慟!!實聯制?!我們交出去的個資跑到哪裡去了no?

2021.05.15 行政院記者會宣布單日確診病例180人,雙北升級疫情第三級警戒之後,台灣再次面對嚴峻疫情的挑戰。 為了確保室內群聚與多人的行蹤可供疫調追蹤,進入超商餐廳等等店家的民眾都需要進行實名制的登記。店家被要求需要在政府進行調查時提供訪客名單。此時,政府、民間熱血的軟體公司與開發者付出大量的心力,想要幫助無力自行開發以及管理的中小店家與企業加速效率與脫離紙本的實名制控管,製作各式實聯(名)制系統。有些系統僅是協助店家使用已有的線上表單維護實名登記名單,有些則是自行開發新的系統。
然而,實聯制系統係依照規定收集可與訪客聯繫的名單,排除訪客不填入真實資料的狀況,這些收集的資料在台灣個人資料保護法中是可識別、真實且即時的個人資料。因此這些實聯制系統也將成為想要收集個資的攻擊者最佳的目標。我們將彙整幾種常見的實聯制系統設計並介紹威脅可能發生的位置,帶入真實案例漏洞案例與延伸的資安問題。實聯制系統若出現漏洞時,可能對留在系統上的個人資料產生危險,進而出現個資外洩等事件。在本文中也會結合系統設計分析資料流,分析實聯制指引與個資法之間的關係,進而釐清在實聯制系統發生資安事件時,法律面對應的不同情況,並論述身為資料蒐集者的店家以及系統開發者,如遭遇實聯制系統發生個資外洩時,相關責任分配與處理方式。最後,也透過國內外案例介紹,讓身為一般民眾的我們了解,在遭遇個資外洩事件時應該如何保障自身的權利。

Outline

  • 疫情與實聯制
    • 實聯制與自主開發系統
    • 常見的實聯制系統設計
    • 外國類似的實聯制
    • 真實案例的實聯制系統漏洞(台灣)
    • 簡訊的另類攻擊方式 - 山不轉路轉
    • 實聯制系統對攻擊者有多香?
  • 實聯制系統與個人資料
    • 實聯制個人資料的蒐集主體
    • 實聯制的個資蒐集目的
    • 實聯制個人資料之資料流
    • 合法的目的外利用 v. s. 違法的目的外利用
    • 個資侵害發生時的規範、實例
    • 民眾如何維護自己個人資料保護的權利