現代社會是大數據的時代,GPS或手機的位置資訊往往會透露出個人的許多私密的資訊,例如去的地方(醫院、診所、上班地點、用餐地點、生活軌跡)等等,可以從位置資訊中得知相當多個人資訊。然而GPS或者手機的位置資訊(location data)是不是屬於個人資料?如果側錄位置資訊的話,會不會觸犯刑法、個人資料保護法?

我們看看歐盟怎麼做

於歐盟在2002年時就在《隱私及電子通訊指令》(Directive on Privacy and Electronic Communications)將位置資訊納入保護的對象,隨後2018年發布的《一般資料處理規則》(GDPR)同樣納入位置資訊的保護。歐盟數據保護委員會(European Data Protection Board)更在covid-19爆發時特別針對政府應該要如何使用位置資訊發佈指引。

限制政府只有在以下兩種特定目的(為有效控制整體的疫情、感染追蹤)下才可以正當的使用個人的位置資訊,以確保政府不會假借控制疫情之名,胡亂的蒐集公民的路徑以作為其他的用途使用。

1. using location data to support the response to the pandemic by modelling the spread of the virus so as to assess the overall effectiveness of confinement measures ;
2. contact tracing, which aims to notify individuals of the fact that they have been in close proximity of someone who is eventually confirmed to be a carrier of the virus, in order to break the contamination chains as early as possible.

Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak

回頭看看台灣

首先我國法律一直沒有明文的將個人位置資料,不論是手機裝置上的位置資料或是車輛中的GPS位置資訊賦予一個明確的角色。因此紀錄他人的位置訊息會不會構成妨害秘密罪,又或者構成個人資料保護法的違反,法院有不同判決方向。

不過隨著新光公主案的GPS抓外遇的判決,法院明確的表示偷裝GPS會明確構成妨礙秘密罪。以及若是以使用者終端設備的位置資料,蒐集單位(公務機關或是非公務機關)可以透過自己手邊保有的其他資料對照、組合或連結後得以識別該特定個人時,此位置資料就屬於個人資料。在蒐集、處理、利用都必須符合個人資料保護法,需有特定目的且需要符合個資法所列之法定事由(例如基於契約關係或經當事人同意)。並且需要處理、利用必須現在蒐集目的範圍為之。

但相反的,如果蒐集單位若與手邊保有的資料結合後仍無法識別該特定個人時,位置資訊就不屬於個人資料,不受個人資料保護法的拘束。

隨著個人資料意識高漲,不論何種目的蒐集他人的位置資料,在台灣若沒有注意到個人資料保護法、刑法、民法的規範,很有可能因此觸犯法律,需負擔相關的刑責。