實聯制法律疑義討論整理

實聯制指引法源

  • 實聯制指引為行政命令或行政指導?
  • 非1922簡訊實聯制的實聯制是否涵蓋在此指引中?由誰監督或由哪些法律規範?
  • 使用境外機房的服務,政府或法律是否有跨國跨境強制力?
  • 政府依照哪些法律的強制力要求其他實聯制傳送疫調相關的個人資料?同樣有跨國跨境的問題
  • 非政府的電子實聯制並無統一資安規範,也無限制去識別化後的個人資料使用,營利(如投放廣告)責任屬誰?
  • 是否可以保留不提供調閱但做為資安防禦用的紀錄檔?

1922簡訊實聯法律Q&A

1922簡訊實聯制簡介

Q&A

  1. 1922簡訊實聯制由政府與電信業者、疾管家、e-mask團隊共同完成,彼此關係為何?

A:
3. 1922簡訊實聯制的採購形式與法源為何?

A:
5. 1922簡訊實聯制個資歸屬為何者?
6. 使用者手機簡訊傳送到電信公司機房的營業成本由誰吸收?儲存方式為何?
7. 電信業者違反28天刪除的責任為何?
8. 若法院要求調閱1922簡訊實聯制中的個資,電信業者是否需要交付?
9. 疫調人員如何取得1922簡訊實聯制的資訊?
10. 簡訊實聯制是否有落日條款?

  1. 團隊成員於完成任務階段的權益是否有如勞基法或公務人員權益保障?唐鳳政委是否倚職權強迫下屬和委外廠商人員加班?

A: 唐鳳並未強迫下屬及委外廠商人員加班。至於是否有《勞基法》32條與40條之適用,建議逕洽委外廠商詢問。(參見 5/22 討論紀錄

  1. 原 1922 專線接聽人員是否有被告知業務異動?
  2. 以上爭議肇於政府機關行政人員與外包合作廠商之契約關係,一般人民是否可以逕行檢舉或告發?

其他實聯制法律Q&A

  1. 疫調人員如何取得商家採取其他簡訊實聯制的資料?
  2. 如何確保使用其他實聯制的商家使用與刪除資料?
    「COVID-19防疫新生活:實聯制措施指引」主政機關:衛福部
  3. 若商家為未依照「COVID-19防疫新生活:實聯制措施指引」於28天後刪除,民眾如何自力救濟?
    根據個資法
    嚴重特殊傳染性肺炎防治及紓困振興特別條例授權:衛福部
    • 「COVID-19防疫新生活:實聯制措施指引」主政機關:衛福部
    • 電信法規主政機關:交通部
    • 個人資料保護法主政機關:個資法不定義主管機關,法務部僅是個資法解釋機關,在不設置中央及地方專責機關前提下,直接於各條文中明定由中央目的事業主管機關或直轄市、縣(市)政府共同辦理。現況下可能造成:
      • 餐飲業者 => 地方政府
      • 電信業者 => 交通部、NCC(?)
      • 醫療機關 => 衛福部
  4. 以全家或全聯為例,若用APP或會員制綁定實聯制,是否仍受到實聯制指引的規範?

台北通實名制法律疑慮

  • 實聯制登記資料是否會於 28 天後刪除?
  • 如何排除疫調外目的使用?
  • 足跡資料如何調用?個資隱私如何保障?

悠遊卡批發市場管制法律疑慮

給商家的實聯制指南

這裡需要創新頁,還是直接在同一頁面
RR

可以涵蓋的內容

  • 產生的 QR Code 內容包含「本內容僅供疫調使用」等語,場地張貼QR COde時,是否可被認為是個資法下的「告知」「蒐集之目的」?
  • 事後告知算是個資法第八條上的「向當事人蒐集個人資料時」嗎? 另外是否可以適用 「二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。」的得免為告知之規定? pichu

對於實聯制的相關法律建議

  • 實名制蒐集資料的模式跟儲存資料的機關事前要有BSI資訊安全機構認證,但台灣目前沒有這種認證機構。
    摘要自劉靜怡教授Facebook
  • 參考德國QR Code實名制,商家與手機使用者保留私鑰、AKDB獨立資料處理中心只儲存加密後的數據,只能因疫情調查而有必要實向及管機關提供,數據解密需要私鑰,但台灣目前沒有中央統一蒐集、儲存的機構。
    摘要自劉靜怡教授Facebook

附件

相關會議記錄

2021/05/22 實聯制法律坑開會共筆
2021/05/24 vTaiwan會議共筆

相關法規、研究

嚴重特殊傳染性肺炎防治及紓困振興特別條例
第 7 條
中央流行疫情指揮中心指揮官為防治控制疫情需要,得實施必要之應變處置或措施。

COVID-19防疫新生活:實聯制措施指引
頒布時間:109年5月29日
頒布機關:衛生福利部疾病管制署(嚴重特殊傳染性肺炎中央流行疫情指揮中心109年6月29日肺中指字第1094300045號函)
[name=isabel]這裡的「機關」包括「公務機關」和「非公務機關」。

五、各機關對於蒐集之個人資料僅可保存 28 日,屆期即應主動將個人資料予以刪除或銷毀,並應留存執行刪除或銷毀之項目及日期等軌跡紀錄。

六、各中央目的事業主管機關、直轄市、縣(市)政府應依個人資料保護法第 22 條規定,監督所轄非公務機關,落實執行上開個人資料保護事項,以兼顧民眾資訊隱私權之保障。

個人資料保護法
第 22 條
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。

中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。

對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。

參與檢查之人員,因檢查而知悉他人資料者,負保密義務。

1922簡訊實聯制隱私權公告

電信法
第 7 條
電信事業或其服務人員對於電信之有無及其內容,應嚴守秘密,退職人員,亦同。
前項依法律規定查詢者不適用之;電信事業處理有關機關 (構) 查詢通信紀錄及使用者資料之作業程序,由電信總局訂定之。
電信事業用戶查詢本人之通信紀錄,於電信事業之電信設備系統技術可行,並支付必要費用後,電信事業應提供之,不受第一項規定之限制;電信事業用戶查詢通信紀錄作業辦法,由電信總局訂定之。

電信事業處理有關機關查詢電信通信紀錄實施辦法

我國電信業及電信加值網路業個人資料保護與監管機制之研究
民國100年10月開始施行之個人資料保護法(下稱:個資法),已立法明確規範個資之蒐集、處理及利用者應遵守之要件與義務,更進一步落實個人資料之自主控制權。對提供通訊服務之業者而言,不僅應有保護使用其服務者通訊秘密之義務,關於提供電信服務所蒐集、儲存之其他個資,亦不得違反個資法之規範。

查我國電信法對電信事業雖於第6條、第7條定有保護通訊秘密,及電信服務使用者查詢通訊紀錄等規定,然其保護電信服務使用者個資之範圍、及課予電信事業之義務,顯有未符合個資法要求;且於電腦處理個人資料保護法時期所定之「電信事業及傳播業電腦處理個人資料管理辦法」,亦因個資法之施行而被廢止,我國主管機關迄今對電信事業亦未訂出最低限度之安全維護計畫標準,以上問題均使我國在電信通訊部分之個資保護法制上有嚴重缺失;因此如何彌補以上缺失,針對電信事業蒐集、處理及利用個資之特性及應特別加重義務部分,建立較高密度之規範,及完整健全電信使用者個資之保護,並確立監督電信事業遵法之機制,確實保障電信服務使用者之權益,實為我國當務之急。

受託/研究單位: 東海大學
作者: 范姜真媺
完成時間: 103-12-31

Select a repo