致 Srikrishna 大法官的公開信:關於資料隱私和印度的「Aadhaar」系統
說明:本文為 Mozilla 執行董事 Mitchell Baker 以全版廣告形式於 2 月 9 日在《印度斯坦時報》(The Hindustan Times) 上發表的公開信,文末並附上 1,447 位 Mozilla 印度社群成員聯署。若想進一步了解 Mozilla 對於印度資料保護法及 Aadhaar 系統的建言與行動,請造訪:https://foundation.mozilla.org/campaigns/aadhaar/。
Srikrishna 主席及電子和資訊科技專家委員會委員,您好,
在廣大 Mozilla 印度社群成員的共識及一致支持下,本人提筆寫這封信,籲請各位捍衛全體印度人民的隱私和安全。最近,貴委員會針對印度第一套完整的資料保護法提出建議。不久前,印度最高法院明確裁定,隱私權是全體印度人受憲法保障的基本人權。在此敦請您秉持此精神,確保法律落實隱私權保障。
在《Mozilla 宣言》(Mozilla Manifesto) 的指引下,Mozilla 兢兢業業地推動隱私保障。《Mozilla 宣言》明述:「使用者的網路安全及隱私為基本要求,不容妥協」(信條 4)。我們對此信念的堅持不僅見諸於產品的開源程式碼中,也體現在我們包括「資料隱私原則」(Data Privacy Principles) 在內的諸多政策。除此以外,Mozilla 印度社群也透過一個又一個的倡議活動來提高大眾的線上安全意識。
資料保障是保護隱私基本人權的核心。在國家身份認證系統 Aadhaar 被強力推入人民生活各個面向之際,資料保障的重要性更不容輕忽。數位身分的好處雖多,卻也有引發窺伺危機與隱私災難的風險,而完備的資料保護法正是避免災難發生的關鍵。
在數位時代裡 — 尤其在 Aadhaar 的影響下 — 個人安全及隱私所面臨的威脅日益嚴峻。在最近一起事件中,一個普通人居然只花了 500 盧比 (台幣 226 元) 便購得存取 Aadhaar 資料庫中全國人民資料的權限。另外,資料外洩、安全事件及 Aadhaar 隱私資料在線上流傳的消息屢屢皆是。越來越多民營企業必須連上 Aadhaar 系統才能提供服務。在缺乏完善資料保護法的空窗期間,印度政府仍執意要求越來越多公私部門先串連 Aadhaar 才能提供服務,此舉顯然與最高法院的決議背道而馳。
對於貴委員會於報告中提出之強力建言與整體架構的規劃,我們深表敬佩。儘管這象徵了建立強大資料保護架構的重大進展,但我們對於報告中未提及下列幾項保障仍感到憂心:
- 在當前的建議中,「須被特別保護的敏感性個人資訊」定義未含生物資訊。此一作法無疑是走回頭路,因為生物資訊是私密性極高的資訊,也無法如一般密碼般「重設」。
- Aadhaar 的設計並未確實取得使用者的同意。從連結到 Aadhaar 的公私部門服務越來越多,使用者卻從未享有真正選擇的權利看來,此現象不言自明。藉由加強使用者同意機制、資料蒐集最少化、資料蒐集限制、限制蒐集目的等,現況將可、也應能獲得改善。
- 貴委員會不為執法的合法性設定小範圍的豁免權,卻建議讓整個組織都能免於課責、不受存取和處理用戶數據法律規範的制約。
- 報告中質疑個人應否有反對資料處理方式的權利;這是資料保護的核心精神。一旦失去了反對權,所謂的「同意」將頓失意義,個人自由亦將遭受箝制。
隱私議題廣受印度各界重視,最高法院更已明確認定個人隱私與安全的保障乃印度政府的當前要務。希望您與您在各部會的同僚能藉此時機,規劃出可真正保障使用者權利、並讓貴國的法規架構成為全球典範的資料保護法。
謹致問候。
Mozilla 執行董事長 Mitchell Baker
