台灣大數據防疫解密：效率與風險之間，如何做到鋼索平衡？

相較於全球COVID-19疫情至今仍以每日增加超過10萬例確診的趨勢不斷迅速攀升，台灣政府謹記SARS慘痛的教訓，到6月21日為止，將疫情控制在僅446例確診，7例死亡。在疫情爆發前，恐怕從沒有人能預想到，緊鄰疫情發源地的台灣，竟能守得如此嚴密，把一切可能的傷害都控制在相對微小的範圍內。

防疫有成，絕非僥倖，是防疫團隊與全台民眾共同努力的成果；然而得之不易的安全，也並非毫無代價。面對COVID-19所帶來的巨大威脅，為了保衛社會安全之故，台灣政府遂行種種「必要之措施」，透過身份識別串連不同資料庫，打造出有效的標記與區隔工具，希望能找出所有可能讓疫情擴散的風險。以科技防疫為名，我們或許就正在見證後疫情時代的數位毛細孔治理術。

我們必須要警覺，那一套統治技術其實是任何政府來做都會很危險的，我們卻不知不覺地往那個方向、去建構那樣子的一個環境

疫情之中，台灣快速向「實名制社會」前進

攤開台灣防疫大事紀，為了抵擋看不見的病毒，就得讓每一個人變得更加透現。測量體溫、詢問行蹤、取得姓名、聯絡方式都成為疫情日常的一部分。從1月底開始，政府很快地就把移民署出入境資料庫勾稽到健保資料庫。只要民眾去看病，健保卡一插，螢幕上就會自動顯示幾月幾號從哪裡回來。即便症狀同為發燒，如果知道病人是從武漢回台，醫師診斷勢必就會有所留意。

「這樣的一個資訊系統，是醫療院所診斷時很好的工具」，健保署署長李伯璋說。

但也有些民眾可能因為擔心自己被隔離，看病時試圖以未帶健保卡為由，隱匿高風險旅遊史。有鑑於此，健保署隨後再進一步修改系統，無論有無健保卡，醫事人員只要輸入民眾的身份證字號，即可查詢旅遊史資訊。

至於為了防範居家隔離、居家檢疫者任意外出的電子圍籬系統，除了串接衛政體系之外，也還會納入民政與警政體系。前者負責日常通報查核與支援協助，後者則是作為落實隔離檢疫的最後一道保險。若系統顯示對象脫離監控範圍，便會即刻發送告警簡訊給當事人與有關單位，而警方也會前去巡視。

行政院資訊安全處處長簡宏偉透露，二月系統剛上路時，因為民眾警覺心仍不夠高，「跑出去」的監控對象大概有三成左右，但隨著歐美疫情變嚴重後，民眾逐漸心生警惕，以目前來說，「跑出去」的監控對象大約不到1%。「我們的民眾很乖。」簡宏偉如是說。

此外，當疫情影響逐漸加大，可是口罩產能還無法跟上需求，為確保口罩公平分配，2月初政府旋即推出口罩實名制，協同全台藥局作為販售通路，藉由健保卡驗證民眾身份與購買資格。剛開始每人每週限購2片口罩。隨著產量提升，3月初改為每週3片；等到4月時，則再增加為14天9片。隨著口罩配給片數提高，政府也繼續推動「口罩實名制2.0」，緩解每間藥局外無止盡的排隊人潮。

於是，原本提供給民眾瞭解個人就醫情況的健康存摺APP，便被徵用來提供民眾登記購買口罩。除了可以透過健保卡與自然人憑證在APP上進行身份驗證之外，也開放使用手機門號驗證。李伯璋坦言，他剛上任健保署長時，健康存摺APP的下載量只有31萬，現在因為疫情的緣故，已暴增到470幾萬。

等到台灣實施「口罩實名制3.0」時，則正式納入四大超商實體通路。此後民眾在超商多媒體事務機（KIOSK）就可以直接讀取健保卡，驗證身份與購買資格，再到櫃檯付款，隔週回去原超商就可以領取口罩。此時，民間團體台灣人權促進會開始質疑，此舉有違法疑慮，批評台灣政府出賣民眾的個人資料。

不難察覺的是，台灣各式科技防疫應用中，透過系統「知道你是誰」至為關鍵。而環繞著全民健保制度與健保IC卡所構築的身份體系，幾乎就成為橋接一切的核心樞紐。隨著系統不斷串接起另一個系統，形成愈來愈龐雜的單一網絡，也就得以更加立體地形塑出每一個人的樣貌。如今健保卡就好像是一張愈來愈萬能的通行證，可以打開更多原本打不開的門。它不僅可以看病，甚至還可以拿去報稅、買口罩和領三倍振興券。

雖然依照全民健康保險法原初的立法精神來看，健保卡理應只能用於健保，不該挪作他用，「可是法律的寫法，讓唐鳳有一些空間可以去操作。只要東西不儲存在裡面，就通通沒事」，中研院法律所副研究員邱文聰解釋。

根據《全民健康保險法》第16條第1項但書之規定，健保卡「不得存放非供醫療使用目的及與保險對象接受本保險醫療服務無關之內容。」

但邱文聰分析，「那張（健保）卡除了作為儲存的功能之外，其實可以作為單純的讀取功能，而這個讀取的功能，可以提供作為身份識別之用，所以那張卡就變成了某一種身分證，就是eID還沒發行之前的eID，實名制就是靠這張卡來做。」

當政府在科技應用上不斷追求有效、精確與便利的同時，恐怕也悄悄地打開了個人隱私不再的潘朵拉之盒。沒有人知道，等到疫情過後，盒子是否就會完全闔上？

「整個疫情引發台灣社會對於實名制的接受程度，很令人怵目驚心」，邱文聰坦言，「如果我們的社會氛圍就是接受實名制的話，補不補全民健保法那個漏洞，其實差別不大。終究我們要面對最核心的問題是整個（民主）防禦體系的瓦解跟崩毀，好不容易建立起來一些對於國家權力限制的機制，或者是大家覺得應該要有的界線，一下之間好像大家都覺得沒關係了。」

「我們必須要警覺，那一套統治技術其實是任何人（政府）來做都會很危險的，我們卻不知不覺地往那個方向去建構那樣子的一個環境」，邱文聰提醒，「政府很喜歡去舉其他國家數位化的例子，來作為推行實名制的依據，但卻沒有考慮到說，其實很不一樣的社會文化環境或基礎，有可能會導向截然不同的兩種社會。」

究竟，在疫情的催化之下，台灣會成為下一個基進透明的愛沙尼亞，亦或是更加親近於我們看似進步發達的鄰居？

防疫期間，政府除了一步步夯實台灣社會邁向實名制的基礎，事實上，若是仔細推敲整起鑽石公主號事件中政府的因應作為，並對照去看那篇刊登在《醫學網路研究期刊》，由前行政院副院長陳其邁領銜，與台大公共衛生學院院長詹長權、李伯璋和簡宏偉等11人所共同撰寫的論文，將會發現更多所謂「大數據防疫」的端倪與弦外之音。

手機大數據疫調：政府穿越人海「找到你」

2月初，突如其來的鑽石公主號事件，像是猛然迎頭撞上台灣好不容易才剛要築起的疫病防波堤。雖然事後看來波瀾未興，也未造成重大社區感染，彷彿就只是虛驚一場。可是在那個時空環境當下，誰也沒有十足的把握說，一切都會沒事的。

時間倒轉回1月31日，鑽石公主號靠港基隆，當時2千多名乘客下船遊覽的足跡遍佈北台灣各大觀光景點。數日後，郵輪繼續航行到日本，卻驚傳有10人確診COVID-19。眼看著鑽石公主號的疫情愈發嚴峻，最終一共有712人確診，平均每5人就有1人被感染，更造成13人死亡。

可是如何展開疫調成了大難題，到底誰下了船？誰又去了哪裏？而誰碰到了誰？問題一環扣著一環，一時千頭萬緒。「那時就在想說可以怎麼做，就有一個想法，現在大部分人都會帶手機，那有沒有可能利用手機去找出來？」簡宏偉回憶。

因此他們即刻找來五大電信業者開會，確認透過基地台找出漫遊註冊的國外手機門號是可行之後，便著手展開調查。「先找出外國遊客的門號；第二，找出他們到底去過哪些地方；第三，這些地方（的）範圍裡，到底有多少國內民眾？」簡宏偉說。

首先，為了確認船上乘客持有的手機門號，他們根據交通部提供的鑽石公主號航線，請其中一家基地台設置比較多的電信業者找出沿線的基地台，並延長擷取資料的時間，把到港和離港時間，前後各再加上2小時，確認在這段時間內，從基地台撈出來的手機門號一直都在這條線上，如此就比較有把握判定這些手機門號是屬於船上乘客的。

再者，為要找出這些乘客到底在這一天內去過哪些地點。他們先去找了和郵輪合作的旅行社，看看有哪些熱門的觀光行程，並透過國道eTag系統確認旅行社遊覽車的動向。接著協請基隆警方詢問，有多少在地計程車司機當天有載到外國遊客、去了哪裡。然後針對第一階段已經找出來的乘客手機門號，請電信公司再透過基地台找出這些門號行經的地點。調查後發現，大概所有乘客移動的範圍都在北台灣，「這樣子我們就覺得還好，就是區域性、桃園以北」，簡宏偉說。

最後，則是要去估算可能暴露在這些特定地點的民眾到底有多少人。依據醫師專家團隊的建議，他們請五大電信業者將篩選條件設定為以標示地點周邊的基地台為中心，距離500公尺以內，停留超過5分鐘以上的民眾，即被認定為是有可能接觸到鑽石公主號乘客的暴露族群。根據論文提供的數字，最終計算加總共有627,386人。

不過針對這套技術，簡宏偉也不諱言，其實各家電信業者撈取資料的演算法都有不同，基地台資料本身的品質也存在差異，但資安處並不會過問資料取得的方法或是確認資料正確與否，「對我們來講，他資料不用給我們，因為我們只是想知道那個數字多少。有困難的時候，我們就會找大家一起討論怎麼解決。」

簡宏偉認為，相較於看似更精確的GPS，「以這樣的不精準，已經可以達到我們要的效果，只要知道範圍就可以了。我們不需要知道精準的這個人是在這個點，還是差個10公分、20公分。」他也強調，「我們用電信訊號，其實是（達到）隱私保護跟疫情調查的平衡。人權這一道線，不可以跨過去。」

可是邱文聰從歐盟GDPR的標準來看，卻是不以為然。歐盟容許使用的是非標定個人的整合資料（aggregated data），但他認為，簡宏偉的意思是說，「我標定個人，可是我是模模糊糊地標定，所以我不算是。」這和歐盟標準截然不同，「那就是在標定個別的人，不是說我的解析度不夠高、因為我不是用GPS、只是用基地台，然後有幾公尺的誤差，所以還好。因為你已經是以特定個人為（追蹤）對象了。」邱文聰說。

然而，台灣終究不是歐盟，防疫上考慮的往往是更實際的問題，找出標示地點、暴露族群後，接下來要思考的則是如何通知這些對象。在指揮中心2月7日的記者會上，衛福部部長暨防疫指揮官陳時中表示，針對鑽石公主號一案，能夠掌握的特定接觸對象，都會盡可能地去做詳盡疫調；但就更廣大的不特定接觸對象而言，則會透過災防告警細胞廣播訊息發送通知。如同較大的地震發生前，都會收到中央氣象局的告警訊息一樣。

因此當天晚間快八點時，所有居住在台北、新北和基隆的民眾都會收到由指揮中心發布的細胞廣播訊息，呼籲1月31日有到訪標示地點者，應進行自主健康管理至2月14日，並提醒民眾留意發燒和呼吸道症狀。同時還附上一個Bitly的短網址，可以連結到一份標示出所有船上乘客到訪地點的Google地圖。

然而當天晚上，有一位網友raysun0130在PTT八卦版發文提到，他人不在北北基，因此並沒有收到細胞廣播訊息，但卻收到了另一封簡訊，內容完全相同。他在文章底下的推文中自陳，1月31日確實有經過台北車站（標示地點之一），可是同行家人卻也沒有收到簡訊。他很疑惑到底這是怎麼一回事？

事實上，他應該就是那627,386分之1。然而一直要等到5月中陳其邁等人的論文刊出後，外界才終於得以完整拼湊出事情的原貌。雖然在2月14日的記者會上，陳時中有約略提到，「在北北基發出的簡訊裡，我們大概就是看了60萬人。這裡面看病的人有19萬人，有6萬多人有呼吸道相關的疾病。」

然而當時外界並未細究數字從何而來，陳時中所謂的「看了60萬人」，其實指的不是向北北基不特定民眾發送的細胞廣播訊息，而是後來透過電信業者直接向那627,386人發送的一般簡訊，於是那位IP位址在桃園的r網友也才會收到那封簡訊。

簡宏偉表示，當時顧慮到「有些人可能是從南部來玩的，其實他不是住在這個範圍之內，那這些要不要通知？所以我們後來就建議說，針對這62萬多人再發簡訊。」然而兩階段的作法，一直要等到論文披露後才比較廣為人知，起初包含媒體報導在內，多半都以為只有發送細胞廣播簡訊。

健保搭配大數據監控：如何保證不走向「濫用」的險境？

但為何陳時中又能知道60多萬人裡，看病的人有19萬人？簡宏偉還原當時決策的考量，「大家一定很想知道，到底鑽石公主號的遊客下來，有沒有對台灣的民眾造成感染。那你要怎麼做？後來就是希望健保署去追這一段。」於是從電信資料通往健保資料的旋轉門就此被直接推開。

「陳（其邁）副院長在organize的時候，一定是要有一些相關的資源去配合。我是被告知說我要做什麼事情，他希望得到什麼資訊」，李伯璋表示，在他看來，公衛出身的陳其邁，「很有效率很有概念，知道善用健保的大資料庫去處理（疫情）。在這方面，同仁都是使命必達。」

「拿到這些（基地台）資料以後，我們就請電信公司是不是可以給我們這些手機登錄的人，然後就把資訊pass給健保署，可是手機的門號我們就沒有pass給它（健保署），因為對它來講，手機是不需要的」，簡宏偉解釋，那個資訊就是「當初登記這個門號的身分證，這樣可以再從健保（資料庫）這邊去觀察，這批人裡面，有多少是後來有感染或確診的。」

「他們透過五大電信公司，很快就把那個名單給我們」，李伯璋證實，資安處提供的即是身分證字號，然後健保署再把那批名單對應到健保資料庫去做分析，「鎖定是不是有上呼吸道的症狀，或是腹痛（的病人）。假如一直在看病都沒有好，那可能我們就會特別再去訪查。」

根據論文指出，截至2月29日，62萬多潛在接觸者中有121人因肺炎住院，其中有24人被通報為疑似COVID-19，但最終檢測結果均為陰性。而41名仍在住院的潛在接觸者，有23人接受檢測，亦全顯示為陰性。

李伯璋進一步說明，「我們一直有show資料給資安處，每天都有給他這60幾萬人目前的狀況，譬如說，李伯璋，從幾號到幾號，每天都會告訴他說，什麼時候去看病，都會列出來，看病一次、兩次、三次、五次，都會有不同報表出來。」根據論文所揭露的資訊，至少從1月31日到3月10日為止，指揮中心都有持續透過健保資料庫監控這些人的健康狀況。

此外，針對4月下旬爆發的敦睦艦隊事件，當時指揮中心也是透過電信業者運用同一套技術，篩選條件改為距離150公尺或500公尺以內，視基地台密度與資料品質而定，停留超過10分鐘以上，最終撈出20多萬潛在接觸者，並對其發送告警簡訊。

不過問及健保署是否也有比照鑽石公主號的模式，持續監控這些人的健康狀況時，李伯璋一開始並不篤定，先是打電話向同事確認，問到資料代碼後，又在一個LINE群組內翻查許久，雖有找到檔案，但下載時限也早已逾期，他才抬起頭來說，「應該是有啦，敦睦艦撈資料的情況跟鑽石公主號是同一個概念，我們也是每天都提供資料給他（陳其邁）。研究模式都一樣，那時候邏輯就是這樣。」

在大數據防疫思維主導下，一有大規模緊急狀況發生時，透過電信資料串連健保資料進行接觸追蹤，儼然已經成為指揮中心既定的SOP。如此一來，原本不可見的風險方才成為可被計算的數值，並能針對特定對象持續進行監控，有察覺到任何異常，也都能預先進行處置。然而論文針對62萬多人健康狀況的分析結果卻是令人玩味。

根據論文裡的表2顯示，有收到告警簡訊的62萬多人中，無論是呼吸道症狀或肺炎的比率都低於全人口。但考量到這62萬多人和全人口之間可能存在年齡偏差，作者之一、負責研究結果判讀的臺北醫學大學口腔醫學院副院長陳立昇解釋，未經年齡調整的數字「通常在我們的流行病學的看法是，你過於樂觀推論說，這組照顧得特別好。」

經過年齡標準化調整後，62萬多人發生呼吸道症狀或肺炎的比率確實皆上升，不像原先那麼低，可是還是略低於全人口。「理論上我們感覺這組（62萬多人）應該比較危險，他們做出來沒有（比較危險），他們當然也覺得說好像就OK了、就放心了，實務上來講就覺得說（沒事了）。」陳立昇分析。

最終鑽石公主號事件並未對於台灣疫情造成任何影響，就防疫的角度而言當然是歡迎之至。但從研究的角度來看，若要佐證這套大數據接觸追蹤的方法有效，豈非就是要能夠找出高風險族群嗎？陳立昇坦言，「也有可能我們標定的並不是真正風險高的那群人。假如一個人碰20個人好了，大概也是6萬人，也許這些人真的是比較危險。」但他認為，發送告警簡訊給這62萬多人應該還是多少起了一些功用。

儘管研究結果與預先猜想並不相符，論文依舊肯認這套大數據接觸追蹤方法的效用，並歸因於可能是這62萬人因為收到告警簡訊，對於自身健康狀態較為注意，也遵照自主健康管理的指示，相對減少外出，從而降低了感染風險。詹長權在電話中受訪時表示，研究還是必須試著解釋為何如此，但也一定不是百分之百滿意。至於一位不願具名的公衛學者則認為，能夠想出這套方法做研究值得鼓勵，「可是在學術上的說服力我覺得還可以更好。」

到底這套大數據接觸追蹤方法實際上在鑽石公主號事件中起了什麼樣的作用，或許還是需要更多研究才能下定論。但就防疫實務來觀察，起初指揮中心雖未對外言明，可是等到敦睦艦隊事件發生後，便又立刻動用同一套方法，甚至後來更為之撰寫論文，發表去國際期刊。

這打破了常態跟例外的那條線的一個很危險的狀態。因為你如果把自己圈限在說這就是例外，那民主社會底下，還有一個可以去確認它的可能性，現在例外結束了，你不要再繼續。但是你把例外變成是常態以後，那就會很危險。

「例外常態化」的危機

「這樣子的電信技術是每個國家都有，那為什麼其他國家做不到？」簡宏偉認為，差別在於「有沒有想到，坦白說我自己認為，副院長至少這一點非常靈活。如果原來你問我，我也會認為是說GPS，比較不會直接想到說拿電信的訊號。」他也自豪地說，「至少我們守住了不侵犯人權，或是講最少侵犯，我也不敢講百分之百都沒有。但至少我們自己在檢視的時候，的確是有得到法律的授權。」

姑且不論其他國家到底是沒想到，還是因為知道法律上有疑慮。拉回來看，問題是這套作法到底是根據哪一條法律授權？事實上，《嚴重特殊傳染性肺炎防治及紓困振興特別條例》一直要2月25日才正式公布，因此看似合法概括一切的第7條，「中央流行疫情指揮中心指揮官為防治控制疫情需要，得實施必要之應變處置或措施。」根本無法適用於鑽石公主號事件。而在論文中，則主張是根據2007年修法後的傳染病防治法，政府為了遏制傳染病爆發，取得個人資訊無需經過授權或同意。

這一切看在邱文聰眼裏，卻可說「這就是在胡搞瞎搞。」他認為，雖然從傳染病防治法來看，似乎確實可以找到一些很微弱的規範基礎，但它並不像論文寫得那麼昭然若揭，明白寫下法律有授權政府可以直接調人民資料。可是因為論文也沒有點出到底是依據哪一條，他只能推測其中一個可能是第43條。

根據《傳染病防治法》第43條規定，「地方主管機關接獲傳染病或疑似傳染病之報告或通知時，應迅速檢驗診斷，調查傳染病來源或採行其他必要之措施，並報告中央主管機關。傳染病或疑似傳染病病人及相關人員對於前項之檢驗診斷、調查及處置，不得拒絕、規避或妨礙。」

因此邱文聰推測，指揮中心很可能就是由此擴大衍生，把這條解讀成如果為了調查需要而去蒐集資料的時候，對方同樣也不能拒絕，「43條我說他很微弱，因為他原來設計的並不是處理他們現在講的這種情況。我們講說要做接觸追蹤，傳統的作法是一個一個問。這次他們的手法是用大量的數據篩選過程，然後來達成接觸追蹤的目的。在目的上來講好像是一樣，可是在手段使用上面，其實是完全不一樣的情況。」

不過邱文聰也強調，這並不是說一定不能用大數據做接觸追蹤，可是如果要問說法律依據，很明顯就是沒有，「當初2007年（修法）的時候，絕對沒有想到自己要幹這樣的事情。所以才會覺得說也不太夠，要再弄一個（特別條例）第7條。」

「如果要嚴格去分析，健保制度本來只是為了給付的目的，所以才有這些資料的收集，（健保）並不是為了傳染病防治而存在，所以很顯然那是一個目的外的利用，」邱文聰解釋。但根據個人資料保護法第6條第4款，「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」看似提供了目的外利用健保資料的相當依據。

可是邱文聰質疑的是，當資安處提供一批身分證字號給健保署，再去監控這些人的健康狀況時，真的還能夠宣稱是「無從識別特定之當事人」嗎？身分證字號如果叫做無從識別當事人的話，那還有什麼東西是可以識別的呢？

以GDPR的標準來看，這批資料不僅可以找出個別對象，也可以用來串連不同資料，更可以推論出個人資訊，因此當然完全符合可識別的標準。結果「他為了操作的需要，也不去清楚地講述說到底法律依據是哪一個，這樣子呼嚨來呼嚨去，其實就會把本來好不容易建立起來的個資保護體系、傳染病防治法體系，一夕之間就整個崩解掉。」邱文聰說。

令邱文聰更憂心的是，「現在這套手法其實已經被大家覺得說蠻好用的，不是只有在疫情可以用，平常也很好用，而且他們是沒有反省能力地去覺得說，這個有什麼不對嗎？如果這個說理可以說得通的話，那不要說疫情的時間可以這樣做，平常為什麼不能這做？平常你也可以這樣做，而且也可以為了其他很多你宣稱重要的問題來做。」

「如果我們不知道他在這個時候，到底幹了哪些事，那我們當然就無從去講說，你在平常的時候不要幹這樣的事情。」邱文聰說。歸結到最後，他認為最核心的問題是，「這打破了常態跟例外的那條線的一個很危險的狀態。因為你如果把自己圈限在說這就是例外，那民主社會底下，還有一個可以去確認它的可能性，現在例外結束了，你不要再繼續。但是你把例外變成是常態以後，那就會很危險。」