#數位發展優先保障個資及數位人權
#必須完善個資法制
#設立專責機關
今天早上,我參與國際特赦組織 台灣分會 Amnesty International Taiwan發布New eID研究報告的記者會,透過之前數位身分證政策相關的人權疑慮,說明台灣長期以來個資保護不足的問題,呼籲相關部門加緊腳步。
之前數位身分證政策引發學界、人權團體及立委的許多疑慮,一方面是人權,另一方面是台灣特殊處境的資安及國安議題,去年3月我便透過質詢,要求政府部會要對個資、人權、資安、法制等疑慮好好處理。
去年11月,中研院法律學研究所資訊法中心公布「數位時代下的國民身分證與身分識別政策建議書」,資訊、法學、社會學、政治學等學者共同指出,當時的eID政策將對台灣自由民主體制帶來威脅、欠缺憲法法制基礎,以及可能侵害民眾隱私、增加人民被監控等人權風險。
因此,我進一步與長期關注數位身分證的台灣人權促進會 Taiwan Association for Human Rights 共同召開記者會,和專家學者及愛信任-劉世芳、何欣純、洪申翰 Sun-Han委員一起要求行政院,在制定專法及設立個資專責機關前,暫緩數位身分證,避免侵害全民個資安全及隱私人權,防備中國紅色滲透, #莫讓eID成為民主防衛破口。(https://bit.ly/3jPIJso)
在我及多位立委、學者專家、人權團體的持續監督呼籲下,行政院蘇院長也順應民意,於今年1月決議暫緩數位身分證政策。
但暫緩只是暫時措施,數位發展是不可逆的未來趨勢,但絕不可以因此侵害個資及人權;更需要完整的治理及保障。健全個資保護及管理的法制、設立專責機關才是關鍵根本。
我必須再次強調以下兩大問題:
1⃣個資保護法制基礎不全:
許多專家學者都已提醒,台灣目前的資通安全法、電子簽章法、個人資料保護法等法律不夠完善,難以因應數位時代的變動。
借鏡國外,歐盟在2016年便已提出GDPR(General Data Protection Regulation)《一般資料保護規範》、2018年正式實施,大幅提升對民眾的個資保護,賦予四種權利: #拒絕權、 #更正權、 #資料可攜權 與 #被遺忘權。同時也強化個資專責機關權限,加重企業責任。
相比之下,台灣仍有很大的進步空間,這也是為何我持續督促國發會,希望他們參考GDPR,研擬適用台灣情境的政策,讓個資法早日從宣示掛牌走向實際守護🛡
2⃣遲未設立獨立專責監理機關:
台灣個資保護權責被分散到各個機關,讓各單位想辦法自己管理,主管個資法的國發會只能法規解釋,無法實際處理問題。
人權團體、學界、唐鳳政委都已多次呼籲,應盡快設立 #獨立監理職權的個資專責機關,且層級不能太低,否則根本無法發揮監理的功能🔎
以上兩方面,我已多次和行政院溝通。就我了解,目前專責機關仍在規劃,eID專法及個資保護法律則由羅政委協助處理,特別關注侵害人權疑慮面向,包括這份報告中也有提到的,要保留使用非晶片身分證或關閉晶片功能的選擇。
數位發展必須優先保障個資及數位人權,我們也因此正努力推動數位發展部,希望在數位這條高速公路上,設好紅綠燈、閘道等相關規範,推動完整的治理及保障,不然就會摔倒受傷。
我會持續在立法院監督,也希望行政院加速,讓台灣的數位人權有更完整的保障。
#實質監督
#提出解方
個人資料保護法主管機關國發會 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳貼文
運動手錶隨身裝置資料直通雲端 資安及法規遵循不容輕忽
穿戴科技實現智慧健身 連網隱私供應鏈皆須安全
2021-05-25陳宏志
企業或組織內部對於連網裝置有較嚴謹規範,如自攜裝置(BYOD)相關規定,一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備,有鑑於其功能及能蒐集之資訊等日新月異,企業經營者或管理者規劃蒐集資料、擴大商機之外,在內部管理亦不可不注意。
約三五好友下班後或假日去練空中瑜珈、TRX,或到健身房內使用跑步機、飛輪,這樣的場景處處可見。而運動的過程不僅搭配音樂、錄音/影或社交軟體,以及各類健康管理APP,以便隨時直播、貼文、上傳相片,更會拿起智慧型手機計算消耗之卡路里等,健身時結合穿戴式裝置或軟體,幾乎已經成為全民運動。
由於國人健康意識抬頭,運動產業之盛行也是有目共睹。以民營健身中心為例,依教育部體育署2020年的統計,2019年全臺高達620間,銷售額更已突破新臺幣100億元。當臺灣正掀起一股健身熱潮下,運動結合科技打造新型態智慧健身已成為發展趨勢,各部會也投入相關資源,如經濟部技術處與資策會成立運動科技大聯盟以服務產學研界,宣示帶動運動產業轉型發展決心。且積極健身的同時,民眾常搭配穿戴式裝置(Wearable Devices),如智慧手環或手錶,以掌握心跳、血壓等生理資訊,作為私人教練或自我鍛鍊時規劃運動處方之參考。
二類生理數據/資訊法規各自適用
然而上開情境涉及生理數據或相關資訊,且可能被設備製造商或其他服務業者所蒐集、處理或利用,有關穿戴式裝置蒐集所得資訊是否符合個人資料保護法(簡稱個資法)之敏感或特種個資,以及適用該法規範,曾引起不少爭議。為解決爭議,個資法令主管機關-國家發展委員會(簡稱國發會)於2018年11月,就「業者蒐集、處理、利用民眾自行操作器材所得之生理數據資訊,是否屬醫療或健康檢查之特種個人資料範疇」已有函釋,將這些裝置蒐集所得資訊依對象、目的等分為二大類,並說明各自適用規範。
依國發會函釋重點,若屬受醫療院所委託,為供醫師或其他醫事人員以醫學目的所為之診察治療或基於醫療行為檢查,取得民眾自行操作器材所測量之生理數據資訊,符合個資法對醫療或健康檢查個人資料(簡稱個資)之定義者,這些穿戴式裝置、設備、器材或軟體所蒐集、處理或利用之資訊,不僅符合敏感或特種個資,更應依個資法相關規定辦理,如書面同意等。
但如果不是醫療院所委託,而屬於民眾自行操作器材所蒐集之資訊,因未涉及醫事人員診察(診斷)、治療,或以醫療行為施以檢查等,並不屬於敏感或特種個資。不過由於相關資訊仍會符合個資法對個資之定義,且可能提供給業者進行蒐集、處理、利用之行為,故應依循個資法規範,如履行告知、符合法定情形並於特定目的內利用等,不可不慎。
穿戴式裝置是否符合醫療器材
除了健身器材如為醫療器材應符合法規外,民眾所使用之穿戴式裝置若屬供醫師或其他醫事人員,以醫學目的所為之診察治療或基於醫療行為檢查的用途,其所蒐集資訊除須符合個資法外,因涉及疾病診斷及治療等醫療目的,尚須依循醫療器材相關規範。因醫療器材管理法已於2020年1月公布,將於2021年5月1日施行。但在新法暫未施行前,就醫療器材之管理主要係依藥事法及醫療器材管理辦法為主。如運動時搭配之穿戴式裝置或軟體,先依醫療器材管理辦法附件一所列品項作為判斷依據,再搭配是否具診斷、治療功能或協助診斷、治療等綜合評估。
不管是穿戴式裝置內建,或自行下載之健康管理軟體,是否須納入醫療器材之管理,前提是要先符合法規定義。依衛生福利部食品藥物管理署(衛福部食藥署)於2020年12月修訂「醫用軟體分級分類參考指引」觀之,所謂醫用軟體泛指蒐集、儲存、分析、顯示、轉換人體健康狀態、生理參數、醫療相關紀錄等處理軟體。其使用場所更涵蓋醫療院所、個人居家使用或遠距醫療照顧。
爰民眾搭配健身所使用之穿戴式裝置或APP等,無論是內建或自行下載,依食藥署對外說明,倘該軟體僅為協助掌握日常生活或健康管理需求,如計算休閒或運動時之心率及血氧值,或鼓勵、監控飲食或運動之作息管理,不涉及特定疾病診斷及治療等醫療目的者,暫不涉及醫療器材之管理。反之,已列入前述法令之適用範圍(如附件所列品項),或經綜合評估屬於醫療器材之範疇,則須依循現行管理法規,包含但不限於如遵守產品開發、申請查驗登記相關規範,並清楚刊登廠商名稱、地址、品名及許可證字號等完整內容。
萬物聯(連)網、安全第一
不僅上開個資與醫療之法令遵循需求,穿戴式裝置等連網裝置之安全,也非新興議題。如自2015年起美國聯邦貿易委員會(FTC)及歐盟網路與資訊安全局(ENISA)等主管機關,已陸續提供物聯網(IoT)指引或參考資訊,並推動認/驗證。以FTC為例,像是設計此類產品時,需要考慮身分驗證、以保護產品與其他設備或服務間接觸的端點。連網後如何控管權限、利用現成的軟體工具保障安全,或在啟動產品或服務前進行安全測試,甚至預設安全選項供做出廠設定等,都是其建議廠商應注意的安全防護要項。
此外,除前述對IoT之安全考量或建議,如果企業或組織內部對於連網裝置有較嚴謹規範,如自攜裝置(BYOD)相關規定,一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備,有鑑於其功能及能蒐集之資訊等日新月異,企業經營者或管理者規劃蒐集資料、擴大商機之外,在內部管理亦不可不注意。
另因現代產業因專業分工甚細,生產、製造、銷售或後續服務可能分由不同廠商提供,或採用特定零組件再行組裝,且2019年隨著5G相關產品與服務逐漸興起,運用科技方便迅速之餘,也不能忽略對委/受託業務的監管,以減少或避免風險。這從2020年震驚全球的美國Solarwinds案件就可瞭解發展趨勢,駭客透過供應鏈內的平台,進行竊取其他成員資料之行為,更讓許多企業或組織意識到內部與委外管理一樣重要。基此,穿戴式裝置連網後,不僅在資安管理或隱私保護,確保供應鏈安全亦將是未來應持續關注之重點。
資料來源:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/566EFC7BB1384CDB913F5B2D90FC8E0D
個人資料保護法主管機關國發會 在 高虹安 Facebook 的最讚貼文
▎你曾經在人力銀行網站上找工作嗎?小心你的個資恐已在黑市被叫賣 😱
上個月,虹安才在立法院召開「#數位浪潮下的法制工程」座談會,提出新的個人資料保護法修法主張,今天就不幸傳出疑似某人力銀行 #近600萬筆個資遭駭外洩,被放到中國「暗網交易論壇」標價出售,從20歲到58歲民眾資料詳盡列出,包含身分證字號、姓名、性別、出生年月日、電子郵箱、電話區碼、市內電話、手機號碼、家庭住址等個人資料,以台灣1200萬工作人口估算,等於近半數的詳細個資全都露,令人相當擔心這些個資流出後,未來是否會造成更多不可想像的危害。
其實,不只這次事件,近幾個月資安及個資外洩議題早已層出不窮,先有五月中「新北市公有運動中心」實名制入場機制,民眾的姓名電話等個資被公開在網路上,還能隨意任人更改!而總統府密件疑雲,其中的人事推薦名單流出,也包含被推薦人的個資!甚至疑似內政部2千多萬筆戶政資料,也被國外資安網站揭露。這些問題,都讓社會大眾各界開始關注個資法的現況與修法之必要性。
隨著歐盟《#一般資料保護規範》(GDPR)於2018年5月生效,美國加州於2018年6月也通過了《#加州消費者隱私保護法》(CCPA)。我國的個資法制若要與先進國家接軌,通過適足性認證以自由與歐盟進行跨境傳輸,才能降低交流與經貿障礙。透過監管法制的加強,未來個人資料的蒐集、處理、利用,都應該透過專責的機關與程序,針對使用風險、對當事人影響、安全維護措施等,提出專業評估報告,並提高違規罰則。
在虹安舉辦的座談會中,主管機關 #國發會 表示已設置「#個資保護專案辦公室」,但近一步瞭解發現,目前僅是個資法解釋的任務編組單位,並非獨立專責機關,亦無相關受理申請授權、評估審查等功能,後續將再檢視應如何強化功能。而個資法的修法期程,國發會也回應,將盡快彙整瞭解社會期待及國外現況,展開工作。虹安也將於此會期中,於立法院提出與各界研討後的修法版本。
唯有打造一個權責相符,監管獨立的個人資料保護法制,我們才能無後顧之憂,昂首闊步的走入數位化的下一個世代。
#防疫也要防溢 #個人資料保護法
---
[自由時報] 人力銀行592萬筆個資遇「駭」/台灣半數工作人口在列
https://news.ltn.com.tw/news/society/paper/1403787
個人資料保護法主管機關國發會 在 高虹安- 2021/03/15 經濟委員會-說好的個資法修正呢?國發會 ... 的推薦與評價
前次質詢經濟委員會-# 國發會 ,我們都知道, 個人資料 的 保護 與運用,前者是人權議題,後者則是國家治理大 ... 【直播】黨團記者會〡校園性騷擾頻傳, 主管機關 應有所作為. ... <看更多>