台北市長柯文哲力推台北通App,但長期關注資安的成大電機系教授李忠憲日前在臉書提醒,台北通可能會收集到歐盟居民的個資,有歐盟GDPR(一般資料保護規範)適用問題,恐比數位身分證更嚴重。無黨籍台北市議員林亮君指出,截至上月底,台北通已有1.3萬位外籍人士會員,台北通目前僅以《個資法》作為標準,不可能合乎GDPR規範。她批民眾黨立委在中央反對數位身分證,但柯卻在北市用更低的硬體資安、個資保護規格製作北市版的數位身分證。
對此,北市資訊局強調,台北通並未在歐盟境內設立據點,也沒在歐盟境內為資料運用,且僅具身分識別功能,並無出於商業目的之資料監控或個人分析行為,故無GDPR之適用。
林亮君表示,截至10月31日為止,台北通已經有1萬3565位外籍人士會員,不可能沒歐盟會員國國人,台北通僅以我國《個資法》作為標準,甚至連《個資法》標準都未達到,顯然不可能合乎GDPR。北市資訊科技應用頻在國際上獲獎,倍受市長誇耀,但其代價正是台北市民的個資。
林亮君說,過去曾就台北通的資訊安全與個資保護問題詢問資訊局,資訊局表示台北通的個資規範是依據《個資法》及《台北市政府單一識別服務作業要點》,沒取得過其他認證。但國際上兩個主要的個人資料規範認證: ISO 27701、BS 10012的最新版本都已經根據GDPR進行更新。
她直言,「資訊局既然不曾申請過相關認證。單憑遵循台灣的個資法,是不可能吻合GDPR的要求的」。
林亮君擔憂,台北通不僅恐違GDPR,是否符合個資法規範也是疑問。她認為,在財建部門質詢時,資訊局允諾就提出具有個資保護機制的自治條例進行研議,但市府在未解決個資保護問題前,仍不斷擴大台北通應用範圍,除先前的大稻埕煙火節抽籤及飽受批評的疫苗護照計畫外,據10月底的主秘會報會議記錄,市府更預計將所有涉及個人身分識別的活動、機制都與台北通掛勾,砲轟台北通根本成為柯文哲的「數位身分證」。
林亮君痛批,柯文哲的民眾黨立委在中央反對數位身分證政策,認為將民眾當作資安白老鼠。但柯文哲卻在台北市用更低的硬體資安、個資保護規格製作北市版的數位身分證,這種錯亂的邏輯令人不能理解。她強調,資訊化與個資保護應該要並重,呼籲確保市民的個人資料受到應有的保護,讓市民遠離監控與濫用的威脅。
