熱門文章

【重磅】「我不知道這個手機號碼是誰的」:非自身用戶的手機號碼是個資嗎?從WhatsApp被罰7,500萬歐元談起

撰文:王慕民 律師

審閱:葉奇鑫 律師

    斌 博士

 

全文約3000字,閱讀約需10分鐘

 

你在蒐集非客戶的手機號碼嗎?

2021年8月20日,全球即時通訊軟體業者WhatsApp,被愛爾蘭的個資保護主管機關資料保護委員會(Data Protection Commission,DPC)處罰2.25億歐元,其中的7,500萬歐元,針對的是WhatsApp蒐集用戶手機通訊錄裡的「非用戶聯絡人手機號碼」,卻沒有依歐盟GDPR關於間接蒐集個資的規範,「通知」這些非用戶。

 

你可能會覺得奇怪,非用戶的手機號碼(沒有姓名、email或其他資訊),也算是非用戶的個人資料嗎?我們透過這篇文章,幫你比較分析歐盟和我國主管機關的法律見解。

 

存取到刪除只需幾秒鐘:WhatsApp對非用戶手機號碼處置

我們先來看WhatsApp怎麼取得非用戶的手機號碼?目的是什麼?

 

WhatsApp的其中一項功能,是供用戶選擇要不要讓WhatsApp存取手機裡的通訊錄(只取得手機號碼),目的是讓用戶分辨哪些通訊錄裡的聯絡人也已經是WhatsApp用戶,便可使用WhatsApp互相通訊:

  • 如果用戶A啟用這個功能,WhatsApp取得手機號碼主人便可能包含WhatsApp的用戶或非用戶。之所以要取得「非用戶B」的手機號碼,是為了之後B也開始使用WhatsApp時,WhatsApp可以馬上更新(通訊錄裡存有B的手機號碼的)其他用戶的WhatsApp通訊錄,讓他們知道B也開始使用WhatsApp。
  • 在取得非用戶B的手機號碼時,WhatsApp僅在數秒內便將該號碼刪除。WhatsApp在這數秒內:(1)存取用戶手機裡通訊錄裡的所有手機號碼;(2)將這些手機號碼傳輸至WhatsApp伺服器;(3)伺服器收到這些手機號碼後,在幾毫秒內以不可回復的hash(雜湊)演算編碼;(4)將手機號碼刪除。
  • WhatsApp無法將hash演算後的數值還原成原始手機號碼,而且,hash數值和手機號碼也非一一對應,最多會有16組手機號碼「共用」一個數值。WhatsApp將hash後的編碼數值儲存在伺服器裡的一份「非用戶清單」,每個hash數值都跟用戶A連結。若日後非用戶B開始使用WhatsApp服務,其手機號碼將在hash後與非用戶清單作比對,並用以通知用戶A。

 

基於以上幾點,WhatsApp主張,無論在hash前還是hash後,其都不能、也沒有意願將非用戶的手機號碼識別到特定個人。雖然歐盟法院(CJEU)在Breyer案(Case C‑582/14)中,認為網站可透過取得額外資訊,識別動態IP位址所對應的特定個人,從而認定動態IP位址構成個人資料,但其對非用戶手機號碼的處置,與Breyer案有本質不同,非用戶的手機號碼對其而言不是個人資料。

 

手機號碼有「內建」識別性嗎?愛爾蘭DPC的解讀

愛爾蘭DPC基於下列理由,認為依照歐盟個資法General Data Protection Regulation(GDPR)的規定,非用戶的手機號碼具有可識別性,屬於GDPR定義的個人資料:

  1. 識別性以「風險評估」為判斷基礎

歐盟GDPR定義的個人資料,是指「任何與已識別或可識別之自然人有關的資訊」,依照GDPR立法理由的說明,要評估自然人是不是「可識別」,必須考量控管者或其他人用來直接或間接識別自然人的所有合理、可能方法。而所謂「合理、可能的方法」,則要考量所有客觀要素,例如識別自然人所需的費用、時間,以及當下可得的技術。

 

愛爾蘭DPC認為,GDPR對可識別性的考量,是以「風險評估」作為基礎。也就是評估所有合理、可能使用的方式,以識別特定自然人的潛在風險。

 

  1. 手機號碼具有獨特性,使用者身分存有合理、可能被識別的風險

在以上前提下,愛爾蘭DPC指出,手機號碼具有獨特性(註:當下只有一人使用),能直接指向非用戶B,並作為與非用戶B聯繫的方式。在此情形,WhatsApp或任何第三方可透過多種方式識別B,例如:

  • 撥打手機號碼來確認非用戶B的身分;
  • 透過B錄製的語音答錄,查知A有沒有在預錄的招呼語中揭露身分;
  • 在網路或社群平台中搜尋B的手機號碼,看看有沒有任何資訊;
  • 向用戶A聯絡,確認非用戶B的身分;
  • 在網路或社群平台中搜尋非用戶B的手機號碼和用戶A的姓名與手機號碼,看有沒有任何資訊。

 

愛爾蘭DPC認為,上述方式輕而易舉,沒有任何阻礙,而且也不需要什麼費用、時間的付出,更不需要什麼技術,因此屬於「合理、可能」的識別方式。

 

  1. 重點不在於是不是成功識別,而是有沒有被識別的風險

愛爾蘭DPC承認,上述方式只表示有識別非用戶A的「可能性」,並不代表一定會有結果。但另一方面也強調,GDPR並不要求「合理、可能」的識別方式必須能夠「成功識別」,而是如前所述,以「識別之風險」作為基礎。

 

更何況,非用戶A的手機號碼與電信商保有的資料相結合,必然能識別A的身分。據此,愛爾蘭DPC認為,手機號碼由於其獨特屬性,「內建」(inherently)識別特定個人的方法。

 

WhatsApp雖然主張自己沒有識別非用戶身分的意圖,但愛爾蘭DPC認為,重點在於有沒有方法可識別,而非有沒有識別的需求。如果因為業者沒有識別身分的需求,就認為某資料不具有識別性的話,將會嚴重害及法律規定的個資事故通報義務,尤其涉及外洩假名資料和未完全匿名化資料的時候。

 

至於歐盟法院在Breyer案對本案之參考性,愛爾蘭DPC認為,雖然本案裁罰並非以Breyer案判決為主要依據,但其見解與Breyer案的意旨是一致的。

 

我國主管機關對此怎麼看?

國家發展委員會(國發會)是目前主責我國個資法解釋的機關,也曾面對「非用戶電話號碼是不是個資」的問題。實務上,有民眾撥打某公司客服電話,客服人員透過來電顯示,獲知這名民眾的電話號碼。這名民眾並非這家公司的既有用戶,與客服通話過程中亦未提供其身分識別資訊。國發會面對的問題是,在這家公司僅掌握這名民眾的電話號碼的情形下,該電話號碼是否屬於這名民眾的個人資料?

 

國發會對此給出了肯定的回答,認為這名民眾雖非該公司用戶,但其電話號碼「得透過其所屬電信公司所保有之資料對照、組合、連結」,而得以識別這名民眾,故屬我國個資法所稱間接識別之個人資料。

 

有趣的是,國發會雖是據我國個資法得出以上見解,但也同時指出,由於我國個資法主要參考歐盟1995年個人資料保護指令(註:即GDPR之前身)制定,對「個人資料」的定義也與歐盟這一指令相仿,歐盟法院Breyer案的判決在判斷我國個資法所稱之「間接識別」時可供參考。

 

非用戶手機號碼也是個資,個資法遵不可少

現在我們知道,無論在歐盟還是我國,主管機關都傾向於認為單獨掌握的非用戶手機號碼,也是個人資料。愛爾蘭DPC甚至提出,由於手機號碼作為聯絡方式,可直接指向號碼主人,其自身「內建」可識別性。

 

非用戶手機號碼既然是個人資料,隨之而來的問題,就是個資法課予資料蒐集機關的各項義務應如何遵循。本案中,WhatsApp即是因為未向非用戶踐行間接蒐集個資之告知義務,被認定違反GDPR。

 

但WhatsApp最終僅保留非用戶手機號碼經不可逆hash運算後得出的數值,原始號碼從讀取到刪除只不過幾秒鐘時間。GDPR對這種情形,會不會相應減輕WhatsApp的個資保護義務?我們將後續文章中,繼續分析兩個問題: (1) hash過後的手機號碼,也是非用戶的個資嗎? (2) WhatsApp蒐集手機號碼,依GDPR要如何「通知」這些非用戶?歡迎大家後續關注。

 

註1:

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1022315/Data_Reform_Consultation_Document__Accessible_.pdf

https://www.legislation.gov.uk/uksi/2003/2426

民國 109 年 07 月 24 日,發法字第1090015912號

 

※歡迎註明出處後轉載。


 

 

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw