吳全峰|疫情下的人權挑戰
主辦單位:台大法律系系學會學術部
講者:吳全峰副研究員
主題:疫情下的人權挑戰
時間:2021/4/29 (四)19:00–21:00
地點:霖澤1403教室
記錄者:吳虹儒
這次很榮幸邀請到中央研究院法律學研究所的吳全峰研究員為我們分享,在 COVID-19 的全球肆虐下,政府在抗疫過程中,如何因應與斟酌政策上對於人權可能產生的侵害。
講座一開始,吳全峰研究員以人權的角度看待這次疫情中的各項政策,梳理出不同層面上人權的退讓。在言論自由的層面上,對於消息傳播,倘被認定為非經證實的假消息即可能面臨裁罰;在遷徙自由的層面上,禁止高中職以下之學生與教職員出國、甚至後期要求國人回國須提出核酸檢驗相關證明而引起返鄉權之爭議。接著進入本次講座所著重探討的層面─隱私權。
吳全峰研究員以跨資料庫分享的混搭應用做為探討隱私權的切入點,衛生福利部的資料庫涵蓋甚廣,像是健康存摺、衛生福利統計專區、open data 等,這些資料庫的串聯可供學術研究用途、公共服務用途、商業營利用途,然而,值得我們思考的是:這些資料庫的串聯是否具有正當性?當這些資料庫串接起來、擴張其用途,能觸及屬於人民隱私的這些資料的人數可能更多,而人民隱私權將相對被限縮。就此,吳全峰研究員提出了隱私權的討論應包括「資訊安全」與「資訊自主」兩個概念,「資訊安全」是保障該資訊不被他人得知或辨識出來的權利,而「資訊自主」則是保障當事人決定資訊被揭露與否的權利。因此,在政府取得個人資訊後,會透過編碼等方式將其去識別化,使其因而不落入個人資料保護法的規範範疇,進而達到「資訊安全」的保障。吳全峰研究員透過釋字第 603 號解釋,提出了一個問題:去識別化後的資訊就等於可以被拿來任意使用嗎?基於「資訊自主」的概念,答案應為否定的,即使該資料已經去識別化,個人仍應有權決定自身資訊是否要被他人使用。
在巨量資料與防疫措施的運用中,健保卡扮演了一個極其重要的角色。在
COVID-19 這波疫情中,許多資料都被存放入健保卡當中,除了原先就有的近期次的就醫紀錄、領過何種藥物的紀錄外,還包含了於何時出入境哪些國家、是否為居家隔離檢疫者等資料。吳全峰研究員針對此提出質疑:究竟有沒有必要細緻到出入境過「哪個國家」?還是只要知道有出入境過「高風險國家」即可?畢竟相關紀錄的目的在於判別個人感染的風險高低,對於醫生的看診僅需要能判別,知悉確切去過哪個國家與否似乎不影響防疫上判別個人是否為高風險族群。而在口罩領取、甚至三倍券發送時,也都是透過健保卡做為媒介,使得被授權使用健保卡資訊者擴及超商、銀行、郵局等。《全民健康保險保險憑證製發及存取資料管理辦法》第二條的但書規定:不得存放非供醫療使用目的及與保險對象接受本保險醫療服務無關之內容。健保卡中紀錄確切到過哪個國家、領取口罩與三倍券與否,是否還在「供醫療使用目的及與保險對象接收本保險醫療服務有關」之範圍,是還有待釐清的。
對於入境本國的居家隔離檢疫者,為確保他們落實居家隔離檢疫,政府採取強制透過手機監控,拒絕者將受到裁處罰鍰,相類似的提議在以色列卻被法院要求應以立法機構訂定專法規範。這種強制透過手機監控個人行蹤的方式,是否過於侵犯人民隱私,值得思考與探究。關於行蹤的掌握,吳全峰研究員舉了鑽石公主號的例子。在鑽石公主號爆發染疫時,指揮中心告訴大家在鑽石公主號上的遊客曾經去過哪裡,這些行蹤依據後來政府官員所發表之論文所透漏是透過許多數據整合、統整出來的,其中包括了車牌辨識系統、監視器、遊覽車 GPS、甚至可能包含遊客的手機定位系統與信用卡紀錄,這顯示了資訊來源涵蓋到了電信公司、銀行等。這樣的資訊透明雖有助於其他民眾注意自己是否待過這些地點,進而對防疫較有戒備,然而,這些遊客的行蹤資訊、消費紀錄都屬於他們隱私的範疇,兩者衡量下,讓隱私權退讓是否逾越必要性,需再斟酌與思考。
在談完臺灣在這次疫情中的幾項政策、防疫手段與其可能衍生之隱私權問題後,吳全峰研究員介紹了GDPR(General Data Protection Regulation),其中包含了合法、公平與透明原則、目的限制原則、資料最小化原則、資料正確性原則、保存限制原則、完整性和機密性原則、課責原則。其中又著眼於合法、公平與透明原則與目的限制原則做介紹。合法、公平與透明原則,涵蓋了公開性,具體而言,採取哪些措施、蒐集哪些個人資料、串聯哪些資料庫、串聯之具體目的為何均應提供適當且明確之說明。放在這次防疫的脈絡下觀察,「防疫」之概念過於抽象籠統,因此不適當單純以「防疫」為限制民眾權利之理由,而應說明清楚究竟是用在防疫的哪個層面上、對應到何種具體公共衛生目的。目的限制原則是指資料的使用不可超出蒐集資料時之目的範圍,就《個人資料保護法》來說,資料使用限於特定目的,倘非特定目的,就必須有法律明文定之。
另外,吳全峰研究員也提到了合比例性的審查,合比例性是在衡量防疫中是否過於侵害人權的重要標準,必須要是能達成特定目的且侵害最小的方式。其中匿名化是資料使用的重要工具,在講座的一開始略有提及關於去識別化後的資訊自主性,在這個部分,要探討的是匿名的本質性問題,什麼樣的作法才算得上是匿名?就此,吳全峰研究員介紹了歐盟 Art29 工作小組第 216 號有關匿名化技術意見書對資料經處理後是否達到匿名化狀態之三項判斷依據:是否能識別特定個人、是否能連結至個人相關紀錄、是否能推斷至個人。也就是說,所謂的去識別化,不單純只是拿掉這份資料中關於當事人的姓名、照片並給予一個編碼而已,只要其他資訊仍舊可以透過連結到該當事人的相關紀錄、進而推斷或甚至是識別出該當事人,就不能算是真正去識別化、達成匿名性。有些人可能會提出疑問:流行病學調查(巨量資料或統計資料)對於隱私權侵害是否較低?而吳全峰研究員對此問題的回應,認為雖然在這樣的巨量資料或統計資料中,個人性相對不被突顯,但仍要小心,還是可能產生別種類型的侵害。在這個部分的最後,提出了一些可供大家參考的判準:不可取代非技術措施、自願、不具強制性、公共衛生專業、隱私保護、不歧視、降低政府依賴性、資料最小化、資訊安全、隱私風險評估、退出機制、比例原則、可修正性、可維護性。講座的最後,回到臺灣這次疫情中面臨的幾項人權挑戰。其一,在《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第 8 條第三項中的「於疫情結束」,是否可能產生滑坡理論?由於疫情的開始、結束、抑或是和緩階段實在難以界定,僅以「於疫情結束」來訂定,可能導致個人資料的侵害過久、或已無必要性卻尚未停止。其二,曾有過對於公布非必要出國者姓名的爭議,而其法律基礎為何並不明確,若要以《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第 8 條第一項為基礎,非必要而出國的人似乎也不符合條文所規範的對象。其三,《嚴重特殊傳染性肺炎防治及紓困振興特別條例》第 7 條的「必要之應變處置或措施」,形同疫情政策的帝王條款,成為了這次疫情中最被廣泛討論的條文內容,這是否為必要之惡?又或者是否有可能架空《個人資料保護法》的規定?都是值得商榷的問題。
總結來說,並非每一種傳染疾病帶給社會的影響都是相同的,我們也不須否定在這次疫情中臺灣做的努力。但就像這次的成功是來自幾年前在 SARS 的經驗,在這波疫情過後,我們仍要去檢討哪些部份是做得好的、哪些部分是可以再改進的。在隱私權的部分,最需注重的就是透明度與合比例性,對於其他可能的人權限縮,也要衡量與拿捏,讓下次面對疫情時能有更完善、更保障人民權利的方式因應之。
