看到标题,有人可能会认为这是标题党,是一篇关于三次元的人们追求超能力的文章;其实小编认为:当人们发现,二进制的世界,有一种叫超级链接的东西时,苹果就试图把一块玻璃屏变成了神奇的Ipad,玻璃里面的“住民”被他们叫做siri,这次WWDC2016发布会上苹果展示了4大平台,人们可以通过玻璃与siri交流,实现很多神奇的功能。当然,这些都不重要,本文只是浅谈当下,关于Etag的一些事情,而聪明的服务器开发者常常会把ETags和GET请求的“If-None-Match”头一起使用,也就有了“用eTag进行交通流量管理”的构想。因为“重大创新”是无人区的生存法则,没有理论突破,没有技术突破,没有大量的技术积累,是不可能产生爆发性创新的。
eTag不仅可以改善交通决策的效能,如今“大数据”当道,eTag资料库与其他资讯整合后,更能产生许多意想不到的应用。或许不久的将来,eTag读写器将会布满市区道路,成为下一阶段智慧交通重要的推手。当然,这里需要注意的是:Etag在不同URL之间没有可比性,也就是不同URL相同Etag没有特别意义。
目前各县市政府中,桃园、台中、高雄、苗栗和嘉义等地都已陆续设置eTag读写器,台北市则预定2016年先针对快速道路与联外道路设置36处eTag读写器,相关工程已发包。不过地方政府装设的系统,和高速公路收费系统有些不同。远通电收在高速公路上扫描到的eTag“外码”,还会转成另一组数字后,再交给高公局做后续资料应用;而各地方政府自己寻找厂商制作并安装的eTag读写器,则是扫描到“外码”,因此地方政府手上拥有的,是未经转码过的资料。一般情况下,根本不能直接联结保存在远通电收的车主资料库。
目前高公局已委托远通电收设计资料互通的平台,为资料串接做准备。但收到这项任务的陈声铿有些犹豫。因为从资安的角度来看,“风险”只有“程度”上的差异,没有绝对的安全。
虽然记者采访了远通电收,了解其资料库安全措施,同时请台大电机工程学系副教授郑振牟确认防护措施的安全程度后,暂时可认定后台资料库保护还算完备,eTag的广泛使用还不至于影响后台资料库安全。
但任何资料的串接,都有可能暴露了个资,尤其eTag性质类似车牌,同属“间接个资”,将资料串接,势必让行踪、使用者特征等资讯被暴露的风险往上调升一些。“其实当初高公局要释出eTag资料做大数据,我们对此就很小心个资侵害的问题了。”
“现在要做资料串接,我们设想的是规划一个平台,内部有一套演算方式,‘外码’丢进来之后经过演算产生另一组乱码,且不可回推。这套演算每天更新一次,因此同一台车今日与明日,将会是不同的数字做代表。”陈声铿解释。
为什么非得以如此繁复的方式进行资料串接?陈声铿慎重地说:“千万不要保留原始资料!那只会增加麻烦而已。尤其这些资料价值太高了,免不了吸引有心人来尝试破解你的资料库。而且做交通流量分析,乱码形成的统计数据就可以做了,所以千万不要保留原始资料!”语末,陈声铿不忘再强调一次。
去识别化后不算个资?
科技技术带来的效益与隐私保护间的辩论一路蔓延至今。当台北市长柯文哲提出打算以eTag进行交通流量管理时,隐私权的争议再度浮现。
根本的问题在于,安装eTag的无数使用者当初和远通电收签的约,仅仅是为了使用eTag作为国道电子收费使用。如今地方政府要搜集资讯,“加码”把它用在市区交通流量管理上头,却也没知会使用者一声,是否侵害了使用者权利?
面对质疑,不论是中央政府所属的高速公路局或是地方政府,都认为eTag的读写器所能扫描到的,不过就只是eTag的“外码”,且“外码”无法直接连结到远通电收后端的使用者个人资料库。因此这一“外码”,应视为已“去识别化”的资讯,而非个人资料。既然无法藉由“外码”连结到特定使用者,又何来“行踪曝光”的可能?
政府也口径一致地告诉人民,即便eTag的“外码”属于个人资料,但根据《个人资料保护法》,用在特定目的上而搜集的个资,在“促进公共利益”的前提下,得以作为“目的外使用”。因此并无侵害个资保障的问题。
法务部在2014年曾经针对这个问题发布一份解释函,这是政府目前采用的见解:公务机关保有的个人资料,运用各种技术予以去识别化,呈现方式已无从直接或间接识别特定个人者,非属于个人资料,也不在《个人资料保护法》保障范围。
但这样的见解听在长期关注个资隐私风险的学者耳中,只感到政府机关对于个资隐私保障的理解,实在粗浅。
中研院法律研究所副研究员邱文聪接受端传媒访问时强调,判定是否属于“个人资料”有几项要件,包括:
可标定性,可否在一堆资料中标定出特定个人;
可连结性,个人的资讯可否在一批资料或多批资料中被连结起来;
可推论性,可否藉此推论出相关的其他资讯。
若以这些标准来检视eTag“外码”,首先它的确能对应到特定车辆的车籍资料;且透过特定路段与时间所扫描到的资讯,推论出某些车辆的行驶路径。若再搭配其他日常生活中可取得的资讯,eTag“外码”并非不能标定出个人,或是辨识出某些特定的行为模式。“所以它的可识别性不在于它是否存在‘直接可识别’的资讯,而是透过这三种方式进行识别,属于一种间接识别。既然可间接识别个人,当然属于个人资料。”邱文聪说。
另外像是政府机关认定的:“eTag‘外码’已‘去识别化’,经‘去识别化’后便不算个资。”“开放文化基金会”法制顾问林诚夏反驳,究竟什么程度的去识别化才能为公众所接受,法务部上述的解释函并没有充分解释,因此形成一个作业上的中空地带。
过去健保署的健保资料库,在经“去识别化”后释出给学术单位研究利用。但台湾人权促进会便发现,即使是“去识别化”后的资料,只要取得日常生活中的部分资讯,在资料库内交叉比对后依旧能辨别出特定对象。
民间学者的质疑突显了台湾对个资的“去识别化”处理缺乏规范。目前台湾公众资料在释出和应用上,多是由搜集资料的一方单方面决定释出的形式和“去识别化”的方法等。“去识别”本身没有一定程序,也缺乏社会共识。
但大数据时代底下,资讯以过去无法想像的方式进行连结、分析,也让个人隐私被暴露的风险更甚以往,因此行政机关的“去识别化”往往受到民间挑战。例如2006年美国线上(AOL)释出65万用户3个月内的搜寻纪录,虽然释出的资料已经“去识别化”,以随机乱码取代用户名,但《纽约时报》成功将部分资料“再识别”,并公开某一位使用者的真实身份。
也因为资料间的连结恐侵害个资安全,欧盟早在2011年便针对RFID技术提出“隐私影响评估”(Privacy Impact Assessment,PIA)的架构,分析其中是否包含个资,并依照内含资料的敏感程度分级,明定须进行不同程度的风险评估。
无线射频辨识
无线射频辨识(Radio Frequency Identification)是指通过无线电讯号识别特定目标,并读写其上的相关数据。目前悠游卡、eTag均使用该项技术。
但在台湾仅是简略的认定“去识别化”后就不再算“个资”,却没有针对“去识别化”的程度有一定的风险评估。这样的“去识别化”资讯,是否轻易能经过交叉比对后,就标示出某一特定对象的行踪路径或行为模式,让个人的行踪隐私被掌握?
至于地方政府认为,即便eTag的“外码”是个资,但行政机关拿来用在交通流量管理上,依旧属于合法的“目的外使用”。邱文聪也提出不同见解:“所谓的‘目的外使用’,应该是远通电收和客户签约后,把拿到的eTag资料用在高速公路收费以外的业务上,才算‘目的外使用’。”如今地方政府或其他单位,并非是由远通电收提供资讯做利用,而是自己架设了eTag扫瞄器,藉此扫描道路上的车辆数,邱文聪认为,这样的做法并不符合“目的外使用”的定义。
不只民间学者提出质疑,就连台北市政府内部,对于搜集eTag资讯是否符合《个人资料保护法》也有不同见解。一场由台北市交通局长钟慧谕主持,关于“搜集eTag资料是否侵害人民隐私权”的座谈会上,台北市法务局的代表直言:“是否属于个资,得要回归《个人资料保护法》认定;假如认定为个资,还涉及是否适用《个人资料保护法》中对于搜集、利用的规定。”
法务局的代表甚至语重心长的建议,行政机关不该拿《个人资料保护法》当挡箭牌。与其一再强调自己是为了“职务必要”而进行搜集,不如主动设计出让民众能选择“可否退出、或自愿加入(资讯搜集计划)”的机制。
被隐形的资讯自主权
一边欣喜着科技带来的跃进;一边却质疑安全与合法性,两造间的落差,让台北市交通控制中心主任林育生有些惊讶。他说就交通管理单位的角度而言,他们并没有打算窥看个人行踪资讯,也没打算标定个人的位置,仅仅只是为了获取车流、旅行路径和时间,来改善交通决策。他问:“像Google Maps也有在搜集个人位置的资讯,用搜集来的资讯作为他们导航系统的基础资料啊?”他不解为什么行政机关在争取进步的同时,遇上了这些阻力。
但与Google Maps不同的是,地方政府在进行搜集前,并未询问当事人是否愿意授权。但是当我们开启Google Maps的个人定位服务时,首先会跳出一个对话框,询问使用者“需要您的授权,才能存取您的位置,”使用者得同意授权后,Google Maps才有办法进行卫星定位。
这个“主动授权”的动作,背后的价值是尊重个人对自身相关资料有“控制权”:要不要把资料交付出去,由当事人自己决定。
“像我常举一个例子,荷兰的房子大多会有窗帘,不过多数家户不会把窗帘拉上。但有了窗帘便是一种自主控制:你可以决定哪时要让阳光进来,哪时不让他人的目光进来。”中研院资讯科学研究所研究员王大为用这个比喻说明,“自主控制”是个资搜集的前端门槛,但在台湾却直接跳过前端的议题,只讨论后端“去识别化”等技术的争议。
缺乏前端对于资讯自主权的尊重,让行政机关在进行资料搜集与应用时,往往跳过“政策沟通”,“eTag有这么多其他利用,又是交通流量管理、又拿去做停车管理,但很多人根本不知道啊!”王大为忧心地说,“你很容易会觉得这东西(eTag)方便,又能有很大效益,但(这样的态度)走下去会很危险。”很多人会愿意为这个政策提供个人资讯,但也有部分的人不愿意,时代走到如今,就不该以牺牲任何人的方式成就政策,应该要能尊重不愿意的那些人,“这才是个资保障的核心价值”。
去年底《个人资料保护法》修法后,将公务机关“违反搜集、利用与处理”的刑责删去……只要公务机关并非故意将搜集来的个资拿去做营利使用,基本上不会有任何刑责……邱文聪忧心,未来当公务机关“不小心”侵害个资后,民众恐怕没有司法救济的手段。
在国外,对于搜集资料阶段设计出“Opt in(选择参与)”和“Opt out(选择退出)”制度,便是为了维护个人资料的控制权。例如英国针对一般个资或电信个资都要求以“先取得个资主体同意为原则”,也就是Opt in,搜集资料的单位也会详加说明搜集目的、使用,并提醒加入搜集资料可能产生的后果等。而这样的制度,便是奠基在“个人为自我资讯利用之决定权人”精神上。
eTag使用上如果要设计“Opt in”和“Opt out”机制,也可以参考采用相同的方法。
2015年12月15日,欧盟执委会(European Commission)通过《一般数据保护条例》(General Data Protection Regulation,GDPR),将个资保护的规定再加严一些。GDPR要求“搜集欧盟人民资料、和在欧洲进行业务”的业者,在搜集个资时应经过当事人“明确的同意”,且允许人们在特定条件下,有权利要求“移除”(Opt out)自己的个人资讯。GDPR同时定下高额的罚金:违反规定者,最高罚缓可处该公司“全球”总营业额的4%或2000万欧元(约1。7亿港币/2200万美元)。
虽然台湾的《个人资料保护法》过去也参考了欧盟的制度架构,不过台湾却少学了几样。以行政机关来说,资料搜集与目的外使用,不一定会主动告知民众,更遑论“退出”的权利。像是上述健保署将健保资料库开放学术研究使用的案例中,台湾人权促进会便提出主张要“退出”,却遭到拒绝。因为在台湾的法令中,并未设计民众主动退出的机制。而台湾人权促进会也因此与健保署对簿公堂。
“另外我们现在的制度设计,还缺少了‘内控’与‘外控’的监督单位。”邱文聪解释,台湾的行政机关本身没有建立一个独立单位来监督资料搜集应用过程中的安全性;外部也缺乏一个独立的机构来监督各行政单位资料保护、去识别化机制,以及机关间资讯交换是否妥当等问题。
加上去年底《个人资料保护法》修法后,将公务机关“违反搜集、利用与处理”的刑责删去;换句话说,只要公务机关并非故意将搜集来的个资拿去做营利使用,基本上不会有任何刑责。前端缺乏给予民众个资的控制权;后端对于公务机关在搜集、利用与处理个资上又仅只有宽松的规范,且对于“去识别化”机制缺乏风险评估,邱文聪忧心,未来当公务机关“不小心”侵害个资后,民众恐怕没有司法救济的手段。
须更好的安全评估与规范
回到eTag议题上,虽然并非所有的资料搜集,都应该以同样严格的标准去规范,“例如今天发生大规模传染病,为了疫情控制需要,政府当然得使用强制的手段取得一些个资。”但邱文聪质疑,“交通流量管理”这一项目的,重要性是否真的大到得要搜集民众的行踪路径才能完成?且当eTag有可能触及犯罪侦防与监控等问题时,政府能否越过那道界线,还值得好好讨论。
邱文聪强调,关心个资安全的人并非一味反对任何资讯开放,而是希望能有更好的安全评估与规范,让资讯开放使用与安全保障并进。
而王大为则是从技术面提出建议,认为地方政府应先就政策的风险与效益对大众好好说明,同时设计主动参与的机制,“其实我相信多数人会愿意加入这个计划,像‘waze’这个提供即时交通资讯的app,就是使用者提供个人的交通资讯建立起来的。但重点就是要主动告知并给予民众选择。”至于是否会因为搜集的资料少了,影响到后头交通流量计算的品质?对此张学孔倒是一点也不忧心,“不见得要掌握所有的资讯,才可以降低道路流量。有些研究认为只要有25%的车流资讯,就可以做好交通指引,来降低车流,有些研究认为掌握36%的资料便可以。”
地方政府大张旗鼓宣示要对抗塞车,但透过科技手段,藉助个人资讯以打造一套智慧运输系统,究竟只是为了解决塞车?又或者,最终的效益究竟该是什么?
从90年代长途客运以三角测量辨识位置开始,“如今有一天我们可以想像,你拿着手机输入目的地,手机会告诉你有哪几种交通路径和交通工具可以选择。你可以自己开车、和人共乘,或是搭乘大众运输工具,手机还会告诉你,选择哪条交通模式,将要付出多少成本。”张学孔仿佛看见那景象般,陶醉地说着。
张学孔认为:智慧交通让“人”的移动更有效率,“但最终目标是要走向‘绿色运输’,把都市还给‘人’而不是‘车’。”张学孔解释,时间和交通成本,是个人选择交通方式两大因素,有了交通流量分析,才能对症下药协助改善旅行时间的长短。但要走到“绿色运输”,还得搭配其他政策,像是增设公共运输系统和合理的交通成本,才能让人在选择交通工具时转移到大众运输上头。
以台北市为例,一天1300万旅次,其中却只有480万使用公共运输。即便花了新台币700多亿(约160亿港币/21亿美元)建设捷运系统,但使用者多是原本的公车族。公共运输的使用无法提升,原因就在于交通成本。张学孔计算,自行开车的人所付出的交通成本仅占应付成本的60%;而机车用户更低,付出成本仅有应负成本的35%。“很多人觉得骑机车很方便,但当他付出的不是应付的成本时,这就是一个虚假的便利。”
如果只是透过交通流量管理,改善旅行时间,却没有将使用私人交通工具的民众转移到公共运输上,那么道路永远都是这么多车,这些交通工具,依旧是都市里移动污染源的最大宗。即使有了“智慧”,依旧不是“绿色”。
至于如何提升公共运输的使用?张学孔以英国伦敦为例,“伦敦有个‘拥塞费’,最早是5英镑(约55港币/7美元),现在调升到11英镑(约122港币/15美元),车子要进入市区就得缴交。20%的私人小汽车数量因为这个费用开征而消失,其中四分之三使用者转移到公共运输上。伦敦再把收来的钱用在公共运输上,将6千多个公车站全部资讯化,增加公车专用道。”当移动污染源下降,医疗支出也能因此减少,整体都市环境品质也跟着提升。
谈到这里很多人会质疑,这不等于变相惩罚住不起都市中心的通勤族吗?张学孔叹了一口气,“原本捷运的规划,应该是每一个车站附近都要发展成一个小型的生活圈,满足邻近居住人口的生活休闲与工作需求,而不是用来快速的把劳动力载往市中心。”但因为交通建设与都市规划并没有等量发展,才导致捷运系统仅是通往市区的交通工具。
说到底,eTag只是其中一项手段,藉此让智慧交通更完善。张学孔笑着说,距离“把城市还给人”这个目标,我们还有好多需要学习。
联系我们请点击:
数邦客
