有關「台北通連動卡證及個人健康檢查資料」及「是否符合歐盟GDPR個資保障 」一事,本府提出聲明:
台北市政府資訊局表示台北通無連動個人健康檢查資料。台北通係整合台北市各種卡證,其中包含愛心卡、愛心陪伴卡、敬老卡、學生證、兒童優惠卡等本府核發之卡片,申辦時即依「臺北市政府單一識別服務作業要點」,告知並取得民眾同意後,建立台北通會員,以台北通為服務入口取得各項市政服務,個人資料無須重覆登打,並結合為民服務舉辦集點兌點優惠活動。本府恪遵個人資料保護法之規定,非經明確告知當事人,對於健康檢查資料不得蒐集、處理或利用。民眾於臉書公開社團散佈台北通連動個人健康檢查資料屬假訊息,及不實指控本府監控人民等言論,本府保留法律追訴權。
至於圖書證、公托抽籤、親子館系統等市政服務系統均需依帳號密碼身分識別簽入,個資分散各處,本府將傳統架構提昇至資安架構,強化資安基礎建設工程,以台北通作為本府單一識別會員中心,整合各項線上與線下服務,民眾未來單一簽入,將更為便利也更為安全,惟台北通並未串接民眾各項申辦資料,資料之介接需再次取得民眾授權後始得為之。
而台北通在資安的架構上分為三面向。在資料安全方面,台北通建立在公開金鑰認證基礎建設之上,輔以加密通道及資料庫欄位加密技術,同時為了保全資料完整與安全,異地備援備份系統也同步建立。
在系統安全面向,台北通上線前除完成壓力測試外,亦包含源碼檢測、弱點掃描、滲透測試及APP資安檢測,並經紅隊演練驗證資安防護之有效性。
同時台北通系統部署於通過ISO27001驗證之本府資訊機房,透過網路防火牆、應用程式防火牆(WAF)、分散式阻斷服務攻擊防禦設備(DDos)、入侵偵測防護系統(IDS/IPS)、網域名稱安全過濾服務(DNS filter)、端點防護偵測服務(EDR)等強化防護縱深。
另有關台北通是否適用歐盟GDPR一事,依GDPR之第三條之規定,適用範圍為資料控制者或處理者在歐盟境內,以及由非設立在歐盟境內,但對於歐盟境內的資料主體因提供商品、服務而為個人資料的運用。依歐洲資料保護委員會(EDPB)的域外效力指引,明定「居住台灣的德國公民在台灣之銀行開戶,該銀行之營運活動未及歐盟市場,因而該銀行處理個資行為並非直接對歐盟境內特定當事人提供,爰無GDPR之適用」。
由於台北通既未於歐盟境內設立據點,亦未在歐盟境內為資料運用,且其僅具身分識別功能,並無出於商業目的之資料監控或個人分析行為,故無GDPR之適用。台北通之相關規定係依據個人資料保護法及「臺北市政府單一識別服務作業要點」所訂定,本府亦恪遵其規範。
- 新聞稿_嚴正澄清台北通僅為市政服務單一識別平台.pdf