突尼西亞(另譯:突尼斯)的宰因·阿比丁·班·阿里(Zine el Abidine Ben Ali)政權因其對人民縝密的監控而惡名昭彰,然而,在其倒台的六年後,僅管突尼西亞於2014年於憲法中載明所有公民應享有隱私的權利,該國的資料保護法律及相關實踐仍尚未達到國際標準。
1959年六月,突尼西亞在首位領袖哈比卜·布爾吉巴(Habib Bourguiba)在位期間,於其所頒布的憲法(第九條)中首次正式認定國家有義務保護公民的個人資料;2004年七月,突尼西亞通過了資料保護法案(2004年七月第63條之7),隨後,突國於2008年成立了一個獨立的機構來確保人們的隱私權受到保護,該機構遂自2009年起執行相關作業。僅管突尼西亞於此後經歷了政權上的劇變並改進了官方機制,但這些早在班·阿里執政時期就通過的隱私權保護法案至今都沒有進一步的進展。
2004年資料保護法的關鍵修訂草案係由資料保護局(Data Protection Authority)編制,其目的主要為保護該機構免於政府干預,並明文規定政府不得在未經資料保護局的同意之下,蒐集、處理並轉遞任何個人資料。
隱私權侵犯事件仍天天都在突尼西亞上演
如果該修訂案順利通過並得到落實,應會對人們在突尼西亞-這個常常蔑視隱私權的國家-的日常生活有顯著影響。
新草案中訂定的義務及相關制裁將會限制電信業者不得向用戶投放廣告簡訊、以及限制超商不得取得、移轉和儲存會員卡中的資訊。這個改革法案也將限制民間企業不得在未經客戶同意的情況下,向第三方出售個人資訊。
個人及企業不法於公共空間安裝監視攝影機則是觸犯隱私權的另一個常見情形,而這現象也同樣受到2004年資料保護法草案的規範。該法案載明,監視攝影機僅可於申請程序通過以後,安裝於商業中心、停車場及大眾交通工具據點等公共區域。
資料保護局局長Chawki Gaddes表示,全國約有30,000部監視攝影機係經非法安裝。茲舉發生於2015年間的一個例子而言,北部Megrine小鎮的民眾曾為了抓亂丟垃圾的兇手,在街上安裝兩台監視攝影機,但此舉也危害了城鎮中其他居民的隱私。
改革之路
Chawki Gaddes和資料保護局的新董事們已針對加強隱私權的保護採取了許多措施,他們替突尼西亞申請加入「歐洲理事會之個人資料保護協定」的第108號公約( Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention 108)),而隨後,該理事會也請突尼西亞繼續進行其資料保護改革,以取得公約會員國的有效資格。
除了從物聯物(Internet of Things)上取得的個人日常生活資訊外-舉凡冰箱、檯燈、車子及洗衣機等網頁記錄,突尼西亞加入歐洲理事會後,個人資料的法律保護範疇將會拓展至監視攝影機、就醫資訊及其它敏感的個人資料。在政府於本月份通過一項成立互聯網管理機構的法令以後,突尼西亞的隱私權議題可望更受到重視。矛盾的是,資料保護局並非不隸屬該機構。
改革因程序拖延而停滯
資料保護局的議題已一再地因其它機構的延宕及程序性的官僚問題而一再被拖延,而這也使突尼西亞保護公民隱私權的時程受到影響。
在近日與Nawaat.org的訪談中,Gaddes提到,針對「修改2004年版資料保護法」提出議案已經是六個月前的事了,然而因為「這僅他是個人的提案,而非來資料保護局的董事會」,這份提案至今仍未被送至內閣及國會。
因此,在董事會開會討論以前,這份提案都沒辦法通過;然而自2016年五月起,資料保護局已不可能發起會議並達到通過議案的法定人數了。除此之外,兩位被任命為董事會永久成員的法官因酬勞爭議,仍未對是否接任給予正面回應。
獨一無二的識別碼、生物識別以及目前的挑戰
在2015年九月的會議中,負責實施國家策略計劃(National Strategic Plan)的策略理事會(Strategic Council)授權資料保護局作為建立及維護所有公民及企業「獨一無二的識別碼」-此一複雜且具爭議的計劃-的監督角色;國家策略計劃是突尼西亞發展國家數位經濟的權責單位。此「獨一無二的識別碼」系統旨在透過單一識別碼,蒐集與身份證、公民狀態、社會安全、收入、稅賦及其它私人資料,並將由「國家訊息中心」(National Center for Informatics)、及負責即將到來的地區選舉的地方事務部(Ministry of Local Affairs)進行管理。
有鑑於能夠確保個資受到保護的相關法令尚未完善,這項識別碼計劃讓突尼西亞的隱私權倡議者們感到憂心。很不幸地,這項計劃又和突尼西亞新的生物識別計劃-eCIN相連結。eCIN計劃將會將每位公民的個人生物識別資料-包括照片、指紋、社會安全碼及住家地址嵌入身份證的晶片中。
在一個討論去年甫由政府通過的生物識別身份證相關法案的廣播節目中,來自內政部的代表證實了新型生物識別身份證將會包括獨一無二的識別碼,而資料保護局對其並無管理權限。在新「eCIN」的晶片卡中嵌入獨特的識別碼將會使警方得以在不受任何控制的情況下,進入一個存有巨型個資的資料庫,而龐大的監視系統從而建立。此外,各個存有敏感個資的資料庫之間,在沒有安全及加碼結施的情況下,其交互連結也增加了駭客(另譯:黑客)入侵的風險,並提高了當權機構不當使用個資的潛在風險。
這項法案仍未經國會討論及通過,並受到專家、社會團體、數位權利倡議者及資料保護局的批評。資料保護局於2016年11月3日所發佈的聲明中表示,政府始終不讓他們對草擬該法案表示意見,並強調民間社會行動者們對於這麼一個計劃的重要性。現在,因法案已被送至國會,除其聽證會得以表示意見外,資料保護局已無法再對此草案置喙。
將希望寄於倡議行動
有鑑於政府在保障人民隱私上緩慢的改革速度及怠慢的處理方式,本年度突尼西亞各地將會舉辦大型會議及工作坊以提高對此議題的關注,並期能加速突尼西亞符合「歐洲理事會第108號公約」(Convention 108 of the Council of Europe)的時程。五月底,將會舉辦由聯合國隱私權議題特派專員Joseph Cannataci所主持的中東及北非地區工作坊;而2017年下半年, 將舉辦有與法語區個人資料保護局協會(Francophone Association of Personal Data Protection Authorities)的資料保護專員們的會談。若經歐洲及突尼西亞雙方同意,該會談將在借助歐盟的專業之下,由資料保護局所主持。
在此同時,資料保護局仍是唯一倡導隱私權的公共部門。雖然突尼西亞有上千個活躍於各地區的非營利團體,但僅有少數致力於隱私權等的訊息通訊技術或數位權利;而就算有這樣的團體,他們的聲音亦常常被忽略。今年2月1日,通訊科技及數位經濟部長Anouar Maarouf表示,由於政府已決定檢視策略理事會的組成結構,在三個月後的下一場會議中,該理事會中的兩個社會團體代表可能不會再受邀。