蕭奕弘/台北地方檢察署檢察官
元旦期間的五月天演唱會,中央流行疫情指揮中心透過天網系統(後來改名為電子圍籬2.0)找到幾位自主健康管理者,違規參加跨年活動,引發天網或電子圍籬2.0是否針對全民監控的疑慮。
依照指揮中心發言人莊人祥與指揮中心事後說明,「電子圍籬2.0」對象是「居家隔離、居家檢疫、自主健康管理」的民眾,不是追蹤所有人手機。追蹤方式不是手機內的GPS,而是透過手機與大型活動周圍基地台連線情形,來判斷手機使用者是否出現在預先劃定區域的電子圍籬附近。
莊人祥表示,經指揮中心法制組確認依照《傳染病防治法》規定,可進行相關的防疫措施,自主健康管理也是以《傳染病防治法》作為規範依據。
當手機開啟時,會透過基地台收取並傳送訊號,來撥通電話與使用網路。藉手機使用基地台的位置、訊號強弱,可以大略判斷出手機所在位置。「電子圍籬2.0」應該是透過這樣的方式,來判斷「居家隔離、居家檢疫、自主健康管理」這三類民眾的手機,是不是出現在預先畫出的場唱會區域。
手機位置雖然不涉通訊內容,不是《通訊保障及監察法》規範的範圍,但手機位置可識別出個人行動足跡,卻是不折不扣的個人資料,必須符合《個人資料保護法》相關規範,才可以蒐集、處理跟利用。
手機的基地台位置是由行動通訊業者所蒐集,蒐集目的原是為了提供使用者通訊服務,之後利用個資的方式,也應該在這個特定目的必要範圍內。當行動通訊業者用以和電子圍籬比對,並提供給指揮中心,已和原始蒐集目的不同。
個資法應避免空白授權
個人資料在原始蒐集目的外被利用,受到較為嚴格的使用規範。對屬於非公務機關的電信業者而言,目的外利用的規定在《個人資料保護法》第20條第1項但書。依照前述發言人的說明,是以《傳染病防治法》規定主管機關可以進行「防疫措施」,來作為目的外利用個人資料的依據。
首先,必須先說明的是,《個人資料保護法》第20條第1項但書第1款提及法律有明文規定時,可以目的外利用個人資料。那麼,《傳染病防治法》規定主管機關可以進行「防疫措施」,或是《嚴重特殊傳染性肺炎防治及紓困振興特別條例》規定指揮官得實施必要之應變處置或措施,是否可以當作這裡的「法律有明文規定」?
應該是不行的。因為,上面的規定雖提到主管機關可以進行諸多防疫措施,也有避免掛一漏萬的概括條款,但都沒有「明文」規定到個人資料的目的外利用。
其次,指揮中心還可能以第2款「為增進公共利益所必要」作為個資目的外利用的依據。但就如同大法官在2005年做出的「釋字第603號解釋」按捺指紋案,許宗力、曾有田大法官提出的協同意見書指出:「電腦處理個人資料保護法(個人資料保護法前身)第8條明文容許政府機關對個人資訊得為特定目的外之使用,且所規定特定目的外使用之要件,諸如『有正當理由而僅供內部使用者』、『為維護國家安全』與『為增進公共利益者』等,也極為空泛、概括,實際上幾乎與空白授權無異,有使資訊隱私權有關『禁止為法定目的外之使用』之要求淪為具文之嫌。」
換言之,以「增進公共利益」作為例外事項,必須特別嚴格,否則《個人資料保護法》的限制規定,都會在公共利益的大旗下被架空。更不用說,《個人資料保護法》在2015年修法之後,立法者特別在「增進公共利益」的條文後,加上「必要」二字。更明白表示,以「增進公共利益」為由的目的外利用,必須特別限縮在「必要」的情形。
防疫與知法守法皆重要
最後,第3款規定「為免除當事人之生命、身體、自由或財產上之危險」,可不可以說是為了免除其他參加者的身體危險,而目的外利用個資?同樣是不行的,因為條文中被免除危險對象是指「當事人」,行動軌跡個人資料的主體,也就是這些被監控的「居家隔離、居家檢疫、自主健康管理」民眾,並不是指其他參與演唱會的人。
2018年,中國公安在張學友演唱會上,透過名為「天網」系統逮捕數名通緝犯,以現場無處不在的監視器,使用人臉識別的技術,比對出通緝犯的身分。
兩個天網,一個用照片資料庫與監視器識別通緝犯,另一個以手機門號跟基地台位置識別「居家隔離、居家檢疫、自主健康管理」的民眾,雖然比對的資料庫範圍不同、技術有異,同樣都要依法為之。
防疫很重要,知法守法也是。
