【投書】我找工作,為什麼要告訴你生日?個資法要修甚麼?

王心嵐/中興大學計資中心資安人員

就業服務法第五條告訴你,「為保障國民就業機會平等,雇主對求職人或所僱用員工,不得以種族、階級、語言、思想、宗教、黨派、籍貫、出生地、性別、性傾向、年齡、婚姻、容貌、五官、身心障礙、星座、血型或以往工會會員身分為由,予以歧視;其他法律有明文規定者,從其規定。」

然後個資法第五條告訴你,「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」。

所以,是基於甚麼樣的理由,求職的網站需要跟求職者要求填寫出生年月日?

目前各大求職網站包含104、1111、518、Yes123都會要你填寫出生年月日。 如果雇用員工不得對求職者的年齡歧視,那蒐集這樣的資料,豈不逾越必要的特定目的之範圍? 求職網站要你填的還包括婚姻狀態,也要你貼上照片,甚至要求知道你的身高體重。

然後生日的資訊同時連動到星座,所以求職網站要這些資料不僅僅是逾越必要的範圍,其實已經對於求職者進行容貌、五官、身心障礙、星座、年齡同步進行過濾。這時候就業服務法中的第五條,在這個求職的架構下,完全被破壞殆盡。就業服務法還有作用嗎?

也許求職網站會以個資法第二十條之第六項,「 經當事人同意」自我解釋,但是這些求職網站對於生日和性別的資料設定為必填。也就是說如果要透過求職網站找工作,你就只能告知你的年齡。在現在這個網路求職為主要管道的現實狀況下,你有多少選擇? 如果你沒有親戚朋友可以介紹工作,如果你不是小開,你才剛學校畢業,又或者是你剛失婚需要找工作養小孩,還是你是中高齡剛被裁員,你有甚麼選擇? 現在還有多少工作可以看紙本的報紙去找?

如果相片上顯示,你有林志玲的長相,但是性別是男。這樣的個資是否就符合個資法的第十九條第八項之「 對當事人權益無侵害」還是符合第二十條第七項之「 有利於當事人權益」?

根據新聞報導,台灣在2020將修改個資法並且成立獨立的專責機構,台灣的個資法從最早的1995年之電腦處理個人資料保護法到2010年完成修法的個資法,它的問題不僅僅在專責機構的缺乏。它的法規內容在各方的角力下,過多的妥協造成很多窒礙難行和自我解釋的方便門。

現今台灣的個資法最大的缺失是無法被國際的GDPR做適足性認定。

為什麼不被GDPR認定是一件大缺失? 因為不被認定的結果是造成台灣對外貿易的困難,而台灣的經濟命脈就在貿易。台灣的銀行在外設分行,或者國外的銀行在台灣設分行,跨國的公司要把資料傳來台灣都會因此碰到問題。不是傳輸本身有技術問題,是適法性的問題。歐盟的國家受GDPR的限制,美國則有今年生效的加州消費者隱私法,全部都指向一個更完善可行的個資法修法之必要性。

美國的單一個資法嚴格來說是不存在的。對於個資的保護,各州不僅不同,法律上更是把個資的條款夾帶在不同的法律中。加州的「消費者隱私法」就是把個資保護的條款藏在消費者的法條中。另外還有「健康保險便利和責任法案」,把個資中的醫療資訊藏在保險醫療法規中。但是就嚴格和完備性的程度來說,全世界公認的最嚴格個資法無疑是GDPR。

所以不論就「法」的完善性、執行可行性、又或是效益性來說,台灣在修改個資法時,參考並考慮GDPR的適用性,其重要性跟成立專責機構同等重要。 在過往數次的修法中,台灣的個資法只從法的層面去構思,並未太思考到技術層面。倒不是法律中要倒入技術的敘述而是要有技術上的思考。

因為沒有這些思考的法律,只會讓該法律變成無法執行的文字。現今的社會已經連貨幣的定義都改變、販售的物品也變成可以是摸不到的虛擬商品,所有這些都呈現出一個重點。那就是沒有針對數位存在(digital existence)考量的法律,將無法執行。

所以最後臺灣的個資法,是會修改成甚麼樣貌呢?

台灣的個資保護其實就上面的求職網站一例就可以看出,只是徒具形式而已。大部分的時候,民眾本身對於自己的個資已經遭受侵犯了還不自知。更離譜的是,民眾自己需要提出權益被侵害的證據,而證據的擁有者往往在侵害者手上。這是不對等的權利義務結構。

另外,個資的存在不僅僅呈現在文字上,也包含舉止行動,生物特徵和聲音等。如果有朋友突然用嗲聲嗲氣的語調跟你說話,你的第一個反應是他在學林志玲說話,那也就代表著該聲音特質是有可辨認性的。然後目前的個資法告訴你個人資料就是:「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」並沒有加入聲音,僅以「其他得以直接或間接方式識別該個人之資料」帶過。

這樣寬廣的範圍,就足以讓侵害者無視於它的存在。以聲音特質來說,單獨的嗲聲並無法指向特定的個人,但是如果合併性別、年齡、職業和社會活動,就足以指向一個特定且唯一的個人。而這些在GDPR的定義中,都應該被列入保護的個資範疇中。

消費者從電子購物網站上購買一件商品,包裝上面當然一定要有地址姓名,因為那是完成交寄工作的必要資訊。但是如果包裝上標示有地址姓名以外的內容,例如物品名稱,又或者是包裝上的圖案表明了內容物是甚麼,那寄件者是否已經洩漏的收件者過多的資訊? 假如這個內容物是比較私密的東西呢? 例如: 保險套、成人影片或者是鑽石戒指?

你會認為這個購物網站的寄件者已經達到個資法第27條之「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」其中所說的「已經採行適當之安全措施」嗎?

網路購物是所有銷售型態中,最容易蒐集並擁有各種個人資訊的機構。但是在實際的運作中,大部分的注意力都在信用卡資訊的外流,事實上它所牽涉的範圍遠大金融資料。關於上述案例,台灣的個資法還在自由心證,GDPR卻明白表示個資隱私保護是人權之一,如果我剛買了鑽石戒指,除了我和訂單處理的人之外,貨運行並不需要知道裡面是鑽戒還是肥皂,所以包裝外面的物品圖案或者是商品名稱標示已經洩漏了不必要的資訊給所有第三者。

台灣的業者對這點怎麼說呢?「UDN的買東西」認為除非訂購者特別標註,否則這個是公開可以洩漏的資訊,即便你買的是成人玩具也是一樣。這樣看來,台灣的個資法倒底在保護甚麼? 你網購的東西需要公告給大樓的守衛和鄰居知道,你上網找工作必須要交代你的生日和長相,還有婚姻狀態。請問你上的是相親網站還是求職網?個資法在台灣真的存在嗎?期待2020的個資修法有完整一點的考量,而不只是徒具形式。更重要的是,請讓它可以執行,有權責主管機關只是第一步。

照片來源:pixabay

更多匯流新聞網報導:

【投書】武漢疫期嚴峻,增強免疫力是上策

【投書】「少康戰情室」怨懟陸媒有道理嗎?

【匯流筆陣】

CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。

CNEWS匯流新聞網:https://cnews.com.tw

【文章轉載請註明出處】