高教資料庫蒐集學生個資 教育部強調合法
最近教育部建立高教資料庫,蒐集學生及家長個資引發疑慮。教育部強調,資料來源合法,學生事後若拒絕學校使用資料,也可反映。受委託維護資料庫的台北科大看不到學生姓名、身分證字號等個人資料。
教育部高教司專員宋雯倩說,資料主要來自各校學生入學時所填的基本資料卡。資料是由各校加密上傳到國網中心,台北科大研究人員只能觀看數據趨勢變化,看不見學生姓名、身分證字號,「頂多知道學生所屬系所」。且教育部規定,各校用來上傳原始資料的電腦,須鎖IP,且從旁架設攝影機,「隨時記錄誰碰過電腦」,以利後續追蹤。
警察外洩民眾個資 違法賣給徵信社
警察機關曾傳員警外洩民眾個資,甚至賣給徵信社的違法行為。警政署說,警察因職掌治安、偵防犯罪,得依職權利用警政資訊系統查詢相關個資,早年或因管制不夠嚴謹、或員警法治觀念不足,發生不少個資外洩事件,近年建立有效防杜機制,加強員警教育,情況已大幅減少。
一名曾辦過警察利用職權將查到的民眾個資賣給徵信社的法官則提醒,政府擁有龐大的民眾個人資料,在數位化的時代,如何監督有權取得這些隱私資料者不濫用,對政府是新挑戰、也是不得不面對的課題。
公部門資料庫門戶洞開
內政部
- 擁有民眾身分證、戶籍地址資料
- 曾被外洩給詐騙集團或徵信社
衛福部
- 擁有民眾健保醫療資料、家暴、愛滋等傳染疾病資料
- 曾發生3000筆愛滋病患個資外洩事件
司法院
- 法院判決資料建檔管理
- 曾被駭客入侵公布資料、內控出問題讓少年犯身分曝光
法務部
- 監所人犯前科、病歷資料建檔列管
- 特殊個資與健保資料庫連結
高檢署、刑事局
- 建立毒品、詐騙集團大數據資料庫
- 蒐集有關者資料做進一步分析
ETC
- 蒐集行車軌跡紀錄
- 政府用作分析外,可拿來追蹤個人行蹤
風險二
沒有獨立的個資專責機關
台灣人權促進會專案經理何明諠說,歐盟GDPR(一般資料保護規則)要求歐盟各國都應成立「獨立的個人資料保護專責機關」,從人事任命、財務上保持獨立性。
但是,如今《個資法》的主管機關是設在國發會之下,成立專案辦公室,這有很大的問題:
- 國發會原本是規劃國家發展,尤其是經濟發展,這與保護民眾個資矛盾。
- 人事、預算都非獨立,也沒有法規定出權責,要人民如何相信?
- 個資法落實標準不一,過去法務部都推說資源不足、無能為力,現換成國發會,問題就會消失嗎?
何明諠說,政府一貫搪塞理由是:「中央行政機關組織基準法」卡在那,就是無法再有獨立機關了;但是「黨產會及促轉會等獨立機關不也是在這兩年成立了嗎?」
風險三
個資法跟不上時代
行政院前院長陳冲一直關切個人資料保護法的效力,「我擔心就是大家只要大數據的好處,卻忘了個人資料的保護。」個資法立法的時候,世界上還沒有App,雖然2015年個資法剛修正,但新科技、新商業模式也正不斷遽變,須滾動修正。
另一位前閣揆張善政說,台灣的個資法確實到了要與其他相關法令配套、全面盤整的時候。他認為,科技與法律間不是衝突,而是應該互動,必要時應該讓科技先行,蒐集到實務經驗與數據後,再作為法律跟進修改的依據,也不要成為企業絆腳石。
風險四
人民事前未被告知
當前政府講究大數據,檢警的毒品大數據庫,將所有曾經被抓過的毒品犯全數建檔、分析,用來追根溯源,但當毒犯、愛滋病患等資料庫都可被連線蒐集、甚至交叉、分析運用時,民眾並不知道自己的敏感個資被政府使用的範圍。
何明諠說,「資料利用的不透明是很個很大的問題,如何處理、帶來何種效果,使用者難以知道。」