可以。
因為這個手環是具有射頻功能的IoT設備,這個設備可能會主導出後續蒐集、處理利用個資的一些流向、功能,也就是說,這個製造商其實對於設備後續的個資流向可能是有主導的能力,以小米手環為例,它是有射頻功能的IoT設備,以整體資料流向來觀察,小米手環必須要透過小米運動的APP來傳輸個人資料,所以這兩個在功能上是有連動關係,綜合設備端與連結的應用程式來看,之前所提供的意見認為由NCC一併來管理比較妥適,以上報告。
舉一個例子,像藍芽血壓計是屬於醫療器材,所以其附隨服務所蒐集的個資,也宜由醫療器材的主管機關,也就是衛福部來管理,如果是以健康手環這件事情來看主管機關,我們覺得不應該只是從連結的應用程式來看,而是要從設備端跟運用程式來綜合判斷,也就是上面這個圖。
本會的立場在判斷個資法的中央目的事業主管機關的時候,都是從有沒有明確的作用法來看,其次就會以監理密度或者是法定職務密切較高的主管機關,由這個主管機關一併監管個資保護事項。
以Apple Watch、小米手環為例,其中像是心律監測跟運動監測等的功能,NCC覺得這跟衛福部的法定執掌比較接近,或是從運動監測的這個部分來看,也有可能會涉及到教育部的權責。
第三個命題,是健康手環的管轄權認定,通傳會的主軸與見解是要以連結應用程式,也就是APP的應用服務或是功能的目的,來判斷其主管機關,然後進一步透過代碼631的分工原則來看物聯網或者是健康手環主管機關是誰,如果已經有特定的目的了,就由特定的中央目的事業主管機關來管轄,如果沒有的話,就由經濟部。
針對這個部分,因為列表代碼483本來就沒有排除射頻功能IoT設備可能涉及資料流,仍然會由通傳會管理的可能性,但是否就由通傳會管理,仍應個案認定。
第二個命題,是要討論射頻管制器材適用個資法的範疇,通傳會之前有說我們的代碼483指定的是射頻管制器材零售業,這個零售業指定的NCC只是負責在像是販售小米手環的時候,會蒐集到買受人的姓名、電話及地址,以寄送商品或保固的目的作為聯繫使用的部分才會管制到。
另外這次有整理三個命題,第一個是個資的定義,因為通傳會之前提供的書面資料當中有說到APP的使用者、實際設備的使用者不必然相同,蒐集的資料是不是可以識別特定的當事人是有疑義的,所以覺得這個資料流是否為個資本身是有爭議的,我們針對這個部分有作初步的回應,因為設備使用者跟APP的使用者是否為同一個人,本來就不是個資法在判斷個資的必要要件,縱使不是同一個人,也無礙於資料流,可能識別特定某一個人,而可能會屬於個人資料。
第2頁有關Apple Watch及小米手環的特性,這個圖示主要是呈現出健康手環連結到APP有很多種類,像是有醫材、運動、健康或者支付等等的不同功能。
資料第1頁至第2頁的地方,節錄通傳會之前所提供的書面資料,主要是針對IoT簡單的架構進行介紹,請大家參考。
各位長官好,我們之前有先提供三份資料,第一份資料是螢幕上的這份,這是本中心簡單整理之前我們討論這個議題時,本會及通傳會曾提供的意見,我們如實呈現在這裡,如此而已,並沒有要預設任何的立場,等一下還是要透過會議討論,才會有一個比較妥適的方案。