍，否則社會將沒有足夠的資訊確認政府是否濫用其緊急權力。

第三個挑戰是，台灣的個人資料保護框架中仍缺少一個獨立的個資保護機構，負責監督個人資料的使用並保護個人資料不會受到濫用。在台灣，國家發展委員會（國發會）被指定為負責解釋個人資料保護法與監督個人資料保護措施是否確實落實的機構；但國發會作為個資保護機構的獨立性卻受到質疑，主要是國發會同時還負責經濟、產業與社會發展等業務，而這些業務之發展往往需要廣泛利用個人資料，也使得國發會在個資保護與產業發展兩個政策目標上，可能出現角色衝突的混亂狀況。因此，儘管指揮中心 在實施隱私限制措施以對抗 COVID-19 時，試圖制定一些準則來平衡隱私保護和危機應對之衝突（如要求政府或商家因防疫需要所收集的個人資料不應用於其他目的，且應在 28 天後刪除）；但在缺乏獨立個資保護機關的前提下，便沒有人有足夠的權力或權威來評估或確保指揮中心所訂定個人資料保護準則是否符合資料治理和隱私保護的基本原則。更具體來說，在沒有獨立個資保護機構的情況下，如何解釋政府限制個人資料保護的防疫措施的「必要性」、如何確保該防疫措施對個人資料的限制受到獨立監督、個人在其權利受損時（如商家未在28日內刪除個人資料）可以向誰投訴等，仍不清楚，甚至可能又回到指揮中心做出解釋，不僅使得指揮中心陷入球員兼裁判的窘境，甚至可能導致違反隱私與個人資料保護的恣意解釋與濫權決定。因此，如台灣人權促進會便敦促政府在疫情時仍應慎重考慮設立獨立個資保護機構的必要性，以使該機構在疫病流行中對隱私與個人資料保護發揮關鍵作用，包括為政府擬議的緊急立法提供隱私保護建議、透過解釋幫助資料控制者（data controllers）尋求法律明確性等（可參考OECD所公布之Ensuring Data Privacy as We Battle COVID-19）。