文/台灣人權促進會
個人資料保護委員會籌備處於12月20日預告個資法修正草案,期限至1月10日止。此波修法是為了回應憲法法庭111年憲判字13號(健保資料庫案)判決,試圖建立個資蒐用的「獨立監督機制」。本次修正除了明定可統籌協調跨機關個資業務的「個資會」作為主管機關外,更納入「個資保護長」的制度,方向堪予肯定。可惜的是,草案仍存在「工具不足」的現象。強化個資會的工具箱,才能讓個資會發揮保護個資與適切權衡資料利用的角色。若未有效補強,未來成立的個資會將無力面對來自公務機關浮濫的個資再利用政策、個資外洩事件。台權會提出以下建議,盼能協力完善本次修法。
個資法不罰機關,僅懲處所屬人員,責任失衡
對公務機關來說,個資保護涉及制度文化,是整個從事或推動個資蒐用單位的責任。本次修正條文第21條之4,對於違法的公務機關,僅得由個資會公布情節重大者的機關名稱,並另訂子法懲處違法的公務機關所屬人員,究責機制明顯不足,堪比日劇《半澤直樹》所言:「長官的失職是下屬的責任,下屬做得好是長官的功績」。行政機關對其他機關的裁罰實際上並非特例。勞動部依據勞基法裁罰違反勞動法規的機關,皆可在系統公開查詢。預算是影響機關決策重要因素,若不將罰鍰列入最後手段,將缺少扳正違法公務機關的扳手。
個資保護長設置應避免利益與角色衝突
為確保內部監督機制的獨立性,本身在單位從事涉及資料蒐用角色的人員並不適任個資保護長(下稱個資長)。修正條文第2之1條參考資安相關措施,規劃公務機關指派副首長或其他人選從事個資長,而未釐清「資安長」與「個資長」職務對獨立性要求不同。因個資保護涉及挑戰組織如何蒐集、處理、利用資料,而非單純保管資料安全,若由同時負責資料蒐用之人員擔當個資保護業務,將造成角色混淆,無法發揮功用。歐盟2017年根據當時的資料保護指令,修訂有關個資長的指引,也大致指出具有利益衝突的職務類型,如執行長、行銷、財務、人資、IT主管等。個資長設置應排除利衝與角色衝突,或是從事或推動資料蒐用的人選。
同時台權會建議將第18條要求公部門設立「個資管理人員」的工作,由個資保護長統籌。另外就私部門,我們建議同時考量個資安全維護計畫、個資長、外部稽核,以分層分級方式,區分符合一定條件之私部門方採取計畫加上個資長,其下一級符合條件之業者僅採取計畫,最高層級之業者除了計畫與個資長,還需要加入外部稽核。
通報、通知不可混為一談
台灣過去發生過的個資外洩事件最為人所詬病的就是「沒有通知受害者」,讓人無法及時反應,保護自己免受更多的傷害。比如銓敘部個資外洩、戶政個資外洩。再者到私部門,更常見民眾因平台個資外洩受詐騙,方才知情。本次修正條文拉升通報與通知門檻,並將兩者綑綁為一體,不利於降低損害。台權會建議降低通報門檻,並區隔通報與個別通知條件。個資會在接收相關通報後,可以彙整公告於單一網頁,便於民眾查詢。同時,本次修正條文將通報通知條件限縮在「重大危害」,定義有欠明確,且容易產生「沒有產生金錢損失都是沒有危害」、「不含姓名等直接識別的個資流出就沒有危害」等有意誤解,可能造成不含姓名之健康資料外洩、電信位置資料若遭竊取,均難以通報個資會、通知當事人的惡果。
除此之外,修正條文第12條採取應變措施的條件,也不應侷限於公務或非公務機關「知悉」有個資侵害相關事件,才有所作為。台權會建議只要該單位所掌管之個資可能有相關侵害之虞,即應發動應變措施。再者,同條文中受理通報的受託單位,也應具備其本身及團隊成員不從事個資蒐用的資格限制,以避免利益衝突。最後,台權會必須重申,個資侵害並不只有外洩、竄改等面向,超出必要性與特定目的蒐用個資、不讓當事人踐行停止利用等權利,都是個資權利侵害。因此在私部門的風險評估與擇定上,都需要考量不同的個資法違法樣態。
獨立機關職權設計須齊全:再好的師傅,沒有工具什麼也無法修
台灣個資法年久失修,已是一幢迫切需要整修的老宅。近幾年除了提高對私部門的罰鍰外,沒有處理普遍存在的權利過分限縮、強迫同意、目的外利用氾濫、「無從識別」的定義落伍等各種問題。本次修法肩負憲法判決中要求的重要任務,身為健保資料庫案原告、戶政外洩政府資訊公開案原告的台權會,多年參與個資法修法倡議,我們期待這次修法可以樹立未來個資法修法與實踐的穩固基礎,至少在內外獨立機制具備相當的工具可使用。
為了在有限的資源內,完成個資保護艱鉅的任務,我們建議個資保護長的設置,至少在公務機關可與獨立機關充分合作。當公務機關欲推動個資蒐用相關政策或修法,能提供資訊予獨立機關,獨立機關也能參與諮詢,使相關政策或法律秉持對個資的保障。國外尚有資料保護衝擊評估等工具可供台灣借鏡,國內也有對公務機關罰鍰的制度可用以做為最後手段。獨立機關成立不易,個資法修法將影響未來獨立機關將採取花拳繡腿地拚搏,還是操作鉗子、扭動扳手修理維護隱私環境,讓台灣個資保護煥然一新,都在行政與立法機關雙方的一念之間。
