文/台灣人權促進會
行政院於5月9日公布「打詐新四法」,送入立法院審議,草案涵蓋《通訊保障及監察法》、《洗錢防制法》之修法,以及新法《詐欺犯罪危害防制條例》(下稱詐防條例)、《科技偵查及保障法》。立法院政治人物也不乏公開表示,將力拚上述法案於本會期(也就是7月16前),完成修法。然而,本次修法涉及多項賦予「政府與業者」蒐用更多個資、管制網路內容的手段,牽動「每個」使用網路、電信服務的國民,相關法條中保障個人得以提出救濟、公民可監督相關執法之措施仍有所不足。本會建議立法院審議相關法案時,改善下列措施,以彌補現行草案之疏漏,預防個資侵害以及變相哺育由取得個資叢生的詐騙型態。
《詐防條例》允業者防詐致損免賠,卻未提出救濟措施
從行政機關可直接要求網路接取服務提供者停止解析特定網域,到要求電信業者使用政府「指定資料庫」(涉及戶役政、警政、出入境之個資)核對民眾身分,《詐防條例》具有多種不同的措施,以期待能防堵詐騙。然而,對於不同防詐措施,可能產生的損害(諸如個資濫用、外洩、錯誤封網),不但沒有明訂申訴與救濟機制,還賦予業者通盤「免負賠償責任」以及「免除業務上應保守秘密之義務」。立法院應審慎看待免除業者責任與保密義務之範圍,本會建議至少應明確列舉、限縮草案中可使業者免除保密、賠償責任的防詐措施,而非整部條例都是免除範圍。另外,政府與業者雙方也應具備透明機制,定期公開依照本條例執行之防詐措施,以利公民後續監督,若未來發生問題,才能及時發現。對於影響基本權之防詐措施,立法院也應明定申訴與救濟路徑,完善補救措施。
《通保法》強制電信業者保存上網紀錄,應避免建立對一般民眾剖繪之制度
一般人平常上網造訪的網域、使用的應用程式都在本次《通保法》修正案中,強制電信業者保存。《通保法》所稱之「網路流量紀錄」雖未涵蓋內容資料,卻涵蓋每個人網路位址與位置、瀏覽之網域、使用的app,甚至可能以封包數量及更多Metadata(關於資料的資料)推論通訊對象及傳遞檔案。長時間的網路流量紀錄,比起片段的內容資料,反而更容易拼湊出個人的生活樣貌。2022年歐盟法院判決,無差別保存一般人網路流量紀錄與位置資料違法,只有在嚴重危害國家安全時才能對IP位址進行無差別保存。歐盟法院新聞稿指出,保存10周的網路流量紀錄,或4週的網路位置紀錄,就能對個人私生活做出很多精確結論,並做出剖繪檔案。
回到台灣,本次修法將重要的「保存期間」、「調取之項目」等牽動國人隱私權之重大措施,全盤供行政機關決定。台權會建議,立法院應審酌強制無差別保存國人上網紀錄之必要性,釐清業者現行保存之資料類別與保存時間,預防以國家資源投注電信大數據,促進更多變形濫用之情形。同時,針對網路流量紀錄之調取程序,也應檢視過去「調取票」實際上大量案件由檢察官(而非法官)審酌之現實問題,並補足通知當事人、定期公布不同類型之網路流量紀錄調取數量、限制業者與政府機關不得將保存知網路流量紀錄(包含位置資料)移作他用等配套。
同理,《科偵法》草案之M化車(IMSI catcher等偽基地台,具有捕捉裝置訊號之功能)應有案類限制與強化通知與刪除無關資料之配套,並於條文內明確禁止從事追蹤特定對象位置以外之用途。另外,就《通保法》修法增加之「用戶」與「電信使用人」並列之情形,也應確認不會出現個別使用者同意蒐集網路與電信相關紀錄,即代表執法機關能無須其他程序搜索全站個資之情形。惟有嚴格檢視強制無差別保存之必要、確保符合比例原則、健全調取之程序與保護措施,方能有效平衡犯罪偵查與基本權之拉扯,杜絕埋下國家或企業大規模監控基礎設施之後患。
