《觀念平台》新冠病毒防疫及個人資料保護 / 劉宗欣 施汝憬 工商時報A6, 21 April, 2020

新冠病毒（COVID-19）席捲全球，筆者之一目前所在的美國正處於病毒風暴的中心，確診及死亡人數每日以驚人的數量暴增。

歐美國家疫情為何如此嚴重？相較於較早接觸到新冠病毒的亞洲國家，歐美國家因地緣關係有更充裕的時間採取防疫措施，為何疫情反而一發不可收拾？歐美國家在防疫腳步上的緩慢有許多可能的原因，包括：

1.不同於亞洲國家，許多歐美國家沒有經歷過2003年嚴重急性呼吸道症候群（SARS）、禽流感等重擊，缺乏因應大型傳染病的警覺性及經驗，許多人以為新冠病毒不過是「另一種流感」，而遵照世界衛生組織（WHO）提供的資訊及建議。

2.歐美國家在文化上排斥戴口罩（只有生病的人才戴口罩，口罩無助防疫），部分歐洲國家甚至立法禁止在公共場所蒙面，部分源自對恐怖攻擊的憂慮。

3.歐美國家有重視個人自由、隱私及資料保護的傳統，並以法律明文規範，例如，歐洲有1953年歐洲人權公約、1995年歐盟「個人資料保護指令」（Data Protection Directive），及取代前者於2018年施行的「一般資料保護規範」（General Data Protection Regulation，簡稱GDPR）；美國則有憲法第四條修正案、健康保險流通及責任法（Health Insurance Portability and Accountability Act，簡稱HIPAA）以及各州的資訊隱私法。

＊歐美國家在個人資料保護的前提下，也開始考慮採取科技防疫措施

鑒於疫情之嚴峻，除了大規模居家隔離措施外，歐美國家也開始考慮參考亞洲國家運用手機定位等科技措施對抗病毒 。但出於對手機監控合法性的疑慮，各國分別研擬較為保護個人隱私之不同科技措施，相關機制包括匿名性、自願性、使用藍芽而非地理位置定位、資料僅儲存於個人設備而不分享給政府等。為使會員國協力開發手機應用程式防疫同時兼顧個人資料保護，歐盟執委會於今年4月8日發布關於「使用科技及個人資料打擊COVID-19危機」之建議。

政府採取大規模監控固然有助於對抗疫情，但同時可能犧牲個人的隱私保護。

歐美國家認為防疫應平衡公共衛生之公共利益及個人隱私保護，且對於為防疫目的所蒐集的資訊如何使用、保存／刪除、分享應有明確規範，才能避免個人資料被濫用，最重要的是「透明性原則」。

今年4月初，美國四位參議員寄信給蘋果公司執行長Tim Cook，要求說明蘋果公司推出的COVID-19 應用程式及網頁如何處理用戶的個人資料、如何遵守HIPPA的隱私保護規範及該公司與聯邦政府（包括疾病管制局CDC、白宮新冠病毒工作小組、聯邦緊急事務管理局FEMA）及州政府所簽訂之合約內容。

＊重新檢視台灣政府防疫措施下的個人資料保護

在肯定台灣政府出色的防疫表現及辛勞之同時，值得參考歐美隱私保護標準，重新檢視迄今政府就為防疫目的所蒐集的個人資料是否提供足夠保護。

目前政府所推動的各項防疫措施，多是依據嚴重特殊傳染性肺炎防治及紓困振興特別條例第7條規定：「中央流行疫情指揮中心指揮官為防治控制疫情需要，得實施必要之應變處置或措施。」當政府機關或其合作的民間機構實施防疫措施涉及蒐集、處理及利用個人資料時，基於本規定或可符合個人資料保護法（下稱「個資法」）第15、16、19或20條規定之法定情形，但從個資法角度至少仍有下列事項待釐清：

1.入境旅客須填寫「入境健康聲明暨居家檢疫通知書」提供個人資料，但其中並未載明個資法第8條要求之相關告知（應告知事項包括蒐集之機關名稱、目的、個人資料利用之期間、地區、對象及方式、當事人得行使之查詢、請求閱覽、補充、更正、停止蒐集、處理、利用或刪除等權利及方式等），則各機關之蒐集、處理或利用個人資料是否符合「透明性原則」？

2.個人資料之處理及利用是否未逾越個人資料蒐集之特定目的（防疫）之必要範圍？資料提供之對象是否有限制？

3.相關防疫措施是否有落日條款？為防疫所蒐集個人資料在疫情受到控制時是否應依個資法第11條：個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料？

4.是否符合個資法第17條：公務機關應將個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的等特定事項公開於電腦網站，或以其他適當方式供公眾查閱？

5.是否符合個資法第18、27條對保有之個人資料檔案採行適當之安全維護，防止個人資料被竊取、竄改、毀損、滅失或洩漏？

民主的真諦在於監督制衡，國發會為個人資料保護之主管機關，並宣示將申請歐盟GDPR適足性認定，期許國發會藉本次防疫過程偕同衛福部保護人民之個人資料，讓台灣在防疫成功之同時也落實個人資料保護之雙重德政！