疫苗預約接種系統的隱私保護初探
這個主題很熱門,因為它是切身的主題。有些主題很遠和你我無關,怎麼關心都不會直接遇到(例如:離岸風電開發和融資、台積電美國設廠)。第二個原因是系統的「使用者」牽涉到不少人,不是平常想像中的「你」和「我」而已。第三個原因是「預約系統」不會只有「資訊系統」而已,這在不少進步國家都是如此(如:瑞士、美國、澳大利亞)。好的疫苗預約系統不一定是資訊系統,但資訊系統一定會扮演重要的角色。而在資訊系統裡面最關鍵之一,就是資料(數據)和資訊本身。第四個是預約系統不一定是「中央統一」就是好,在不少國家,中央政府所扮演的角色和台灣不太一樣,因此在資訊系統的建置和隱私保護的部分,就不像台灣對於表面上看起來「統一」的資訊系統和「放棄隱私」以快速取得便利和安心保證,有著高度的偏好。
我們就開始探索吧。
澳大利亞關於疫苗接種的隱私保護
澳大利亞有個保護隱私和資訊自由 (freedom of informaiton) 的專責獨立機關,全名叫做 OAIC (Office of the Australian Information Commissioner),台灣沒有對應的機關,所以從這個角度來說,在隱私保護上可說是落後澳大利亞超過30年(OAIC 成立於1988年)。我們本來想說接種疫苗不就是國民義務,跑百米也要搶到殘劑,為什麼還要關心「數據」所引發的問題? 澳大利亞隱私專責機關的這份文件 ,讓我們驚覺想到,原來獨立機關對於行政部門其他單位,還是可以說上好幾句人話的。
這份文件很有趣,我們就摘錄裡面的 FAQ 問題:
- Can my employer require me to disclose information about my vaccination status?
- If I chose not to have the COVID-19 vaccine, can my employer require me to provide my reasons or other medical evidence?
- Is my employer required to tell me why they are requesting my vaccination status information and what they are going to do with my information?
- If I disclose information about my vaccination status to my employer, will my information be protected by the Privacy Act?
- What if I’m a contractor, volunteer or applying for a job?
- If my information is protected by the Privacy Act what are my employers’ obligations in respect of my information?
- Can I make a complaint if I think my employer is misusing my vaccination status information?
第一個問題是說雇主是否可以要求員工揭露疫苗接種資訊。第二個問題是如果我選擇不接種疫苗,我的雇主是否可以要求我告知不接種的理由?第三個是雇主如果要求我揭露疫苗接種資訊,那麼他們是否應該跟我告知這些資訊會被如何利用?第四個是如果我揭露我的疫苗接種資訊,那這些資訊是否會被《隱私法案》所保護?第五個是如果我只是約聘雇或是志工,那麼上述四個問題答案是什麼?第六個問題是如果我的依苗接種資訊被《隱私法案》所保護,那我的雇主應該盡到什麼義務?第七個是如果我認為僱主有濫用我的資訊,那我是否可以舉報?
這些問題是不是和我們所想的「隱私保護」似乎不太一樣?聽起來更像是某種「勞動權利」的答客問?如果放在台灣,很多雇主在「身家調查」和僱員的「健康狀況」都拿得很完整。越是規模龐大的傳統產業對於僱員隱私揭露的要求越是達到不可思議的高。雖然談得有點遠,但這也是為什麼傳統台資企業到了進步國家在「員工管理」和「數據管理」一直搞不太好的原因。這些對於什麼叫做「隱私保護」的實務認知不足,反而讓台資企業在全球佈局,尤其在疫情期間,只能窮於應付。
或許我們也不該想這麼遠,只要想想如果你現在在台灣,那麼上述七個問題是否可以得到滿足的回答?或是,這七個問題是問得出來的嗎?針對隱私保護,有時答案不重要,有那個問題意識才是更重要更基礎的。澳大利亞隱私專責機關的這份文件,是一個初見「原來也可以這樣做」的開始。
威爾斯的狀況呢?
威爾斯是指英國的 Wales。不熟悉英國的朋友可能會想說,你不就是一個地方政府嗎?為什麼也會有隱私和個資保護的專責機關?事實上英國分成英格蘭、威爾斯、蘇格蘭和北愛爾蘭政府。這幾個地區在立法機構和法律制度稍有不同,詳細的狀況我也不是很了解,但到威爾斯或是蘇格蘭,很多地方的「規矩」和英格蘭不一樣,倒是有不少體會。
那麼威爾斯政府對於面對民眾的疫苗接種(資訊系統)的隱私保護,有什麼樣的作為呢?同樣的,我們也 只先看一份文件。這一份和澳大利亞 OAIC 的那一份的不太一樣,是直接由當地政府 (Welsh Government)、當地衛福機關 ( DHCW) 和 NHS 的數位衛政團隊 ( Digital Health) 所共同發布。文件是針對疫苗接種資訊服務的隱私保護所擬定的,這也包含了數位版本(網路服務)和傳統紙本(接種卡)。文件大綱是:
- Digital users
- Non-digital (COVID19 vaccination status statement)
2. What is the purpose for the processing of personal data?
3. What does the COVID-19 vaccination status statement service do?
4. What do I need to do?
- Digital users
- Non-digital (COVID19 vaccination status statement)
5. Data controller
6. The personal data we collect and how it is used
- Personal data used
- Automated decision making or profiling
- How will my information be shared
- Lawful basis for processing personal data
- How long do we keep your personal data?
- Your rights as a data subject
- Security
- Changes to our policy
- Complaints around the processing
Appendix: Data processor responsibilities
威爾斯政府的這份文件對於隱私保護範圍內的資料保護,對於很多人來說也很具體。第一個問題是解釋這些服務是怎麼運作的。第二個是說明個人資料處理的目的是什麼。第三個是接種疫苗資訊的接種卡的作用是什麼。第四個是告知接受疫苗接種人應該要做什麼。第五個則是說明資料控制者 (data controller) 是誰,也把負責的機關和聯絡方式揭露。
第六個則是最精彩的部分,也就是搜集什麼個人資料,這些資料會如何被利用,都在這裡有個具體的交代。例如什麼樣個人資料會被利用?這些資料是否會被拿來剖繪 (profiling) 人格或是被自動化決策系統使用(人工智慧系統)?法源的依據是什麼?資料的保存期限多久?身為一個資料的主體 (subject),你可以主張什麼權利?資訊安全是如何做的?我們若有政策的改變,會如何發布?最後則是救濟管道的提供。至於上述文件的附錄,則是提到了資料控制者是誰、角色是什麼,和有他們在這整個大系統做了什麼。
到了這個階段,我們可以想想台灣的幾大系統是怎麼做的。我們可以在台灣官方的網站上找到類似其他國家關於這些問題的說明嗎?
答案不只不樂觀,而是台灣在這些涉及「資訊系統」、「數據傳輸」和「隱私保護」的重大議題,根本連說明都不太需要說明,更有甚之,連在官方網站上刊登也不太需要。或許我們實在「領先世界」太多,所以這方面都可以迎刃而解,不太需要和國民交代。
這是進步的態度還是退步的態度,或許可以多想想。你如果說本來這方面的意識不彰,所以在疫情警戒期間更暴露出來體質不良的缺陷,如果是這樣的解釋,我可以理解,但仍然不太能接受。
英國 NHS 的部分
威爾斯的做法不是空穴來風,它上頭還有個 NHS 國民健保署機關。國民健保署在疫苗接種資訊服務的隱私保護部分,當然也有具體的條款。在官方的網路服務都可以找得到:
NHS 的疫苗接種資訊網站的說明非常口語,但不會因為口語就隨便。如果我們剛才看了威爾斯政府的說明,那對於 NHS 的文字會倍感親切:他們知道要如何揭露這些資訊,過去也累積不少經驗,而且刊登在政府網站上的內容是具有信度和責任的,不能隨意以「圖卡」在社群媒體上帶過。網頁的最後也加入更多的「延伸閱讀」,針對這些資訊系統本身的近用 (accessibility) 和相關政策和服務 (例如 NHS App) 的一致性,都有完整的揭露。
簡單來說就是很多人對於 NHS 的做法不會滿意,但在隱私保護的部分,他們可是一定要當成一回事:有法源、有規範、有說明、有文件、有救濟管道,也有公開在官方網站的揭露。
再想想台灣目前下列幾個系統的現況
從我上面所提到三個不同型態的政府機關文件,我們對於隱私保護的意識和官方文件應該告知疫苗接種者什麼資訊,應該有多一點的了解吧?如果沒有的話再捲上去看看,或是把本文印出來也是一個好方法。
台灣目前這幾個常用資訊系統的資料控制者 (Data Controller) 是誰?他們的隱私保護資訊揭露方式是什麼?揭露的內容是否有一致性?是否有揭露?資料的處理者到底有誰?如果有隱私保護的問題,應該跟誰反應?反應的管道和流程是什麼?資料是否會被拿來剖繪 (profiling) 你的人格,還是「餵給」「人工智慧系統」?
有興趣的想想看,不要偷懶,花不了五分鐘。
讓我們再看看愛爾蘭
愛爾蘭是不少跨國的網路科技公司在歐洲設立總部的首選之一,除了稅務的考量之外, 愛爾蘭對於資料保護也很有示範 性。台灣政府在過去一年內對「資料保護」(data protection) 的實質作為,放在歐洲、歐盟或是很多國家的隱私評估框架內,大多數都是完全禁不起檢驗的。
我們先看愛爾蘭政府的相關網站,就足以「彰顯」台灣政府機關在資料保護為什麼這麼貧弱:
- 疫苗接種預約服務 https://vaccine.hse.ie/
- 上述資訊服務的隱私政策 https://www.hse.ie/eng/gdpr/data-protection-covid-19/data-protection-covid-19-vaccine-information-system.html
- 上述資訊服務的資料保護衝擊評估報告(PDF 下載)
看到第三份報告我都要哭出來了。如果你想要針對台灣在疫苗接種、預約和資訊系統「問對問題」,那麼愛爾蘭政府這一份 “Data Privacy Impact Assessment Report” 是最完整的起點。
那眾所期待的 1922.gov.tw 是怎麼回事?
以資料保護、隱私強化的角度來看,我們要會問幾個基本的問題:
- 誰是實質的資料控制者 (data controller)?有聯絡方式嗎?
- 資料處理者 (data processor) 有誰?有聯絡方式嗎?
- 隱私政策是什麼?是關於什麼系統的隱私政策?
- 救濟或舉報的管道是什麼?
或許今天下午行政院會有個說法,最好是1922網站和串接的資訊服務會有一致的說法。不然上面提到的n個系統,在隱私保障、個資保護等切面,即使是疫情狂虐期間這些國家都已經「降低標準」,台灣仍然沒有一個是符合先進國家數位安全水平的。不要騙自己,真的一個都沒有。
延伸閱讀
Originally published at http://blog.schee.info on July 5, 2021.