文/台灣人權促進會
民進黨政策會執行長王義川27日在政論節目上表示,透過電信資料能比對國會濫權抗議現場民眾與519民進黨部前集會、今年初總統大選前晚造勢活動參與者群眾屬性之異同。姑不論其從事比對之具體實踐形式為何,王義川言論內容中所指涉的位置資料分析,已涉及個資目的外利用(或過度寬泛以致消費者無從得知的目的內利用)。台權會建請電信主管機關、數位廣告與行銷業者之主管機關、政黨,應釐清及說明包含手機信令分析、基地台位置分析、Beacon室內定位等資料蒐用現況、法律依據等,並檢視其已否落實消費者的知情同意與退出權利。
位置資料能透露個人或群體的政治傾向、宗教、性傾向、興趣與社交圈。即使去除姓名、門號,仍然能從位置軌跡,判定個人住處、工作地,推定職業、常聚集的群體。更別提若單純作為交通流量統計分析,理應只需要人流的總數,而不需要其餘諸如性別、年齡等結合基地台位置與電信使用者資料而來的人口屬性資料。
台灣電信資料從事商業利用已不是新聞,除了地方政府外,房地產、數位廣告等相關業者可藉由電信資料從事商圈分析、或從事廣告的精準投放,早已是公知之事實。從電信資料分析的應用層面也可以說明:只要資料具串聯能力,該項資料就不是經「去識別化」後的資料。
經歷過疫情,人民已從萬華註記案認識到,政府與電信業者是以位置資料與時間區分誰是高風險族群,且未告知資料主體即予以註記。當人民被掌握的生活資訊越多,被貼上的標籤也越多。即使電信資料的再利用為純商業利用,主管機關仍須釐清個人資料使用同意書當中的「去識別化」、「統計」、「行銷」等詞彙,是否足以讓消費者認知到生活的軌跡會被提供給第三方做精準投放,或從事集會抗爭等社會、政治活動的分析。主管機關與業者則須釐清商業利用的電信資料如何釋出?如何與其他業者聯盟合作分析?如何杜絕任何有資金的單位(比如中國、詐騙集團、資料掮客等)購買取得後,進而再自行與其他資料進行串聯分析?
本次事件凸顯台灣不少資料蒐用者長期存在「只要資料不是個資,就能愛怎麼用就怎麼用」的腐敗邏輯,既無視於移除姓名或身分證字號本身,並不等於讓資料變成「不是個資」,也無視於「去識別」本身也是一種需要取得合法基礎的一種資料處理方法。再加上,Metadata(關於資料的資料)仍有間接識別可能,當然也是個資法所規範的個資,其處理、利用仍須受到個資相關規範的相當檢視。
回歸正常的資料治理,主管機關應主動掌握相關業者蒐用個資的法律依據,同時檢討服務條款當中,同意蒐用資料的類別與目的是否足夠清晰,並明確落實事前知情同意與事後控制等個資權利保護機制。只要仍有拼湊出個人圖像的可能,就不是「去識別化」,至多僅能說是資安保護手段之一,不能取代個資保護的規範基礎。對於「去識別化」定義的理解過度天真,會有架空個資保護規範的風險。
預防操弄、貼族群標籤、分化群眾、建構強健的民主基礎,隱私權補破網的工程需要各政黨與主管機關正視,個資保護的漏洞正隨著時間越破越大,個資串聯與利用滲透只會愈加綿密。無損於民主的正規資料分析與商業利用,必須仰賴落實個資保護與健全配套的作為,而非一再便宜行事,天真地解釋「去識別化」以求開脫。