文/財團法人民間司法改革基金會
民國112年4月13日,行政院依據司法院憲法法庭於111年8月12日宣示的111年度憲判字第13號判決(以下簡稱憲法判決),宣布對《個人資料保護法》進行修正。該新聞稿表示,此次修正主要包括「成立個資保護委員會」及「調整對非公務機關的裁罰方式」。
此次修正儘管在某程度上改善了《個人資料保護法》,但是除專責機構的設立外,草案未明確規定委員會成員組成、外部參與委員引入、職責範疇,以及應協助各機關處理的個資保護及監督等重要事項。
一、寬以待己,政府未扛起官方資料庫外洩個資的責任
此外,雖然此次修正草案加重處罰「非公務機關的個資外洩」,但未涉及如何建立事前防護機制及政府查核程序等制度性規範。而且問題不只在民間公司,去年爆發的數起個資外洩事件中,就涉及了戶籍資料、勞保資料等「官方」資料庫的外洩。
然而,政府至今仍未對此向國人完整說明、未公開本事件調查報告,亦未提出如何加強資料防護的措施。此次修正中,對公務機關的責任及資料傳輸等問題亦未修正,顯然無法滿足國人對個資保護的期待。
面對當今全球數位化浪潮的挑戰,僅修正資料保護的專責機構顯然無法迅速應對。立法院應把握此次機會,對《個人資料保護法》進行全面性的修正,以確保能應對不斷變化的數位世界。
二、勿重蹈「數位身分證」政策引發的爭議與錯誤
昨日(5月11日),台北高等行政法院就《數位身分證訴訟案》宣判(新聞稿)。法院認為,數位身分證政策對於人民生活私領域的及個人資訊自主控制權的影響甚鉅,依《戶籍法》作為強制人民換發「數位身分證」的依據,顯與「法律保留原則」有違。
同時,日前(5月8日)聯合報更以《數位身分證中止 10億花費全民埋單》為題,於頭版指出,內政部原定2020年啟動換發數位身分證的政策,後於2021年1月由行政院宣布暫緩執行政策。但現行除了維持人事運作與機器維護所需5.24億元經費外,相關廠商已向政府提出需賠償5.26億元之要求等語。亦在在顯示,政府對於數位政策或個資保護制度的建立,不應急就章,而應該充分考慮各領域的意見後,將相關法規修正完備,否則縱然日後成立個資保護委員會,也只會重蹈推行數位身分證政策的覆轍。
三、保障全民隱私及個資,立法院責無旁貸
故本會建議,除行政院應同步提出個資保護委員會的組織法草案外,立法院更應該在此次修正過程中,充分考慮各專業領域的意見,以期在此次修法後,我國能夠形成一套更完善的個人資料保護機制。此外,政府也應加強資料安全教育與宣導,提高民眾對個資保護的認識,並鼓勵企業自主建立嚴密的資料保護制度。
同時,對於公務機關的資料管理,政府應加強資訊安全措施,制定明確的責任歸屬與問責機制,以降低未來類似事件的發生。針對已發生的個資外洩事件,政府應進行深入調查,查明原因,並追究相關人員的責任,以彰顯政府對資料保護的重視。
綜上所述,此次修正僅就建立專責機構與加重罰則兩項處理,顯不足以完善現行個人資料保護制度的缺漏。本會呼籲行政院與立法院,應全面檢視現行《個人資料保護法》不足之處,並參照國外經驗,針對機構組織、資料防護措施、監督管理等多方面進行全面性的修正以確保此次修法後,我國國民的個人資料安全與隱私權益得以充分保障,而不應待個資保護委員會成立後,再由該委員會提出修正草案。
