紙本登記難管理、不能調閱自己的足跡⋯⋯未落實個資法的實聯制，大可不必

文：喵喵科技法律隨筆

每到一個地方，拿起手機掃描QR code傳送簡訊或是填寫聯絡方式，已經成為疫情期間的常態。在COVID-19疫情期間，中央流行疫情指揮中心（下稱指揮中心）原先推動「實名制」，要求進出場所應登記姓名與聯繫方式，以利防疫人員調查相關接觸史。

後來隨著疫情趨緩，指揮中心指揮官陳時中表示，為避免侵犯個資隱憂，改採取「實聯制」，同時，指揮中心於2020年5月28日推出「實聯制措施指引」，要求公務機關與非公務機關在採取實聯制措施時，應踐行《個人資料保護法》（下稱《個資法》）之告知義務，並應遵循最少侵害原則、相關資料保存28日以及落實安全措施等事項。行政院並於2021年5月推出「簡訊實聯制」，民眾只要掃描QR code傳送簡訊至1922即可完成實聯制。

然而，日前卻有新聞媒體報導「實聯制」是第二無用的防疫措施，甚至相關實聯制措施亦引起對於個資保護的疑慮。

民眾在利用簡訊實聯制傳送簡訊至1922時，主要會傳送場所代碼（有時掃描QR code會同時顯示場所名稱）至1922，該簡訊會由電信業者所保存28日，而國家通訊傳播委員會自今年9月13日時會公布累積發送簡訊則數與累積刪除的簡訊則數。

在簡訊實聯制的情形，電信業者至少會蒐集到民眾的電話號碼、約略位置資料。而在紙本實聯制的情形，依不同場所會蒐集不同的資料，可能會包含姓名與聯絡電話。

我國《個資法》對於個人資料的定義包含自然人之姓名、聯絡方式、社會活動及其他得以直接或間接方式識別該個人之資料。

紙本的資料蒐集，可能無法落實完善的管理

儘管我國《個資法》並未明文將位置資料納入個人資料定義中，然而參考國外立法例，諸如《歐盟一般資料保護規則》（General Data Protection Regulation, GDPR）、《加州消費者隱私法》（California Consumer Privacy Act of 2018, CCPA）與《加州隱私權法（California Privacy Rights Act of 2020, CPRA）均將位置資料列入個人資料的範疇，甚至位置資料亦可能符合我國《個資法》中「社會活動」之定義。

因此，不論是姓名、電話或位置，均應為我國《個資法》所保護。

指揮中心曾於今年6月29日針對簡訊實聯制的合法性、正當性與必要性進行說明，惟本文主要欲探討的是，指揮中心要求各場所落實實聯制措施此舉，其在《個資法》上應屬於委託他人蒐集處理個人資料，應依《個資法》及其施行細則第8條規定落實適當監督並定期確認與留存相關紀錄，甚至必須回應當事人關於《個資法》的權利行使。

如以GDPR的規範架構來看，指揮中心要求各場所落實實聯制措施，其係決定個人資料處理目的與方式的控制者（Controller），而各場所與電信業者依照指揮中心指示蒐集個資，僅係代控制者處理個人資料的處理者（Processor），指揮中心必須負擔其相關責任，並且監督各場所妥善落實實聯制的個資保護措施。

儘管指揮中心的實聯制措施指引，便曾提醒如以紙本供當事人填具個人資料時，應以遮蔽或其他適當方式保護填寫者之個人資料，避免後填寫者得閱覽先填寫者之個人資料，並且各主管機關應依《個資法》第22條規定，監督所轄非公務機關。

然而走訪各地，可以看到不少店家是擺放紙張於門口供人填寫，相關個資一覽無遺，同時紙本的實聯制資料是否依循指引僅保留28日亦有疑問。

民眾不能調閱自己的足跡，有違《個資法》現行規範

另外，在當事人行使《個資法》權利的部分，個資當事人依《個資法》第3條享有查詢、閱覽或製給複製本等權利，指揮中心雖於今年9月推出「簡訊實聯制－民眾資料調閱紀錄」平台，民眾可至該平台查閱28日內有無疫調人員調閱過民眾的簡訊實聯制資料。然而，民眾卻無法查詢其自身的足跡紀錄。

如本文前揭說明，指揮中心基於委託人的地位，其必須以適當方式使民眾行使其《個資法》上的權利，例如以便利的方式查詢其28日內的足跡紀錄。然而依照指揮中心提供的「實聯制登記表範本」備註中，其關於當事人權利行使的內容係保留給各場所填入，指揮中心明顯尚未認識到其作為委託人，必須負責回應當事人權利行使的此一事實。

防疫這件事，民眾跟指揮中心都仍在摸索，如何拿捏權利保障與遏止疫情的平衡點確實困難，在實聯制的方面，可以觀察到政府努力遵循資料最小化等個資保護原則，並且考量其合法性、正當性與必要性，然而在前述委託監督與當事人權利行使等面向，本文期待政府能進一步依法落實相關規定與措施。

延伸閱讀
習近平對民主的四種詮釋：中共的「民主」不像西方國家只是一場戲？
監察院廢不廢（上）：五權憲法是失敗的政府體制試驗品嗎？