審計部針對防疫實聯制的資訊安全提出質疑,包含個人資料的保護、非公務環境或載體的個資使用規範,以及刪除簡訊實聯制資料的過程,並未檢視原始資料檔案、備份伺服器及電子郵件等資料儲存點。對此,國家通訊委員會 (NCC) 於 2 月 15 日發布新聞稿,提出詳細說明,並表示為協助中央流行疫情指揮中心(簡稱,指揮中心)統籌疫調資訊,將該資訊提供由衛生福利部疾病管制署(簡稱,疾管署)管理的「疫調輔助平台」使用,其使用規範應落實隱私保護及資安防護。
■ 五大電信業者必須建立自動化機制,刪除超過 28 日的 1922 簡訊暫存資料。(截圖來源 / 國家通訊傳播委員會)
行政流程部分,簡訊實聯制是由指揮中心委託 NCC 辦理相關採購事宜。依據採購契約,五大電信業者必須建立自動化機制,刪除超過 28 日的 1922 簡訊暫存資料,並於簡訊實聯制退場後 28 日,111 年 5 月 26 日確認簡訊資料庫已全數刪除,均無個人存檔或留存原檔之情形。
此外,簡訊傳送的方式是透過安全檔案傳送協定 (SecureShell File Transfer Protocol,SFTP) 介接,其功能為短暫資料匯集及傳輸緩衝區,並非備份內容。而「疫調輔助平台」使用 1922 簡訊資料庫的方式為帳號密碼機制,由指揮中心授權單位或同仁使用,相關資安規範已非 NCC 權責,須由疾管署說明。
資訊安全為現代科技社會重要的課題,簡訊實聯制從 110 年 5 月至 111 年 5 月,歷時將近 1 年的時間,累積發送約 47.8 億則簡訊,每一筆都是社會大眾的生活足跡。經歷疫情,不只改變了社會的樣貌與運作的模式,也讓我們更注意到個人資訊安全的影響及重要性。