五倍券沒討論到什麼
加碼多少我們關心沒什麼用,反正有加碼就對了。但有些事對於關心數位政策的朋友來說,卻是迷濛不已。
首先是今天有記者會,但有事,實在不能一直看著記者會。這些訊息和簡報內容的截圖,最後還是要從媒體的報導得知。所以這個五倍券的訊息一個 push 出去,媒體如雨均霑,知道這晚上會有人看,會有人討論,而且到發行日之前都是熱門話題。
但目前(8月26日下午)在各大官方網站上卻看不到詳細內容,這是第一個老問題。如此重大的振興政策,還是只能追著媒體跑,而且訊息還不完全。不過這已經是台灣政府目前釋出重大訊息的常態,這常態的發生點通常是事涉跨部會協調的重大施政。以「五倍券」為例,各部會都有自己屬意在五倍券加碼的振興的手法。券名不一,作法也會稍有不同。行政院本部當然是沒有力量從頭想到尾,因為各部分所主責的任務要自己想清楚,提報上來後,再透過程序核准後公佈。
第二個是,整個流程(預約、綁定、消費)的全民個人/消費資料的搜集、運用、辨識、儲存、刪除和安全保護不知是何光景?五倍券看來也是需要預約的,而且相較於去年的三倍券的發行經驗,「數位管道」會被強力推薦,提升使用率。
根據中央社所釋出的圖,我們得知的現況是這樣的:
在數位個人綁定部分,有五倍券官網和數位支付業者的網頁或 App,這裡有幾個 parties 就算不太清楚了,但名單應該是可以確認的。五倍券的預約領取和發放,數位支付業者可以搜集到什麼資料,這些資料的處理原則是什麼,這些資料的保護原則是什麼,目前看來也是消費者必須自行在所挑選的管道了解。簡單來說就是不容易搞清楚,也沒有那個 cognitive capacity 可以搞懂。搞清楚的成本很高,乾脆就不要搞清楚好了。況且,我們的國民通常會這樣想:「既然是政府允許的管道,那麼在個資的保護上一定沒問題吧」。
根據經驗,可能也有一定比例的人口會選擇「五倍券官網」來預約。但這和過去幾個臨時性的平台(口罩預約、三倍券、1922簡訊實聯制、1922疫苗預約等)應該會有一樣的問題,第一個是規格不明,第二個是委辦流程不明,第三個是開發團隊不明,第四個是驗收成果條件不明,第五個是滾動式修正總是在發生,第六個是隱私權政策還是不明,第七個是在服務條款裡說會提供信箱方式聯絡,基本上是沒有的。 以 1922 疫苗預約 為例,從頭到尾就找不到意見信箱在哪裡,但條文還是寫的斬釘截鐵:
如果您有任何關於本公告、其他隱私權管理或本服務使用個人資料的問題,歡迎來信至意見信箱詢問。
台灣差不多快是公認的個資蒐集天堂了。有些國家數位化程度不高,因此在個資搜集上並不方便,台灣一來整體社會數位化程度比較高,但在個人資料保護和資訊安全保障的部分,卻又是屢見網路攻擊和資料外洩的重災區。 加上最近這些臨時性但普及化由政府發起的大平台 動不動就能搜集到百萬到千萬之譜的個人資料 — 我們說政府單位是 facilitating 這些 PII (personal identifiable information) 廣泛搜集的主要動能,這點說法應該是站得住腳的。
數位化的好處是沒人與人比較沒有接觸,但數位化的代價是所有消費行為都可以追蹤。五倍券的預約,綁定和消費以及結算,整個過程都會產生資料。預期會超過兩千萬人領用五倍券,所產生的消費資料至少會有哪些?
- 個人身份資料(如身分證、姓名、手機號碼等)
- 生活區域資料(如預約超商的時間和地點、紙本領取點的時間和地點等)
- 消費資料(如商品品項、金額、消費時間和地點、所使用的金融卡等)
- 社交圖譜(綁定的 graph)
那麼,誰是 data controller?誰是 data processor?哪些資料會被留存?哪些資料會被 用什麼樣的手法去識別化 ?哪些資料會以明碼的方式留存在什麼系統之內?這些系統的擁有者會是誰?這些資料是不是就永遠會在這些系統之內,直到擁有系統的單位消滅為止?
另外,由於各個部會即將加碼演出,這些部會對於個人資料保護的態度和能力,差異是非常大的。各個部會將透過什麼管道拿到交換什麼資料,這些資料處理、保存和銷毀是不是有相關規定,這些我們目前一概不知。
這幾點就是目前沒有討論到的問題,但這可能還不是一般國民所關心的。
Originally published at http://blog.schee.info on August 26, 2021.
