【投书】我找工作,为什么要告诉你生日?个资法要修甚么?
王心岚/中兴大学计资中心资安人员
就业服务法第五条告诉你,「为保障国民就业机会平等,雇主对求职人或所雇用员工,不得以种族、阶级、语言、思想、宗教、党派、籍贯、出生地、性别、性倾向、年龄、婚姻、容貌、五官、身心障碍、星座、血型或以往工会会员身分为由,予以歧视;其他法律有明文规定者,从其规定。」
然后个资法第五条告诉你,「个人资料之搜集、处理或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围,并应与搜集之目的具有正当合理之关联。」。
所以,是基于甚么样的理由,求职的网站需要跟求职者要求填写出生年月日?
目前各大求职网站包含104、1111、518、Yes123都会要你填写出生年月日。 如果雇用员工不得对求职者的年龄歧视,那搜集这样的资料,岂不逾越必要的特定目的之范围? 求职网站要你填的还包括婚姻状态,也要你贴上照片,甚至要求知道你的身高体重。
然后生日的资讯同时连动到星座,所以求职网站要这些资料不仅仅是逾越必要的范围,其实已经对于求职者进行容貌、五官、身心障碍、星座、年龄同步进行过滤。这时候就业服务法中的第五条,在这个求职的架构下,完全被破坏殆尽。就业服务法还有作用吗?
也许求职网站会以个资法第二十条之第六项,「 经当事人同意」自我解释,但是这些求职网站对于生日和性别的资料设定为必填。也就是说如果要透过求职网站找工作,你就只能告知你的年龄。在现在这个网路求职为主要管道的现实状况下,你有多少选择? 如果你没有亲戚朋友可以介绍工作,如果你不是小开,你才刚学校毕业,又或者是你刚失婚需要找工作养小孩,还是你是中高龄刚被裁员,你有甚么选择? 现在还有多少工作可以看纸本的报纸去找?
如果相片上显示,你有林志玲的长相,但是性别是男。这样的个资是否就符合个资法的第十九条第八项之「 对当事人权益无侵害」还是符合第二十条第七项之「 有利于当事人权益」?
根据新闻报导,台湾在2020将修改个资法并且成立独立的专责机构,台湾的个资法从最早的1995年之电脑处理个人资料保护法到2010年完成修法的个资法,它的问题不仅仅在专责机构的缺乏。它的法规内容在各方的角力下,过多的妥协造成很多窒碍难行和自我解释的方便门。
现今台湾的个资法最大的缺失是无法被国际的GDPR做适足性认定。
为什么不被GDPR认定是一件大缺失? 因为不被认定的结果是造成台湾对外贸易的困难,而台湾的经济命脉就在贸易。台湾的银行在外设分行,或者国外的银行在台湾设分行,跨国的公司要把资料传来台湾都会因此碰到问题。不是传输本身有技术问题,是适法性的问题。欧盟的国家受GDPR的限制,美国则有今年生效的加州消费者隐私法,全部都指向一个更完善可行的个资法修法之必要性。
美国的单一个资法严格来说是不存在的。对于个资的保护,各州不仅不同,法律上更是把个资的条款夹带在不同的法律中。加州的「消费者隐私法」就是把个资保护的条款藏在消费者的法条中。另外还有「健康保险便利和责任法案」,把个资中的医疗资讯藏在保险医疗法规中。但是就严格和完备性的程度来说,全世界公认的最严格个资法无疑是GDPR。
所以不论就「法」的完善性、执行可行性、又或是效益性来说,台湾在修改个资法时,参考并考虑GDPR的适用性,其重要性跟成立专责机构同等重要。 在过往数次的修法中,台湾的个资法只从法的层面去构思,并未太思考到技术层面。倒不是法律中要倒入技术的叙述而是要有技术上的思考。
因为没有这些思考的法律,只会让该法律变成无法执行的文字。现今的社会已经连货币的定义都改变、贩售的物品也变成可以是摸不到的虚拟商品,所有这些都呈现出一个重点。那就是没有针对数位存在(digital existence)考量的法律,将无法执行。
所以最后台湾的个资法,是会修改成甚么样貌呢?
台湾的个资保护其实就上面的求职网站一例就可以看出,只是徒具形式而已。大部分的时候,民众本身对于自己的个资已经遭受侵犯了还不自知。更离谱的是,民众自己需要提出权益被侵害的证据,而证据的拥有者往往在侵害者手上。这是不对等的权利义务结构。
另外,个资的存在不仅仅呈现在文字上,也包含举止行动,生物特征和声音等。如果有朋友突然用嗲声嗲气的语调跟你说话,你的第一个反应是他在学林志玲说话,那也就代表著该声音特质是有可辨认性的。然后目前的个资法告诉你个人资料就是:「指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。」并没有加入声音,仅以「其他得以直接或间接方式识别该个人之资料」带过。
这样宽广的范围,就足以让侵害者无视于它的存在。以声音特质来说,单独的嗲声并无法指向特定的个人,但是如果合并性别、年龄、职业和社会活动,就足以指向一个特定且唯一的个人。而这些在GDPR的定义中,都应该被列入保护的个资范畴中。
消费者从电子购物网站上购买一件商品,包装上面当然一定要有地址姓名,因为那是完成交寄工作的必要资讯。但是如果包装上标示有地址姓名以外的内容,例如物品名称,又或者是包装上的图案表明了内容物是甚么,那寄件者是否已经泄漏的收件者过多的资讯? 假如这个内容物是比较私密的东西呢? 例如: 保险套、成人影片或者是钻石戒指?
你会认为这个购物网站的寄件者已经达到个资法第27条之「非公务机关保有个人资料档案者,应采行适当之安全措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏。」其中所说的「已经采行适当之安全措施」吗?
网路购物是所有销售型态中,最容易搜集并拥有各种个人资讯的机构。但是在实际的运作中,大部分的注意力都在信用卡资讯的外流,事实上它所牵涉的范围远大金融资料。关于上述案例,台湾的个资法还在自由心证,GDPR却明白表示个资隐私保护是人权之一,如果我刚买了钻石戒指,除了我和订单处理的人之外,货运行并不需要知道里面是钻戒还是肥皂,所以包装外面的物品图案或者是商品名称标示已经泄漏了不必要的资讯给所有第三者。
台湾的业者对这点怎么说呢?「UDN的买东西」认为除非订购者特别标注,否则这个是公开可以泄漏的资讯,即便你买的是成人玩具也是一样。这样看来,台湾的个资法倒底在保护甚么? 你网购的东西需要公告给大楼的守卫和邻居知道,你上网找工作必须要交代你的生日和长相,还有婚姻状态。请问你上的是相亲网站还是求职网?个资法在台湾真的存在吗?期待2020的个资修法有完整一点的考量,而不只是徒具形式。更重要的是,请让它可以执行,有权责主管机关只是第一步。
照片来源:pixabay
更多汇流新闻网报导:
【汇流笔阵】
CNEWS欢迎各界投书,来稿请寄至[email protected],并请附上真实姓名、联络方式与职业身份简介。
CNEWS汇流新闻网:https://cnews.com.tw
【文章转载请注明出处】
