電信業賣用戶數據個資真能去識別化?

人流分析疑洩個資民眾憂遭「數位監控」


五月底,民進黨政策會執行長王義川一席透過電信信令分析青鳥運動群眾組成的言論,引發軒然大波。學者指出,台灣落後國際的《個資法》,及電信業者使用個資方式不透明,正危及民眾資料自主權。

撰文/馬揚異

你我每天隨身攜帶的手機,竟悄悄對外洩露用戶的個資和足跡?

五月二十七日,民進黨政策委員會執行長王義川在政論節目透露,可用手機定位訊號,分析立法院抗爭群眾的屬性,震驚社會。民眾的行動位置、年齡等資料,竟被執政黨核心人士掌握,讓各界對於國家進行「數位監控」的質疑甚囂塵上。

事發後,主管電信事業的國家通訊傳播委員會(下稱NCC)主委陳耀祥、中華電信董事長郭水義等人赴立法院備詢,堅稱未違法使用用戶個資,更不會提供人流分析數據給任何政黨;台灣大哥大與遠傳電信也紛紛自清,表示對用戶個資的使用符合法律規範。

行蹤、網頁瀏覽紀錄全都看
三大電信早在賣用戶數據


然而,王義川言論引發的重重疑雲不僅並未消散,反而留下更多疑問——三大電信所謂的「合法使用」,範圍究竟為何?民眾的電信個資又是如何被蒐集處理,提供給外界?

其實,三大電信業者賣用戶數據早就不是祕密。一名電信業者向本刊透露,過去三大電信長期利用基地台訊號進行人流分析,透過三角定位計算特定區域內的用戶數量。許多大型活動如新北耶誕城、台灣燈會等,地方政府都向電信業者購買手機信令分析,作為人潮疏通、旅遊經濟規畫的參考依據;內政部也會透過電信信令,掌握各縣市的實居人口。

不只政府機關,過去三大電信也與廣告行銷、輿情分析公司合作,提供電信數據對用戶進行精準行銷。台灣人權促進會副祕書長周冠汝表示,像是中華電信的「域動行銷」、台灣大哥大旗下廣告品牌「TAMedia」等,都主打能掌握用戶的線下出沒地點、App下載、網頁瀏覽紀錄、日常消費行為等。隨著數據經濟蓬勃發展,用戶數據被用於產業分析及行銷,並不罕見。

但值得關注的是,業者不論對政府或企業提供分析數據,都須建立在一個重要前提之上——用戶個資須經過「去識別化」。

在王義川事件中,三大電信堅稱沒有違法提供用戶個資,正是因為提供給第三方使用時,人流數據分析已抹去用戶姓名、身分證字號等足以識別當事人的資料,不再算是「個資」,只是輪廓性數據,因此不受到《個人資料保護法》(下稱《個資法》)規範限制。

簡單說,民眾每日帶手機走訪何處、使用哪些App、瀏覽哪些網頁、下單什麼產品等,都能透過電信基地台與機房全盤掌握。電信業者只要抹去用戶身分相關資料,隨時可能將用戶數據交給第三方使用。

然而,這些宣稱「去識別化」的數據,是否真的無法連結到當事人?民眾對自己的數據被販賣利用,難道沒有不同意的權利?業者對個資的見解與使用方式,引來專家強烈質疑。


可回溯個人仍屬「間接個資」
「去識別化」作法落後歐盟


先看《個資法》對個人資料的定義。第二條明訂任何「得以直接或間接方式識別該個人之資料」都屬個資範圍,目前電信業者大量運用的去識別化數據分析,是否逾越「個資」界線,其實有待檢驗。

政治大學法律學院副教授劉宏恩指出,目前電信業者將用戶數據提供給第三方時,僅抹去姓名、身分證字號、手機識別碼等資料,就稱為「去識別化」;但只要業者手中保留連結回實名制資料庫的金鑰,這些數據依舊可回溯到個人,客觀上仍應屬於「間接個資」。

反觀歐盟《一般資料保護規則》對「匿名化」的定義,明確要求資料要與當事人的個資完全去連結、無從識別。相形下,台灣的《個資法》在精神上落後國際許多。

目前參考「去識別化」定義,大多根基於《個資法施行細則》第十七條「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者」。然而,中央研究院法律學研究所資訊法中心主任吳全峰直言,許多業者以為只要隱藏這些資料就能達到「去識別」,其實是錯把工具當目的的思惟。他呼籲業者,只要最終結果仍可間接識別出當事人,在法規定義上就不算真正「去識別化」。

其實,若要完善「去識別化」的檢驗機制,勢必得仰賴公正的個資主管機關。去年《個資法》修法成立個資保護委員會籌備處,在法律上解決了過去個資治理長期分散各個事業目的主管機關的問題。不過,吳全峰認為,目前籌備處的定位還不明確,在跨部會的個資政策制定上也需要更積極。

以電信事業為例,若個資保護委員會在層級上無法平行於NCC,很難參與制定電信業的個資相關政策,那會無法發揮獨立專責機關應有的功能。未來委員會能否被賦予足夠的職權與資源,仍有待進一步觀察。


▲(左起)NCC主委陳耀祥、數位發展部部長黃彥男、中華電信董事長郭水義赴立法院備詢,強調未提供電信分析數據給王義川。UDN.COM

用戶個資使用不透明
應事前告知、保障事後退出


除了《個資法》與主管機關的個資監管問題,這次事件當中,三大電信對用戶個資的使用方式避重就輕、只用一句「合法使用」草草帶過,不僅讓民眾困惑不解,也讓相關討論難以為繼。周冠汝就呼籲電信業者,應出面說明個資蒐用目的與方式,讓各界進一步檢驗這些行為是否有正當法源依據。

劉宏恩也指出,電信業者將用戶個資去識別化後進行販售,理應對用戶善盡告知義務、取得用戶同意授權。但在目前電信門號申辦的定型化契約下,用戶若要取得電信服務,根本無法享有電信資料的自主權。

記者實地走訪三大電信門市,取得行動寬頻服務申請書,發現台灣大哥大、遠傳電信僅在申請書帶到一句「已知悉個人資料告知事項」,無法勾選同意與否。中華電信門市人員則特別向記者強調,可以不同意寄送第三人的商品/服務資訊,但無法拒絕提供個資給業者使用。

此外,台灣大哥大、遠傳電信的櫃枱均張貼「個人資料告知事項」,中華電信則公告在網路上,說明蒐集個資目的包括行銷、廣告或商業行為管理、調查統計與研究分析等。然而,吳全峰直言,這些蒐集目的欠缺解釋,民眾也不理解真正意涵。他認為,依不同目的蒐用個資時,應該取得民眾同意,而不是包裹在一份契約中讓民眾一概接受。

曾於二○一八到二二年擔任NCC委員的消費者保護文教基金會執行董事鄧惟中坦言,許多民眾急於取得電信服務,不會細看契約內容。劉宏恩也同意,這是各國都面臨的問題,但如歐盟與美國部分州政府,即使用戶在簽約當下同意、事後反悔,也有簡易的退出機制,這也是台灣電信業者未來應落實的方向。

王義川的爭議言論,觸動「國家監控」的敏感神經,引來廣大關注與質疑聲浪,政府與立委應借力使力,重新檢討《個資法》規範與監管力道不足,強化民眾的個資自主權,完善資料治理,才能避免電信個資遭業者與第三方濫用。 閱讀完整內容
今周刊2024/7月 第1436期

本文摘錄自‎

電信業賣用戶數據 個資真能去識別化?

今周刊

2024/7月 第1436期