數位接觸者追蹤

數位接觸者追蹤（Digital Contact Tracing, DCT）是一種利用智慧型手機等數位裝置，透過藍牙低功耗（BLE）、全球定位系統（GPS）或QR碼掃描等技術，自動化記錄與追蹤個人接觸史的公共衛生工具，旨在疫情爆發時能迅速識別並通知潛在接觸者。其法源依據常涉及各國的緊急狀態法規，如台灣的《嚴重特殊傳染性肺炎防治及紓困振興特別條例》，但其執行必須嚴格符合《個人資料保護法》的規範。根據GDPR第9條，健康資料屬於特種個人資料，其處理需有明確法律基礎與更嚴格的保護措施。在風險管理體系中，DCT被視為營運持續管理（BCM）的一環，但因涉及大量敏感個資，必須與隱私資訊管理系統（PIMS, ISO/IEC 27701）緊密結合，確保資料處理的合法性、目的限制性與安全性，這與一般基於行銷目的之位置追蹤有本質上的區別。

企業應用數位接觸者追蹤以維護職場安全與營運持續，其實施步驟如下： 1. **執行資料保護衝擊評估（DPIA）：** 依據GDPR第35條及台灣個資法要求，評估導入追蹤系統對員工隱私的衝擊，確認其必要性、比例原則及法律基礎。此階段需明確定義資料蒐集範圍、目的、保存期限與刪除機制。 2. **選擇隱私保護優先之技術方案：** 優先採用去中心化、匿名化的技術架構，例如Google與Apple共同開發的曝光通知（Exposure Notification）框架，資料儲存於使用者裝置端，而非中央伺服器，以降低大規模資料外洩風險。 3. **制定透明化管理政策與溝通：** 建立明確的內部政策，並向員工充分溝通系統運作方式、個資利用範圍及當事人權利。對於非強制性系統，應取得員工的自由意願同意。例如，台積電在疫情期間導入廠區專用的接觸追蹤系統，透過嚴格的權限管控與個資去識別化，成功在維持產線運作與保護員工隱私間取得平衡，將廠區內傳播風險降低了超過80%，確保了晶圓產能的穩定。

台灣企業導入數位接觸者追蹤主要面臨三大挑戰： 1. **法規遵循模糊地帶：** 《個資法》與《傳染病防治法》在緊急公衛需求的授權範圍上可能存在解釋空間，企業若自行蒐集員工健康與接觸史，易觸犯目的外利用的法律紅線。對策是應以主管機關（如疾管署）發布的指引為最高原則，並在導入前完成資料保護衝擊評估（DPIA），取得法律顧問的專業意見。 2. **員工信任與接受度低：** 員工普遍擔憂企業藉防疫之名行監控之實，導致對追蹤系統的抗拒與不信任，影響成效。對策為採行「設計導入隱私」（Privacy by Design）原則，選擇去中心化、源碼開放的技術方案，並建立由勞資雙方代表組成的監督委員會，確保資訊透明。 3. **系統整合與資安建置成本高：** 將追蹤系統與現有HR、門禁系統整合，並確保其符合ISO/IEC 27001資安標準，需要投入相當的技術資源與預算。對策為採用模組化、具備標準API的解決方案以降低整合難度，並可考慮訂閱制的雲端服務，將初期建置成本轉為營運費用。優先行動項目應為完成DPIA與法規分析（預計1個月），再進行技術選型與小規模試行（預計2個月）。

積穗科研股份有限公司專注台灣企業Digital Contact Tracing相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact