人權, 社運發電機

【新聞稿】國際資料隱私日:民團盼完備個資法與獨立機關職權

2025-01-22

文/台灣人權促進會

1月28日國際資料隱私日(又稱資料保護日、隱私日)是歐洲理事會發起的節日,旨在提升隱私權意識,受多國響應。台灣近年歷經眾多個資保護危機,公部門主導的至少就包含2020年晶片身分證錯誤政策、2022年2300萬戶政外洩事件,以及纏訟超過十年的健保資料庫案。身為該案原告團體之一的台灣人權促進會於國際隱私日前召開記者會,提醒行政機關、立法院:遵循憲法法庭的判決,完備個資保護的獨立監督機制。

2025年是台灣個資法修法關鍵年,盼個資會法制工具齊全

健保資料庫案(111年憲判字第13號)憲法法庭判決,要求政府必須在三年內建立個資保護的「獨立監督機制」,距離期限已邁入倒數七個月。個人資料保護委員會籌備處於2024年12月20日預告個資法修法草案,並於2025年1月10日延長預告期限至2月18日。但至今,仍未見到行政院發布個資會組織法草案預告。

台灣人權促進會會長涂予尹,同時為淡大公行副教授指出,個人資料委員會必須具備充足的資源與法制工具,才能有效監督來自政府與企業的個資蒐用情形。目前的個資法修法草案,仍需要補強更多程序工具,使政府部門的個資長具備獨立性並與個資會協作,避免成為副首長兼任的政策橡皮圖章。仿效歐盟,增加資料保護衝擊評估的機制,促成個資會能提早預防可能的隱私侵害,並協調各部會有關資料蒐用的政策,保護國人在各項利用資料發展的新興技術(比如人工智慧)中同時保障基本權。作為最後停止違法作為的手段,個資法也應加入對公務機關的罰鍰等實質懲罰,而不是僅停留在公開違法機關名稱等規定。

電信資料濫用凸顯個資法解釋與執法落伍

台權會吳全峰執行委員,同時也是中研院法律所副研究員,指出行政或立法機關對於資訊隱私權之保障,卻往往在產業發展或所謂利大於弊之概念下,出現流於形式或恣意限制之傾向。如強制按捺指紋被宣告違憲後,內政部仍執意推動強制換發eID而引發隱私與資安疑慮,後被迫中止;在健保資料庫案長達十年之訴訟期間,健保署亦不願完善當事人資訊自主權之保障機制,堅持強制徵用民眾個資,直至憲法法庭主張健保法欠缺當事人得請求停止利用之相關規定違反憲法保障資訊隱私權意旨,並限期修法。

近期更有王義川透露政黨透過電信資料分析集會遊行群眾特徵,引發社會譁然之事件;台權會於2024年將此案涉及的電信業者分享資料予數位廣告業者(或於集團內),利用電信資料串連其他個資用作精準行銷之證據交予通傳會、個資會籌備處、國發等機關,但通傳會僅回函表示三家電信業者無不當利用個資、亦無與資訊服務業者合作代銷,但卻未說明電信公司以幾近「空白授權」方式要求當事人在辦理手機業務時需同時同意電信公司可分析個人資料作為提供第三方作為商業判斷使用(包括年齡與性別分布、及駐點時間等)是否符合個資法規範精神,亦未說明「分析集會遊行群眾特徵」是否已超出當初同意之「商業判斷」範圍,而後電信公司又悄悄修改其個資蒐集告知聲明,卻未對該事件有進一步澄清與說明。

個資侵害通知僅限「重大危害」,易遭滑坡解釋

相關事件均反映出政府對資訊隱私權之忽視、混淆資訊隱私與資訊安全概念,與對卻乏「無從直接或間接識別當事人」之定義等問題,而相關問題亦延伸至最近主管機關所提出與個人資訊隱私密切相關之個人資料保護法修正草案、衛生福利資料管理條例草案、與傳染病防治法修正草案。

以個人資料保護法為例,雖規定公務機關或指定非公務機關應設置個人資料保護長,但對於應如何確保其運作之獨立性,僅有簡單「不因其依法執行職務而予以不利處分或管理措施」,組織或規範上卻未有更為完整之規範;對於當事人資料被竊取、洩漏、篡改、或其他侵害時應以適當方式通知之範圍,從均須通知限縮至僅限「重大危害之虞」始需要通知,卻又對於何謂「重大危害」沒有定義,容易陷入滑坡解釋為「沒有金錢損失都是沒有危害」、「不含姓名等直接識別個資流出就沒有危害」,從而造成仍可間接識別敏感性健康資料外洩、或電信位置資料遭竊取時,當事人與獨立監督機關都難以得知之窘境。

更重要的是,對於引起諸多爭議、甚至在不同法規間產生矛盾之「無法直接或間接識別當事人」究屬仍可還原之假名化資料或是無從還原之匿名化資料問題,仍未能正視,反而是在屬特別法之衛生福利資料管理條例草案中嘗試解決這個問題,法規體系未能適當整合顯然仍是我國個人資料保護之重要問題。

民間司法改革基金會執行委員陳彥亘律師指出,本次個資法修法版本無法有效防止再次發生重大個資外洩事件,且草案對通知當事人的條件「重大危害」沒有定義,讓通知義務人自行認定,更讓本來就缺乏通知動機的義務人,球員兼裁判。根據本次草案的立法理由,顯示該條參考日本、韓國的法律,然而陳彥亘律師表示經司改會查詢,並未查到日、韓有相關法條。

吳全峰執委總結,資訊隱私保障不僅是個人基本權利保障之問題,在世界各國逐漸重視資訊隱私、甚至歐盟GDPR設定域外效力之影響下,仰賴巨量資料之科技與人工智慧產業亦有賴於資訊隱私基本法治架構之完整,才有與世界貿易接軌之空間。因此,在111年憲判字第13號所定修法期限將至之際,正是整體檢視我國資訊隱私權保障是否完善之重要時間點,政府能否藉此契機,從資訊自主、獨立監督機制、目的外利用合理性等面向,建構完整且全面之資訊隱私保護框架,對於民眾權利保障與未來產業發展均是重要關鍵。最後,主持人盼行政院、立法院都能採納台權會、司改會等公民團體對個資法修法的建議,讓台灣個資保護跟上科技發展,有效保障國人數位隱私。