台灣

我們有不被eTag窺看的權利嗎?

公部門蒐集資料前,並未詢問當事人是否願意授權。此「主動授權」的動作,背後的價值是尊重個人對自身資料有控制權。


eTag 感應貼紙。
eTag 感應貼紙。攝:徐翌全/端傳媒

或許不久的將來,eTag讀寫器將會布滿市區道路,成為下一階段智慧運輸重要的推手。從1990年代發展至今,智慧交通走向大數據時代,不只是車輛定位,如今我們要的更多。但在便利與效率之下,魚與熊掌總是不可兼得,科技進步免不了需要個人做出一點犧牲來為國家效力。eTag作為交通流量管理的工具,意味着個人得向政府提供自己的行車資訊,以利大數據分析。但這是否也意味着「老大哥」正在窺看着我們?我們有沒有權利不被窺看?

擔心因蒐集交通管理資訊,導致行蹤隱私曝光的質疑早已存在。2007年「紐約市計程車工會」(New York Taxi Workers Alliance,TWA)號召旗下會員在9月5日、6日展開罷工。這場罷工的導火線起於「紐約市計程車與轎車管理委員會」(New York City Taxi and Limousine Commission)要求全市的計程車必須安裝GPS定位系統。

紐約市的計程車司機們爭相抱怨,除了自己得支付服務和安裝費用外,GPS定位將讓司機的行蹤無所遁形。也有司機解讀,加裝GPS系統的背後,恐怕還有「反恐」的意味,因為在紐約,九成以上的司機都是國外移民,他們相信自己被設定為潛在的恐怖份子而管理。

雖然「紐約市計程車與轎車管理委員會」強調已和系統業者簽署嚴格的條約,不會將司機的行蹤紀錄暴露給第三方,GPS系統是為了提供更好的服務品質,但這樣的解釋依舊未能撫平司機們的疑慮。9月罷工如期上演。只是罷工結束後,這項計畫仍繼續推動。

去識別化後不算個資?

科技技術帶來的效益與隱私保護間的辯論一路蔓延至今。當台北市長柯文哲提出打算以eTag進行交通流量管理時,隱私權的爭議再度浮現。

根本的問題在於,安裝eTag的無數使用者當初和遠通電收簽的約,僅僅是為了使用eTag作為國道電子收費使用。如今地方政府要蒐集資訊,「加碼」把它用在市區交通流量管理上頭,卻也沒知會使用者一聲,是否侵害了使用者權利?

面對質疑,不論是中央政府所屬的高速公路局或是地方政府,都認為eTag的讀寫器所能掃描到的,不過就只是eTag的「外碼」,且「外碼」無法直接連結到遠通電收後端的使用者個人資料庫。因此這一「外碼」,應視為已「去識別化」的資訊,而非個人資料。既然無法藉由「外碼」連結到特定使用者,又何來「行蹤曝光」的可能?

政府也口徑一致地告訴人民,即便eTag的「外碼」屬於個人資料,但根據《個人資料保護法》,用在特定目的上而蒐集的個資,在「促進公共利益」的前提下,得以作為「目的外使用」。因此並無侵害個資保障的問題。

法務部在2014年曾經針對這個問題發布一份解釋函,這是政府目前採用的見解:公務機關保有的個人資料,運用各種技術予以去識別化,呈現方式已無從直接或間接識別特定個人者,非屬於個人資料,也不在《個人資料保護法》保障範圍。

但這樣的見解聽在長期關注個資隱私風險的學者耳中,只感到政府機關對於個資隱私保障的理解,實在粗淺。

中研院法律研究所副研究員邱文聰接受端傳媒訪問時強調,判定是否屬於「個人資料」有幾項要件,包括:可標定性,可否在一堆資料中標定出特定個人;可連結性,個人的資訊可否在一批資料或多批資料中被連結起來;可推論性,可否藉此推論出相關的其他資訊。

若以這些標準來檢視eTag「外碼」,首先它的確能對應到特定車輛的車籍資料;且透過特定路段與時間所掃描到的資訊,推論出某些車輛的行駛路徑。若再搭配其他日常生活中可取得的資訊,eTag「外碼」並非不能標定出個人,或是辨識出某些特定的行為模式。「所以它的可識別性不在於它是否存在『直接可識別』的資訊,而是透過這三種方式進行識別,屬於一種間接識別。既然可間接識別個人,當然屬於個人資料。」邱文聰說。

另外像是政府機關認定的:「eTag『外碼』已『去識別化』,經『去識別化』後便不算個資。」「開放文化基金會」法制顧問林誠夏反駁,究竟什麼程度的去識別化才能為公眾所接受,法務部上述的解釋函並沒有充分解釋,因此形成一個作業上的中空地帶。

過去健保署的健保資料庫,在經「去識別化」後釋出給學術單位研究利用。但台灣人權促進會便發現,即使是「去識別化」後的資料,只要取得日常生活中的部分資訊,在資料庫內交叉比對後依舊能辨別出特定對象。

民間學者的質疑突顯了台灣對個資的「去識別化」處理缺乏規範。目前台灣公眾資料在釋出和應用上,多是由蒐集資料的一方單方面決定釋出的形式和「去識別化」的方法等。「去識別」本身沒有一定程序,也缺乏社會共識。

但大數據時代底下,資訊以過去無法想像的方式進行連結、分析,也讓個人隱私被暴露的風險更甚以往,因此行政機關的「去識別化」往往受到民間挑戰。例如2006年美國線上(AOL)釋出65萬用戶3個月內的搜尋紀錄,雖然釋出的資料已經「去識別化」,以隨機亂碼取代用戶名,但《紐約時報》成功將部分資料「再識別」,並公開某一位使用者的真實身份。

在台灣,過去健保署的健保資料庫,在經「去識別化」後釋出給學術單位研究利用。但台灣人權促進會便發現,即使是「去識別化」後的資料,只要取得日常生活中的部分資訊,在資料庫內交叉比對後依舊能辨別出特定對象。

也因為資料間的連結恐侵害個資安全,歐盟早在2011年便針對RFID技術提出「隱私影響評估」(Privacy Impact Assessment,PIA)的架構,分析其中是否包含個資,並依照內含資料的敏感程度分級,明定須進行不同程度的風險評估。

無線射頻辨識

無線射頻辨識(Radio Frequency Identification)是指通過無線電訊號識別特定目標,並讀寫其上的相關數據。目前悠遊卡、eTag均使用該項技術。

但在台灣僅是簡略的認定「去識別化」後就不再算「個資」,卻沒有針對「去識別化」的程度有一定的風險評估。這樣的「去識別化」資訊,是否輕易能經過交叉比對後,就標示出某一特定對象的行蹤路徑或行為模式,讓個人的行蹤隱私被掌握?

至於地方政府認為,即便eTag的「外碼」是個資,但行政機關拿來用在交通流量管理上,依舊屬於合法的「目的外使用」。邱文聰也提出不同見解:「所謂的『目的外使用』,應該是遠通電收和客戶簽約後,把拿到的eTag資料用在高速公路收費以外的業務上,才算『目的外使用』。」如今地方政府或其他單位,並非是由遠通電收提供資訊做利用,而是自己架設了eTag掃瞄器,藉此掃描道路上的車輛數,邱文聰認為,這樣的做法並不符合「目的外使用」的定義。

不只民間學者提出質疑,就連台北市政府內部,對於蒐集eTag資訊是否符合《個人資料保護法》也有不同見解。一場由台北市交通局長鍾慧諭主持,關於「蒐集eTag資料是否侵害人民隱私權」的座談會上,台北市法務局的代表直言:「是否屬於個資,得要回歸《個人資料保護法》認定;假如認定為個資,還涉及是否適用《個人資料保護法》中對於蒐集、利用的規定。」

法務局的代表甚至語重心長的建議,行政機關不該拿《個人資料保護法》當擋箭牌。與其一再強調自己是為了「職務必要」而進行蒐集,不如主動設計出讓民眾能選擇「可否退出、或自願加入(資訊蒐集計畫)」的機制。

被隱形的資訊自主權

一邊欣喜着科技帶來的躍進;一邊卻質疑安全與合法性,兩造間的落差,讓台北市交通控制中心主任林育生有些驚訝。他說就交通管理單位的角度而言,他們並沒有打算窺看個人行蹤資訊,也沒打算標定個人的位置,僅僅只是為了獲取車流、旅行路徑和時間,來改善交通決策。他問:「像Google Maps也有在蒐集個人位置的資訊,用蒐集來的資訊作為他們導航系統的基礎資料啊?」他不解為什麼行政機關在爭取進步的同時,遇上了這些阻力。

但與Google Maps不同的是,地方政府在進行蒐集前,並未詢問當事人是否願意授權。但是當我們開啟Google Maps的個人定位服務時,首先會跳出一個對話框,詢問使用者「需要您的授權,才能存取您的位置,」使用者得同意授權後,Google Maps才有辦法進行衛星定位。

這個「主動授權」的動作,背後的價值是尊重個人對自身相關資料有「控制權」:要不要把資料交付出去,由當事人自己決定。

「像我常舉一個例子,荷蘭的房子大多會有窗簾,不過多數家戶不會把窗簾拉上。但有了窗簾便是一種自主控制:你可以決定哪時要讓陽光進來,哪時不讓他人的目光進來。」中研院資訊科學研究所研究員王大為用這個比喻說明,「自主控制」是個資蒐集的前端門檻,但在台灣卻直接跳過前端的議題,只討論後端「去識別化」等技術的爭議。

缺乏前端對於資訊自主權的尊重,讓行政機關在進行資料蒐集與應用時,往往跳過「政策溝通」,「eTag有這麼多其他利用,又是交通流量管理、又拿去做停車管理,但很多人根本不知道啊!」王大為憂心地說,「你很容易會覺得這東西(eTag)方便,又能有很大效益,但(這樣的態度)走下去會很危險。」很多人會願意為這個政策提供個人資訊,但也有部分的人不願意,時代走到如今,就不該以犧牲任何人的方式成就政策,應該要能尊重不願意的那些人,「這才是個資保障的核心價值」。

去年底《個人資料保護法》修法後,將公務機關「違反蒐集、利用與處理」的刑責刪去……只要公務機關並非故意將蒐集來的個資拿去做營利使用,基本上不會有任何刑責……邱文聰憂心,未來當公務機關「不小心」侵害個資後,民眾恐怕沒有司法救濟的手段。

在國外,對於蒐集資料階段設計出「Opt in(選擇參與)」和「Opt out(選擇退出)」制度,便是為了維護個人資料的控制權。例如英國針對一般個資或電信個資都要求以「先取得個資主體同意為原則」,也就是Opt in,蒐集資料的單位也會詳加說明蒐集目的、使用,並提醒加入蒐集資料可能產生的後果等。而這樣的制度,便是奠基在「個人為自我資訊利用之決定權人」精神上。

eTag使用上如果要設計「Opt in」和「Opt out」機制,也可以參考採用相同的方法。

2015年12月15日,歐盟執委會(European Commission)通過《一般數據保護條例》(General Data Protection Regulation,GDPR),將個資保護的規定再加嚴一些。GDPR要求「蒐集歐盟人民資料、和在歐洲進行業務」的業者,在蒐集個資時應經過當事人「明確的同意」,且允許人們在特定條件下,有權利要求「移除」(Opt out)自己的個人資訊。GDPR同時定下高額的罰金:違反規定者,最高罰緩可處該公司「全球」總營業額的4%或2000萬歐元(約1.7億港幣/2200萬美元)。

雖然台灣的《個人資料保護法》過去也參考了歐盟的制度架構,不過台灣卻少學了幾樣。以行政機關來說,資料搜集與目的外使用,不一定會主動告知民眾,更遑論「退出」的權利。像是上述健保署將健保資料庫開放學術研究使用的案例中,台灣人權促進會便提出主張要「退出」,卻遭到拒絕。因為在台灣的法令中,並未設計民眾主動退出的機制。而台灣人權促進會也因此與健保署對簿公堂。

「另外我們現在的制度設計,還缺少了『內控』與『外控』的監督單位。」邱文聰解釋,台灣的行政機關本身沒有建立一個獨立單位來監督資料蒐集應用過程中的安全性;外部也缺乏一個獨立的機構來監督各行政單位資料保護、去識別化機制,以及機關間資訊交換是否妥當等問題。

加上去年底《個人資料保護法》修法後,將公務機關「違反蒐集、利用與處理」的刑責刪去;換句話說,只要公務機關並非故意將蒐集來的個資拿去做營利使用,基本上不會有任何刑責。前端缺乏給予民眾個資的控制權;後端對於公務機關在蒐集、利用與處理個資上又僅只有寬鬆的規範,且對於「去識別化」機制缺乏風險評估,邱文聰憂心,未來當公務機關「不小心」侵害個資後,民眾恐怕沒有司法救濟的手段。

須更好的安全評估與規範

回到eTag議題上,雖然並非所有的資料蒐集,都應該以同樣嚴格的標準去規範,「例如今天發生大規模傳染病,為了疫情控制需要,政府當然得使用強制的手段取得一些個資。」但邱文聰質疑,「交通流量管理」這一項目的,重要性是否真的大到得要蒐集民眾的行蹤路徑才能完成?且當eTag有可能觸及犯罪偵防與監控等問題時,政府能否越過那道界線,還值得好好討論。

邱文聰強調,關心個資安全的人並非一味反對任何資訊開放,而是希望能有更好的安全評估與規範,讓資訊開放使用與安全保障並進。

而王大為則是從技術面提出建議,認為地方政府應先就政策的風險與效益對大眾好好說明,同時設計主動參與的機制,「其實我相信多數人會願意加入這個計畫,像『waze』這個提供即時交通資訊的app,就是使用者提供個人的交通資訊建立起來的。但重點就是要主動告知並給予民眾選擇。」至於是否會因為蒐集的資料少了,影響到後頭交通流量計算的品質?對此張學孔倒是一點也不憂心,「不見得要掌握所有的資訊,才可以降低道路流量。有些研究認為只要有25%的車流資訊,就可以做好交通指引,來降低車流,有些研究認為掌握36%的資料便可以。」

地方政府大張旗鼓宣示要對抗塞車,但透過科技手段,藉助個人資訊以打造一套智慧運輸系統,究竟只是為了解決塞車?又或者,最終的效益究竟該是什麼?

從90年代長途客運以三角測量辨識位置開始,「如今有一天我們可以想像,你拿着手機輸入目的地,手機會告訴你有哪幾種交通路徑和交通工具可以選擇。你可以自己開車、和人共乘,或是搭乘大眾運輸工具,手機還會告訴你,選擇哪條交通模式,將要付出多少成本。」張學孔彷彿看見那景象般,陶醉地說着。

智慧運輸讓「人」的移動更有效率,「但最終目標是要走向『綠色運輸』,把都市還給『人』而不是『車』。」

張學孔

智慧運輸讓「人」的移動更有效率,「但最終目標是要走向『綠色運輸』,把都市還給『人』而不是『車』。」張學孔解釋,時間和交通成本,是個人選擇交通方式兩大因素,有了交通流量分析,才能對症下藥協助改善旅行時間的長短。但要走到「綠色運輸」,還得搭配其他政策,像是增設公共運輸系統和合理的交通成本,才能讓人在選擇交通工具時轉移到大眾運輸上頭。

以台北市為例,一天1300萬旅次,其中卻只有480萬使用公共運輸。即便花了新台幣700多億(約160億港幣/21億美元)建設捷運系統,但使用者多是原本的公車族。公共運輸的使用無法提升,原因就在於交通成本。張學孔計算,自行開車的人所付出的交通成本僅佔應付成本的60%;而機車用戶更低,付出成本僅有應負成本的35%。「很多人覺得騎機車很方便,但當他付出的不是應付的成本時,這就是一個虛假的便利。」

如果只是透過交通流量管理,改善旅行時間,卻沒有將使用私人交通工具的民眾轉移到公共運輸上,那麼道路永遠都是這麼多車,這些交通工具,依舊是都市裏移動污染源的最大宗。即使有了「智慧」,依舊不是「綠色」。

至於如何提升公共運輸的使用?張學孔以英國倫敦為例,「倫敦有個『擁塞費』,最早是5英鎊(約55港幣/7美元),現在調升到11英鎊(約122港幣/15美元),車子要進入市區就得繳交。20%的私人小汽車數量因為這個費用開徵而消失,其中四分之三使用者轉移到公共運輸上。倫敦再把收來的錢用在公共運輸上,將6千多個公車站全部資訊化,增加公車專用道。」當移動污染源下降,醫療支出也能因此減少,整體都市環境品質也跟着提升。

談到這裏很多人會質疑,這不等於變相懲罰住不起都市中心的通勤族嗎?張學孔嘆了一口氣,「原本捷運的規劃,應該是每一個車站附近都要發展成一個小型的生活圈,滿足鄰近居住人口的生活休閒與工作需求,而不是用來快速的把勞動力載往市中心。」但因為交通建設與都市規劃並沒有等量發展,才導致捷運系統僅是通往市區的交通工具。

說到底,eTag只是其中一項手段,藉此讓智慧運輸更完善,但要走向綠色運輸,不僅僅是交通流量管理,都市計畫、能源價格與運輸成本都得納入考量,「現在台灣還是『車本位』,想着怎麼讓車子最快到達目的地。」張學孔笑着說,距離「把城市還給人」這個目標,我們還有好多需要學習。

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧