從實名登記看新冠肺炎對數位隱私帶來的影響

最近，我有時候和幾個朋友去了餐廳吃飯聊聊天，進門之後當然店員會幫你先量個體溫、噴個酒精消毒一下。再來，他就會請你登記你的資料，這都是因為政府的《實名制規定》。這個登記真的非常多元，有的只要團隊裡一個人寫，有的要團隊裡所有人都要寫；有的只要留下姓名、電話，有的還要你留下身分證字號、性別、email什麼的。

我們看一下疾管署所發佈的《COVID-19防疫新生活運動：實聯制措施指引》（以下簡稱：指引）就可以發現，《蒐集之個人資料項目》裡寫道：蒐集資料應符合最少侵害原則，如電話號碼。

對，就是電話號碼。只要電話號碼。沒有姓名，沒有email，沒有地址，更不用說你的性別之類的，就是電話。留電話的原因很簡單，不外乎就是如果有人不小心在你用餐時段被判斷是確診者的時候，可以很快聯絡到你還有一起用餐的朋友們。
但是，這些不管是餐廳，或是公家機構（運動中心）都需要你至少留下姓名和電話，有的更誇張，要你連身分證字號都留下來。這反應了一個我們很大的問題，一是對彼此的信任度不夠，需要“姓名”或是ID號碼作為leverage，二是台灣人對於數位隱私的低敏感度。

我們先來說說追蹤接觸者這件事好了。如果有一個人在這間餐廳不小心感染了肺炎，店家或是機關得提供資料給衛生主管機關依傳染病防治法等規定進行疫情調查及聯繫使用。所以像是姓名，或是其他的資料是完全不需要的。唯一要求我們提供其他資料的原因，很有可能就是當電話號碼的聯絡方式無法達成上述之聯繫目的時，可以透過姓名或是其他像是身分證資料等方式聯繫到當事人。問題就來了，店家或是機關怎麼能夠以防範無法以電話號碼聯繫當事人為由，行侵犯個人數位隱私之實呢？

因為我們人民對個人數位隱私的敏感度不夠，所以店家或是機關得以以這樣的方式，不當地蒐集我們的個人資料。當我們把這些資料提供給對方的時候，我們怎麼能確保這些資料不會被不當地利用呢？

就算在《指引》中明確地寫到：機關應善盡資料安全維護義務，採行適當之技術上及組織上安全措施，並指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。好，也就是說，這些店家或是機關必須要保障你的資料安全，以免這些資料被利用啊、竊取啊、變成會員資料啊、或是甚至是流入資料買賣市場。

在《指引》中更是明舉例：以紙本供當事人填具個人資料時，應以遮蔽或其他適當方式保護填寫者之個人資料，避免後填寫者得閱覽先填寫者之個人資料。來，請大家想想，是不是有一些店家或是機關直接請你在一張表格上填寫個人資料？是不是看得到所有人的資料？再者，《指引》中也提到，個人資料僅能保存28天，屆期需要刪除或是銷毀。你能夠確保你的資料在28天以後能被銷毀嗎？那些使用google docs的店家，你能相信他們在28天之後會刪除你的個人資料嗎？還記得你留下你的姓名、電話、甚至是身分證字號嗎？這些東西跑去哪裡了？是不是具有完全識別性？

我們必須要嚴正地看待這件事情。當然防疫這件事情非同小可，但是個人數位隱私這件事更是每一個人應有的保障。當我們把個人資料交給陌生的第三方時，我們應該要很清楚知道交出去的這些資料對我們來說影響多大。提供這些資料的同時，我們應該問問自己，這些資料對於防疫追蹤有幫助嗎？還是只是白白把自己的個人資料送給對方作為他用？這些「個人資料」使用的目的，我們的對於其認知必須要非常清楚。

我們之後會再更深入探討個人隱私在數位場域中常見的實例。