台北市長柯文哲藉由防疫、市政活動及各項卡證要求民眾綁定「台北通」App，已收集5000多萬筆個資，引發外界疑慮。（記者鄭名翔攝）

〔記者鄭名翔／台北報導〕台北市長柯文哲推大數據中心、「台北通」APP，藉防疫實聯制、加碼振興及市政活動，已收集包括一七五萬人的身分證字號等五千萬筆個人資料。資安專家、成大電機系教授李忠憲轟「數位獨裁」！直指以市政資源強迫民眾使用並繳交個資，牴觸歐盟「通用資料保護規則」（GDPR），若遭提告將面臨天價罰鍰。國防院網路安全與決策推演研究所所長曾怡碩建議嚴格把關軟體供應鏈，避免外包中資廠商而釀國安疑慮。

牴觸歐盟規則 恐遭天價罰款

台北通會員數一七五萬人，現有一萬三五六五名外籍會員，北市議員林亮君質疑，若其中有歐盟會員國國人，依現行資訊局未取得其他認證，恐無法符合GDPR要求。

請繼續往下閱讀...

李忠憲受訪指，歐盟實施GDPR三年，嚴格禁止將歐盟居民個資使用於非規定目的上，違者可能遭受重罰，如亞馬遜公司日前將一萬多名會員個資投射特定廣告，遭歐盟依GDPR重罰二四八億台幣，台北通提供歐盟居民服務卻侵犯個資，恐面臨懲罰，折損台灣國際形象。

民眾辦個借書證就交出大量個資

李忠憲認為，台北通收集個資包山包海，要求個人家庭情形、社會狀況、財務細節及健康等，有民眾單純辦借書證就交出大量個資，實在誇張。

曾怡碩說，有些香港民眾在「國安法」上路後，以備用手機打卡、實聯制，避免行蹤受監控，台灣須在隱私、便利及防疫效率間取得平衡，也應諮詢歐盟GDPR問題。台北通是簡易版數位身分證，更須建構完善雲端及使用者端點安全。特別在政府採購發包制度下，須維持原設計軟體保障，確保供應鏈不會發包給中資廠商。

應確保供應鏈不會發包中資廠商

北市資訊局回應，GDPR適用範圍為資料控制者或處理者在歐盟境內，以及非設立在歐盟境內、但對歐盟境內的資料主體提供商品、服務；台北通沒在歐盟境內設據點，也沒在歐盟境內為資料運用，僅具身分識別功能，無出於商業目的之資料監控或個人分析行為，因此不適用GDPR。

北市資訊局：僅具身分識別功能

資訊局回應，台北通依個資法、台北市政府單一識別服務作業要點所訂定，整合各式卡證作為單一識別會員中心，若介接其他資料，須再次取得民眾授權。強調台北通資安有加密技術、異地備援備份系統，有完成壓力測試，系統資訊機房通過ISO27001驗證，強化防護。

對此，李忠憲認為，機房通過ISO27001驗證是最基本要求，應將系統跟服務都納入資訊安全管理的驗證範圍，也應說清楚通過的是哪一個版本。他也關切隱私的部分通過了哪些資訊安全認證？擴大使用資料有無再次得到市民授權？資料保存的期限是否符合規定？李忠憲表示，對於隱私保護這樣普世價值的問題，台北市民不應該是次等公民！

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法