第108號公約委員會主席Alessandra Pierucci和歐洲理事會資料保護專員Jean-Philippe Walter聯合發表關於數位接觸者追蹤的聯合聲明



趙若漢 譯 邱文聰 審定
2020年05月19日


歐洲理事會2020年04月28日於斯特拉斯堡發布


在COVID-19大流行之際,我們關於資料保護權的首份聯合聲明發布一個月後,世界各國和人民繼續不懈地投入一切努力來防止病毒進一步傳播。
自大流行開始以來,參與對抗病毒的政府和利益相關者(例如科研界)一直依靠數據分析和數位科技來應對這種新威脅。

有鑑於第〈108號公約〉及其現代化版本〈第108+號公約〉所制定的資料保護標準,實與其他基本權利及相關公共利益(例如公共衛生)完全相容亦可彼此調和,因此在採取非常手段保護公眾健康時,確保能落實必要的資料保護保障措施是至關重要的。

關於在與COVID-19的戰役中使用行動資料和技術一事,具體措施正在布建或以其他方式提出中,包括:使用行動位置資料評估人口流動或執行限制措施,使用裝置作為免疫力的數位證明、症狀偵測、自我檢測,乃至對受感染者接觸史的數位追蹤。

所有這些創新或創新程度較低的防疫工具都依賴於人們擁有並隨身攜帶適當行動裝置。例如,沒有合適的行動裝置的人將從這種方法中被排除。此外,這些依賴個人資料的工具都會對隱私和資料保護,以及個人的其他基本權利和自由產生影響。因此,至關重要的是,必須確保所採行之措施和隨之而來的資料處理,相對於其所追求的合法目的而言,是必要且合乎比例的,並無時不在所追求之利益與所涉權利和自由之間體現衡平-如《歐洲人權公》(第8條)和第108 +號公約(第5和11條)所規定。

特別是從接觸者追蹤(和警示)的角度出發,首應記住,這種監控在過去(以人工方式操作)原本就一直用於流行病監測以減少感染的傳播;辨識出可能與感染者接觸的人員,在必要時提醒他們,並讓他們獲得必要的照護和自我隔離,以避免疾病進一步傳播。

現在,行動裝置上的應用程式被許多人認為能補足快速執行此類接觸者監視的需要。確實,能夠自動偵測出接觸對象的行動解決方案將能節省公共衛生人員追蹤感染鏈的寶貴工作時間,可以填補人類記憶無法彌補的重要空白,且速度快到可跟上病毒的速度。儘管科技工具可以在應對當前挑戰中發揮重要作用,但在全面系統性且毫不置疑地採行科技方案(尚未評估其有效性和合比例性)之前,我們必須自問的第一個關鍵問題是:這些「應用程式」真的就是解方嗎?由於缺乏有效性的證據,這些手段的預期效益是否值得我們去承擔可預期的社會和法律風險?如果政府決定採行數位接觸者追蹤手段來應對COVID-19大流行,必須採取哪些必要的法律和技術安全措施以降低相關的風險?

一、有效性

如同第一份聯合聲明所述,「大規模個人資料的蒐集、處理與利用僅得在科學證據證實數位流行病監測(即如接觸者追蹤)的潛在公共衛生利益(包括其準確性),超過其他侵入性較低之替代解決方案所能帶來的利益時,才應被採行。」

數位接觸者追蹤的有效性取決於多種因素,這些因素相互關聯:

  • 全面的國家流行病學戰略,闡明數位接觸者追蹤對公共衛生系統的有益支持,傳統人工的接觸者追蹤,以及對廣泛檢測的高度重視;
  • 所選的模型(使用的電信技術與架構、行動裝置彼此之間「相互接近」的定義,包括距離和持續時間等);以及-
  • 廣泛的行動裝置近用和連結(這可能還需要特定的技術功能,例如「低功耗藍芽」),同時也必須遺憾地承認有相當大的一部分人口,特別是高風險群體,例如老人,因無法達到上述技術門檻而被排除在外。

如果公部門決定採用數位接觸者追蹤,則以下各段應指導這些系統的設計和實施,並採用相應適當的法律框架規範該系統。

二、信任與自願

數位接觸者追蹤系統的可接受性顯然取決於該系統所能創造與贏得的信任程度。由於公眾信任決定系統能否被廣泛採用,因此值得強調的是,若能將強化隱私保護的功能整合至系統,並以公開透明的態度人將相關資訊(尤其是系統如何運作、利用目的和哪些資料被蒐集與處理)揭露予個人,必能顯著提升公眾信任。

一個本於自願而非強制的系統,將因其可信賴性,而實現廣泛的接受度。這意味著,不應對於不參與系統之人課予不利後果。
但自願也不意味著對個人資料的蒐集處理利用都必須以同意為合法基礎。第108+號公約允許在法律明文規定的前提下,以包括公共衛生在內的公共利益,做為蒐集處理利用個人資料的合法基礎。因此,倘若內國法律能促進實質意義上自願使用系統,並搭配必要的資訊安全措施,即能構成資料蒐集處理利用的適法基礎。

三、影響評估和融入隱私保護的系統設計

考量數位接觸者追蹤系統對個人權利和基本自由的可能影響,在系統佈建之前,其開發應進行事前的隱私影響評估。
此類系統的設計應避免或最小化對權利和基本自由的侵害風險、確保不會使用個人的位置資料、確保無法直接識別並避免再識別。

四、目的特定

COVID-19數位接觸者追蹤系統的目的是辨認出可能曝露於病毒的人員,因此應嚴格排除任何與此不相關之目的(例如,商業或執法目的)的資料二次利用。

為了流行病學研究或統計目的所為之資料再利用,亦必須要有個人明示之同意。

五、資料:敏感性、品質與最小化

與健康有關的資料為特種個資,其蒐集處理與利用必須依據《公約》第108+第6條所規定,提供適當的保護措施並同時滿足其他個人資料保護法制要求的情況下,方得為之。

考量位置資料的特殊性質,以及無需定位即可獲知人與人間近距離接觸這一事實,數位接觸者追蹤應根據設備與設備間的連線記錄,而非位置資料(例如GPS生成的資料)。

由於對於被認定為可能與感染者有潛在接觸的個人而言,其影響可能是嚴重的(導致需要自我隔離或接受病毒檢測),因此確保資料的品質和準確性至關重要。

為了數位接觸者追蹤目的而蒐集處理利用的資料類型與數量,應嚴格地限於最少的限度,不得蒐集任何無關或不必要的資料。

六、自動化決策

即使在目前(疫情)的情況下,個人仍有權拒絕僅基於自動化資料處理結果而未將其個人意見納入考量,卻對其有重大影響的決定。顯然,諸如自主隔離和病毒檢測之類的影響會產生如此顯著的效果。

因此,若不存在得以對結果提出挑戰的明確手段,則不得僅依系統的自動判讀直接對加入數位追蹤系統的使用者做出具法律效果之決定,尤其當該等系統可能存在不準確性或可能曲解事實。

七、去識別

加入數位追蹤系統的使用者其身分不得被直接識別;數位接觸者追蹤系統應僅採用個別系統自行生成且專屬於該系統的假名化單一識別符號。這些識別符號必須定期更新,且必須具有強加密強度。

八、安全

數位接觸者追蹤系統必須包括最新的加密方式、通信安全性、安全的開發作業方式和用戶身份驗證,以防止發生諸如存取,修改或揭露數位接觸者追蹤系統資料之類的風險。

九、結構

數位接觸者追蹤系統應採取一種盡可能僅在個別使用者個人設備上進行資料處理與儲存之系統結構。
目前存在幾種集中式,部分集中式或分散式架構的模型,但是沒有一個模型能夠完全沒有弱點漏洞和或完全去除再識別的風險。

十、相互操作性

由於COVID-19大流行無國界,故應確保系統之間的相互操作性,以便能在國界之外交換可用資訊,但要確保採取必要的保障措施,包括資料傳輸的適法性基礎、強韌的安全措施以及確保進出系統之資料準確性的手段。

十一、透明度

考量數位接觸者追蹤系統的侵擾性,強烈建議使用開源程式碼確保系統的開發能完全透明,從而使任何有興趣的人都可以審核(並可能改進)程式碼。
提供給個人的資訊應使用簡潔明瞭的語言。

個人有權獲知資料處理所得而被應用於其上之認定結果,究竟建立在何等論證知識之基礎而來,例如在數位接觸者追蹤的情況下。每一套數位接觸者追蹤系統的一般運作方式,都必須在作業前和作業期間,完全對外公開。

十二、臨時性

用於數位接觸者追蹤的資料應僅在因應COVID-19大流行的期間內始能留存,並應根據資料與流行病學間關聯性(例如病毒的潛伏期)來定義儲存期限。

在預定之期限屆至時,應刪除所有個人資料;並應採用能支援自動停用應用程式並刪除資料的技術措施。

十三、監督與審核

數位接觸者追蹤系統應受到獨立有效的監督和審核,以確保尊重隱私權和資料保護權。負責資料保護之主管機關應自系統開發之始即參與其中,並運用其介入和調查的權限來確保資料保護要求已被履行。

COVID-19大流行帶來了前所未有的共同挑戰,需要我們最大的支持並隨時保持謹慎。我們所面對的既是一種政治選擇,也與社會支持和個人承擔的意願有關。儘管具有迫切性,但數位接觸者追蹤仍迫使我們必須在決定採行此類全民措施之前,去面對一些新問題。除了隱私和個資保護之外,數位接觸者追蹤也促使我們必須思考可能產生的不平等和歧視問題。

亞歷山德拉·皮魯奇(Alessandra Pierucci)、讓·菲利普·沃爾特(Jean-Philippe Walter)


Image by geralt from Pixabay

資料來源

Joint Statement on Digital Contact Tracing by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe, https://rm.coe.int/covid19-joint-statement-28-april/16809e3fd7 (last visited May 19, 2020).


延伸閱讀


翻譯

中央研究院法律學研究所  趙若漢


審定

中央研究院法律學研究所 邱文聰