台北通App恐遭歐盟重罰？ 資訊局澄清：不適用

相關新聞連結：
轟台北通「數位獨裁」 資安專家：侵犯個資恐面臨歐盟天價罰鍰

〔記者鄭名翔／台北報導〕台北市政府力推「台北通」App，藉此收集約5000萬民眾個資，引發侵害個資及牴觸歐盟《通用資料保護規則》（GDPR）等疑慮。台北市資訊局解釋，台北通整合北市府核發各式卡證作為市政服務單一平台，嚴格遵守個資法規定，且運用範圍及內容並不在歐盟規範內，也無商業目的之資料監控或個人分析行為，不適用GDPR。

請繼續往下閱讀...

資訊局說，台北通整合愛心卡、愛心陪伴卡、敬老卡、學生證、兒童優惠卡等本府核發之卡片，申辦時即依「台北市政府單一識別服務作業要點」，告知並取得民眾同意建立台北通會員，作為取得市政服務入口。

至於圖書證、公托抽籤、親子館系統等市政服務系統均需依帳號密碼身分識別簽入，北市府也將傳統架構提升至資安架構，強化資安基礎建設工程，使台北通作為單一識別會員中心，民眾可單一簽入更為便利、安全，若要介接其他資料則還須再次取得民眾授權。

至於在資安架構上，台北通建立在公開金鑰認證基礎建設之上，輔以加密通道及資料庫欄位加密技術，並同步建立異地備援備份系統；上線前除完成壓力測試，也包含源碼檢測、弱點掃描、滲透測試及APP資安檢測，並經紅隊演練驗證資安防護有效性。

此外，台北通系統部署於通過ISO27001驗證之本府資訊機房，透過網路防火牆、應用程式防火牆（WAF）、分散式阻斷服務攻擊防禦設備（DDos）、入侵偵測防護系統（IDS/IPS）、網域名稱安全過濾服務（DNS filter）、端點防護偵測服務（EDR）等強化防護縱深。

而依GDPR第三條之規定，適用範圍為資料控制者或處理者在歐盟境內，以及由非設立在歐盟境內，但對於歐盟境內的資料主體因提供商品、服務而為個人資料的運用。依歐洲資料保護委員會（EDPB）的域外效力指引，明定「居住台灣的德國公民在台灣之銀行開戶，該銀行之營運活動未及歐盟市場，因而該銀行處理個資行為並非直接對歐盟境內特定當事人提供，爰無GDPR之適用」。

資訊局強調，台北通既未於歐盟境內設立據點，也未在歐盟境內為資料運用，而且僅具身分識別功能，並無出於商業目的之資料監控或個人分析行為，故無GDPR之適用，台北通相關規定係依據個人資料保護法及「台北市政府單一識別服務作業要點」所訂定，均嚴格遵守規範。