立法院第11屆第1會期司法及法制委員會「個人資料保護委員會組織籌設及相關配套措施」公聽會
時 間 中華民國113年3月25日(星期一)9時至12時26分
地 點 本院紅樓302會議室
主 席 鍾委員佳濱
發言學者專家及機關團體代表
LeadBest Consulting Group王志清共同創辦人暨數位長
財團法人台灣網路資訊中心余若凡董事暨執行長
國立陽明交通大學科技法律學院林志潔教授
社團法人台灣人體生物資料庫學會林瑞珠秘書長
南臺科技大學財經法律研究所郭戎晉助理教授
輔仁大學法律學院翁清坤副教授
國立陽明交通大學科技法律學院陳鋕雄院長
銘傳大學公共事務與行政管理學系張志偉助理教授
時代法律事務所張鈞綸律師
理律法律事務所曾更瑩律師
五翰法律事務所黃國鐘律師
達文西個資暨高科技法律事務所葉奇鑫律師
和沛科技股份有限公司翟本喬董事長
勤業眾信聯合會計師事務所簡宏偉執行副總經理
國立臺灣大學法律學院蘇慧婕副教授
個人資料保護委員會籌備處李主任世德
數位發展部多元創新司陳副司長怡君
主席:現在開會。今天舉行個人資料保護委員會組織籌設及相關法制配套公聽會,請議事人員宣讀公聽會討論提綱。
討論提綱
一、應如何設計規劃個人資料保護委員會(簡稱個資會)之職掌事項及內容,始能達成個人資料保護法(簡稱個資法)第1條所定「避免人格權受侵害,並促進個人資料之合理利用」之立法目的?
二、承上,因未來個資會之監管對象包含公務機關(指中央或地方機關或行政法人)及非公務機關(指公務機關以外之自然人、法人或其他團體),監管範圍廣泛、數量龐大,且因個資蒐集、處理及利用是附隨於各種類之職務或業務而生,應如何設計規劃可行之監管架構,以確保上開職掌事項及內容得有效履行?
三、當個資會履行其職掌時,若有發生與其他執法機關權責事項競合者(例如:資通安全管理法等),則個資會應如何與各該執法機關進行職掌分工及協調合作,使政府監管資源得進行有效分配?
四、為充實國家整體個資保護專業知能,配合個資會之成立,應如何建構及強化公私部門關於個資保護專業人才之養成及培育?
主席:在邀請各位發言之前有幾點說明,首先請學者專家先發言,發言順序依照簽到先後順序,如果要提前發言,請先告知主席臺,我們會視情況酌予調整;本會委員按照登記先後順序發言,如果陸續到場,本席會穿插安排請委員發言;最後再請政府機關發言,針對學者專家以及委員的意思加以回應。有關於發言的方式,與會者請到發言臺發言,在主席的右邊是學者專家、列席機關代表的發言臺,左邊是委員的發言臺。由於公聽會主要是在聽取學者專家各界的意見,所以每位學者專家發言時間為10分鐘,本院委員發言時間為5分鐘,必要時會再開放第二輪的發言與回應,如果各位與會的學者專家發言後有需要,可以趕快來這邊表達你要第二輪的發言。
關於今天的公聽會主席在這邊說明一下,由於目前個人資料保護委員會已經在進行籌設,所以我們今天特別由司法及法制委員會來進行組織籌設及相關的法制備套,邀請學者專家來表達意見,也聽取包括本院委員的高見,至於相關的內容,我個人留待學者專家之後再來進行發言。接下來我們請學者專家發言。
首先,第一位請社團法人台灣人體生物資料庫學會林瑞珠秘書長,時間10分鐘。
林瑞珠秘書長:召委、各位委員、各位先進,大家好。今天很榮幸可以應邀來參加這個公聽會,為什麼我今天想要以台灣人體生物資料庫學會的秘書長來出席,是因為我們長期在關心biobank,我們長期在關心所謂的biodata跟巨量生醫的資料,我們一直在思考一個問題,健保釋憲案到底給了我們什麼啟示?其實對我來說我覺得有三個重點,第一個,要獨立監督的委員會;第二個,應該要有相應的法律規範;第三個,如果你事前不能取得我們的同意,那事後可不可以給我們退出?因此我們看到執政團隊的努力,個資保護委員會籌設完成,在召委給的討論提綱裡面有四點,第一個是設置目的,第二個是監管架構,第三個是協力機制,第四個是人才養成,這四個問題點,就我而言,我想要關注的只有兩句話,如何獨立行使?如何有效監督?
然而,以我們學會的立場,我看到衛生福利管理條例的草案公告,我有兩個困惑,第一個是資料停止使用權怎麼去行使?第二個是目的外使用是不是可以透過專法合理的限縮?以大數據對產業的衝擊而言,面對DNA外洩事件,我們怎麼展望有下一個護國神山?最後,反黃的這一句話是我想說的,在個資保護委員會保護我們的隱私權之際,請不要沒收我們的autonomy(自主權),通常我只要講完這一頁PPT,我今天要講的內容大概都已經講完了。
因此,我再把我剛剛的大綱跟大家做簡要的分享,第一個,在座每一個人都是原告,我相信沒有人會有意見,理由是什麼?理由是我們都有健保卡,我們都認同健保卡裡面蘊含著豐沛的醫療研發的寶藏,答案是可不可以推定同意我們要提供給別人研究?台權會說,如果你事前沒有取得我的同意,事後也應該要讓我們退出啊!它覺得這樣很合理啊!面對這樣的質疑,釋憲案的結果告訴我們,確實欠缺了一個監督機制,確實當事人沒有資料停止使用權,確實可以修法或制定專法,但是今年應該要入法。所以個資委員會籌設了,然而面對說好的「資安即國安」的事情,我們看到數位部很辛苦,我們看到這個委員會承載著全國人民的期待,而在這樣的期待底下,怎麼去做到避免人格權受到侵害,促進個人資料的合理使用?我覺得應該要相當程序的諮詢,這是最基本的期待,但是面對新興科技的發展,應該要有即時有效的對應。
至於如何規劃設計可行的監管架構?誠如我剛剛說的,對於公務機關的部分,應該要能夠獨立運作;對於非公務機關的部分,應該要能夠有效監管。至於跨部會協力的部分,我認為個資委員會應該要做相關評估把關的工作,然而涉及資安、個資競合的例子,應該要有相關的通報制度。
至於專業人才的養成,我認為或許應該要有相關的證照,舉例,我們學會所關心的衛生福利管理條例草案,3月1號公告了,聯合報的頭版指出大家提出了很多質疑,第一個質疑是第十六條,第十六條第一項是這麼規定的,當事人得填具申請書,依前條第一款規定請求停止。請求停止什麼呢?衛生福利資料之目的外使用。如果我不知道你用到哪裡去,我怎麼請求你停止?如果我申請停止了以後,想要再參加可不可以?尤其在這一些衛生福利資料裡面還包括死因資料,那這一些往生者如何退出呢?第二個,在第九條裡面有一個這樣的規定,申請目的外利用衛生福利資料,應以促進醫療品質、公共衛生、政府機關執行法定職務或學術研究之目的為限。為什麼要限縮它呢?為什麼不能夠開放給產業研發?在衛福部修法之際,其實他們曾經參考標竿四法,而在他們的立法理由裡面提到,最主要參考的是歐洲的 EHDS跟芬蘭的專法,這符合我們的國情嗎?符合我們的需要嗎?是以,我想要說的是,大數據的發展對各個產業的衝擊很大。舉例而言,我關心的healthcare的產業,它即將面臨什麼樣的問題呢?第一個,大家都看到了 DNA外洩的質疑,我們想問,raw data要不要根留臺灣?我們想問,基因資料庫是不是公共財?我們想問,這個委員會成立以後,對於國衛院、衛福部未能嚴格把關,它能夠承擔得起我們的期待嗎?我們想問,這一些human tissue運送到國外的foundation的時候,它如何取得我們的醫療病史?我們想問,在這樣的狀況底下,有沒有可能透過biobank做一個bridge,讓所有的資料不落地,讓我們也可以跟跨國藥廠合作?
我想要說的是,這麼多的法律,不應該只是告訴我們什麼都不能做,而應該告訴我們可以怎麼做。尤其面對AI的發展,我看到了生醫大數據,我看到了AI的前景跟未來,這是我們學會的願景,我們希望做到全齡的精準健康照護,然而我們也希望為臺灣打造下一座護國神山,可是我不知道在強調隱私保護的狀況底下,你有沒有考慮過我的autonomy?所以我昨天做了一件事,我把autonomy做了文字雲的搜索,我發現所謂的自主、自決權跟這麼多事情都有關,可是你更可以看到的是,左邊有一個人被綁手、被綁腳,因為我們要保護他的隱私,但是我想要強調的是,在你們保護我的隱私之際,我不想要被沒收自主同意權。因此,我希望新的科技可以幫我們解決問題,舉例來說,如果我們可以結合區塊鏈的創新應用,如果我們可以讓當事人選擇 opt-in跟 opt-out,如果我們可以讓個資是握在各位的手中,那我們為什麼要禁止它?面對這樣的態度,我的立場是希望資料能夠賦權,資料能夠隨身,讓我們一起努力為數據注入生命力。以上謹代表學會針對這個公聽會提出一些建議,謝謝。
主席:謝謝林瑞珠秘書長。
接下來請數位賦能顧問集團的王志清創辦人。
王志清共同創辦人暨數位長:主席、各位委員、各位長官們以及先進,各位好。我是代表LeadBest Consulting Group。我們在做上市集團的數位賦能創新,我們透過這個方式去孵化一些項目,也在這個過程中,看到了很多集團在創新過程對資安監管、對個資上保護的一些挑戰,我這邊謹代表業界上面的一些狀態跟各位報告。
首先,針對第二題的如何設計監管架構,讓監管可以有效地被履行。這一題我想反過來,因為在監管的過程中,更多可能是沒有做到會怎麼樣,可是在業界的狀況是這樣的,就是他們可能會進行一些風險投資的評估,假設投資資安或是投資這些項目的時候,如果出狀況的問題遠大於投資所要面臨的風險,或許他們這時候導入的意願或力道就會少,這是我們在業界看到比較多的狀況。所以針對這一題,在導入的初期,不管是資安或是個資,或許可以換個方式,我們可以用獎勵的方式來鼓勵這些真的有在做事的人。其實在業界有一些大型企業已經在做了,針對這邊做得好的,我們要怎麼來讓他們變成標竿,讓其他人可以學習?這是第一點回復。
第二點,有一個標準可以參考,像國際信用卡有一個資安標準叫PCI DSS,它的狀況是這樣的,針對不同的監管上面,它分成不同等級,比如說,初期在導入信用卡安全等級的時候,它建議可以透過自評,它有一些檢核表,可以讓要導入的企業去透過檢核表瞭解自己的狀態,如果它今天到一定的規模或一定的銷售量的時候,它會要求你這時候要導入顧問來稽核,這時候外稽才會進來。透過這個方式,可以有效的把我們在導入過程中一些比較複雜的東西,讓企業端可以自己感受到底要導入什麼、到底還缺少什麼,這是由企業內部出發,而不是由外部來監管。第二個我想跟大家報告的是,業界上面有一些標準,我們可以分層控制,並且這個東西是由企業內部自動自發來做,透過這樣子,可能監管的一些成本也會下降,這兩個跟大家分享。
第三個部分是個資會履行其職掌時,資通安全法跟個資法這兩個的互動。我想這個是一個滿不錯的議題,像我們以前在導個資時,導著導著裡面個資出狀況,那又跟資安有關。我這邊簡單做幾個回應,第一個,明確界定資通安全法跟個資法的防護範圍。對於現在的法規,我想各位先進其實都弄得很好,這邊我就不敢造次,不過往下延伸的話,實務上面我們會遇到一個問題,就是我們在導入資安的時候,我們會建立一個資安應變小組或事件應變小組,在這個過程中,我第二個可以分享的就是,我覺得可以建立一個跨機構的協調機制或是跨機構的協作運作小組,這裡面會包含資安小組跟個資小組。像我們在看一般企業內部,從資安開始導入,它會有資安的ISO 27001,所以它會有一個資安應變小組,但是我們裡面在運作的時候,我們會有一些表單,比如說,資安事件發生的時候,資安人員會去主動辨識今天是不是有個資洩漏的狀況、今天洩漏筆數是不是到達一個臨界點,我要啟動資安的應變,這時候他會呼叫個資應變小組,個資應變小組這時候就要回頭來去處理個資的事件;反過來,個資事件發生的時候,如果有發生這種不管是紙本或是其他的洩漏事件,個資應變小組也會回過來跟資安應變小組去做橫向溝通。這是我們自己在業界滿常做的事,透過這個方式,這個協調機制出來以後,其實兩邊會定期針對異常事件去學習,並且建立一個共同的合作準則以及一些知識。這樣下來,除了一開始可能沒有誰在領導,只是互相協作,可是未來是不是有個人要來協調?我想這個是可以討論的,所以從界定範圍到跨組織的應變,然後到合作的指導原則跟知識的建立。
最後兩個建議是,在這個過程中,越來越多的事件會發生,以前我們最早是用email在做,但隨著企業越來越多,不同公司的協作狀況也不盡相同,我想或許我們可以考慮建立一個協作的平臺,這個平臺有幾個好處,我們可以有效的透過這個數位平臺的建立,讓哪些東西揭露、哪些東西不揭露,這樣不但可以確保個資跟機敏資訊的洩漏部分,又可以做資料的傳承,甚至往更高的,比如說政府的治理的話,現在大部分企業有在導的,它會覺得它他有在導,可是有沒有方式是其他人的應變建議,或是現在發生什麼樣的事件,我們可以提早去做知識的儲備?我想這是第四個數位平臺協作可以做的。
最後一個就是,我們導入這麼多東西,除了數位平臺我們給予獎勵,然後企業自主自發的去做checklist,快速的去瞭解自己的狀態外,最後一個,有一些定期的跨部門演練機制或者合作機制我想是有必要的,我相信各部會現在都有在做,除了在平常出事情的狀況我們去學習以外,在不出事情的狀況下,我們是不是也有一些互相學習的方法?我想這幾個是我們實務上面的經驗,看看可不可以分享、給一些建議。其實國際上面有很多這種跨資安跟個資協作的案例,比如說歐盟的GDPR跟NIS或是英國的ICO跟NSC等,都是跨部會開始針對資安跟個資協作的一個方式。我想現在都還在很前面,如果我們可以在這邊有一些不管是法制的指引甚至是配套,然後指引法規的指引,我想都是一些不錯的方式。
最後一個,第四點是如何建立公私部門個資保護人才的素養培育?我想從幾個面向,第一個是在校園的部分,當然我想現在在資安面,從國小到高中其實都有一些資安素養的培養,個資應該也是要再納入這個環節的,甚至到大專院校。我們不只應該講素養的培養,是在講可能是個資保護管理,ISO 27701到ISO 27001這裡面怎麼去互相配合,甚至國際的規範上面,我們怎麼樣讓我們的學子們在國際的配合上面的監管是接軌的,有助於他們未來到企業上面可以協助他們,幫他們導入相關的一些配套的管理。在企業層面的話,我想最近其實也有一個東西不錯,也可以參考,上市櫃公司現在有一個上市櫃資通安全的指引,我想個資保護如果有一個指引的話,回到我剛剛講的,不只我們是監管處罰,而是如果有一些配套做得好的話,是不是讓他們變成表率,讓其他人來學習?但是在這個過程中,資安也導了很多年,到它初期的建立然後到真的有人去導入,然後到後面真的能產生impact、有效果,現在大家都還在講資安是個投資,有沒有機會個資是創造競爭優勢,然後它可以創造我們的效益?我想這個東西是業界都在努力的,資安長們都在努力,怎麼讓老闆們覺得沒出事情的時候花這個預算你不要覺得在投資,真的出事情了以後,它是一個保護,甚至我們要透過這個去創造我們的競爭壁壘,這是我們在思考的。我想政府層面有資源然後有很多專家,是不是從這邊透過一些上市櫃的這個,畢竟資源也比較大,然後影響面也比較大,透過這邊,讓他們開始建立一些個資的專責單位,然後透過他們去把我們一些演練、一些指引建得更細緻,細緻完以後,有一些比較沒有那麼多資源的,他們就可以比較順利地去銜接參考。
最後在政策面,剛剛講的一些國際的相關證照,我想或許有一些補助可以協助,甚至剛剛講的,如果整個面向都有一些慢慢陸續在做,整個業界整體起來的話,我想……我們最近看到一個也是滿值得參考的是在碳管理的部分,最近經濟部有一些計畫是透過N+1,就是我是一間比較帶頭的企業,我旗下有很多公司沒有做碳管理、碳歷程的盤點,透過我公司拉著他們,母雞帶小雞,就可以讓整個產業一起起來。我想個資也是,個資在過往我們在做電商的時候,一間電商出問題有可能不是它個資洩漏,而是它的協作單位、它的物流、它的下游或是它的合作廠商,在合作不管是運送的過程或者是行銷的過程,造成那些資料的洩漏,所以有沒有一些方式是我們透過這種整體計畫,讓母雞們……,他們甚至已經做了,但是產業面還沒有,我們不要讓這些變成一個資訊的斷點,所以我們讓整個產業整體把它一起做起來。這是代表業界,然後在這個產業的一些淺見跟各位分享,以上報告。
主席:好,謝謝我們王志清共同創辦人。
接下來請吳召委來協助。
主席(吳委員宗憲代):下一位我們請鍾佳濱委員發言。
鍾委員佳濱:主席、在場的學者專家代表,會場的各機關列席人員。我想今天我們司法及法制委員會召開這個公聽會,除了聽取學者專家的意見之外,也希望藉此就民意機關的立場,表達民眾對未來關於個人資料保護上民眾的期待,在這裡也就這幾項比較特定的點來就教於各位學者專家。首先我們民眾關心的是什麼?關心的就是被詐騙,詐騙跟個資保護,到底有哪些政府部門或是民間企業有保護的義務?課責的範疇要如何界定?一般不管是民眾跟商業上的交易行為、消費行為,或者說民眾因為跟政府接洽業務,他所建立的一些資料的提供,萬一發生外洩造成了損害該如何填補?我想接下來很簡短地來回顧一下。誠如剛剛之前有些學者專家提到了,在2022年8月12號,111年憲判字第13號當中提出了最重要的一點,在3年內應該建立相關的法制來保障人民的資訊隱私權;那麼到了去年的5月31號,個資法修正了,這當中還包括要設置統籌性的獨立監督機關,並且要提高對於違反個資法的罰則;到2025年(明年)的8月11日之前,我們必須要成立專責單位,目前尚缺乏對應的組織法,而且監管的架構也還不明確,當然同時在今天我們的提綱當中也提到跟其他機關的事權分配和人才的培育。
好,那麼現在趕快進入我們民眾一般最常關切的,跟公司打交道或者說在網路上進行消費的時候,民眾會有兩種個資,一種是你要申請會員,你要提供的就是個人的辨識資料,包括你的生物特徵,譬如說要你寫一下你的血型或者要提供照片,甚至有些部門要你留下指紋,以便讓你能夠很迅速地取代你要寄送的密碼。你的社會特徵當然不外乎你的姓名、你的性別、你的父母、你的身分證字號、你的出生年月日,這些都不是個人很容易去改變的,你的父母當然不可能改變,出生年月日也不可能改變嘛!所以一旦外洩就會產生很嚴重的冒用身分風險,我接下來會在案例上說明,這個部分的個人識別資料在個資保護上是最核心的。另外在交易或者互動過程當中會產生的一些類似像交易紀錄,譬如說這是社會活動的過程,信用卡的使用紀錄、購買物品的內容、時間、購買的頻率,這裡面容易產生的一個就是隱私剝削的風險,譬如民眾可能有些消費行為不想被知道,或者民眾因為這些個人的消費行為被掌握了,他會以為對方對他有一定的瞭解跟信賴,不管是哪一種,這種隱私剝削不管是威脅還是取得你的錯誤信賴,都使得消費者陷入一個後續被詐騙的風險。
我們繼續往下看,現階段的個資保護工作,我認為協助打詐是重點,包括從民眾開始申請會員、填寫資料,企業有沒有妥善地保管個資?企業遭駭、個資洩漏,這個時候企業有沒有善盡良善的保管義務,或者提供必要的防護機制,還是當詐團取得個資作為詐騙工具的時候,比如說他假扮檢察官或假扮業者,民眾因此誤信而損失大筆的錢財,我們不管公部門、私部門在收取個資的時候,如果沒有妥善保管就會淪為詐騙的工具,所以它的嚴重性,我們來看一下個案。近期內個資外洩的終審案例,在臺灣高等法院112年度上字第656號的民事判決,民眾在溫泉飯店的官網買票券,因個資外洩遭詐騙9萬元,提告要求刪除並賠償,消基會介入協助,纏訟了兩年,個人僅獲得2萬元的賠償,法官引用的個資法採過失推定原則,由業者負舉證責任。這是一個案例,我們再往下看,個資外洩會產生民眾什麼必要成本呢?舉例如果你今天去一個地方,人家說你的隨身包包要交付保管,保管的時候,你拿回來發現怎麼鑰匙包不見了,你很緊張,趕快把家裡的鑰匙都打一副,後來對方說找到了你的鑰匙包掉在什麼地方,你怎麼知道這個過程鑰匙包有沒有被拿去拷貝?所以你的損失,雖然後來好像表面上你沒有任何的財務損失,但是你已經產生一個安全風險上的損失。去年iRent的案例,外洩照片、租車情況、身分證件、駕照還有信用卡卡號,後來民眾怎麼自保?我們建議所有的消費者,只要是外洩的,你通通更新你的信用卡,新的卡號才不會在未來讓你舊的信用卡被冒用,這個時候,請問這些成本誰來承擔?
因此最後結論,我們怎麼促進公私部門強化個資保護?去年中已經上修了罰則,未來要進一步修正完善裁罰的定義;過去都是事件發生後才被動地開罰,我們希望主管機關能夠增加量能,主動地定期稽查;另外賠償的請求冗長而錢少,可不可以簡化程序或代位求償?通常資料庫外洩,受害的消費者很多,但是損失有限,這時候能不能有代位求償?最後,對於個資外洩必要的保護成本,要課以資料庫管理者提供多少的防護?這個要有一定規模上的要求。甚至在發生風險之後,如何依比例原則要求廠商賠償,或者說採取強制責任險的方式,要求取得個資的,不管是公私立機關、行號,都必須在取得大量個資之後有一定的,比如說風險投保機制,確保當一些損害發生的時候,消費者才不會求訴無門。以上提供在座的機關代表跟學者專家參酌,希望在未來相關法制的制定上能夠提供你們的高見,謝謝。
主席:謝謝。接下來我們再請鍾召委繼續主持會議。
主席(鍾委員佳濱):接下來我們請時代法律事務張鈞綸律師發言,請。
張鈞綸律師:主席,各位委員,與會指導的長官,以及在座各位法學先進。我今天是來報告個人資料保護委員會組織籌設及相關配套措施公聽會的一些建議,因為個人資料保護法是跟著打詐五法一起修正,個人資料保護法除了要擴大罰則之外,另外就是成立個人資料保護委員會,所以今天我們才會召開這個公聽會。當然也因為憲法法庭111年憲判字第13號主文就特別強調,因為由目前個人資料保護法或其他法律規定整體觀察,欠缺個人資料保護之獨立監督機制,所以它特別提出來一個獨立的監督機制,而且也指出對個人資料隱私權的保障不足,所以有違憲之虞,希望有關機關制定相關的法律,而且要有配套,以滿足憲法第二十二條對人民資訊隱私權的保障,所以憲判字的這個判決很明顯的是從人民的資訊隱私權出發的。
獨立專責主管機關主管個人資料保護已經變成國際潮流,因為歐洲議會及歐盟理事會在2016年就已經通過了歐盟一般資料保護規則,這個GDPR相信很多老師都很清楚,它就特別提到必須要視個人資料保護為人權的體現,要求個資主管機關必須要獨立,而且專責。但是因為依照我國中央行政機關組織基準法第三十二條第二項規定,我國相當二級機關之獨立機關數量是以3個為限,我國中央二級獨立機關目前已經滿了,就是中央選舉委員會、公平交易委員會及國家通訊傳播委員會,事實上已經沒有多餘的空額成立。如果改為成立相當中央三級的獨立機關呢?因為二級已經滿了,所以我們試試看三級,那三級的話,委員會例如國家運輸安全調查委員會、不當黨產處理委員會,以及核能安全委員會,或許有一些設立的空間,但是因為以三級獨立機關方式設立的話,是否能夠發揮部會協調的有效性,這恐怕會有些疑慮喔!所以這恐怕還是要靠朝野雙方,例如以修中央行政機關組織基準法的方式處理。當然我認為即使不用二級委員會,而用三級委員會的方式,可能會有一些弱,但是還是有它運作的空間。
再過來我們要討論第二個,因為未來個資監管的對象包括公務機關及非公務機關,尤其非公務機關之外,還有自然人、法人及其他團體,所以監管範圍非常龐大,然後數量也很龐大,要怎麼樣做到比較完善呢?因為2023年我國全國人民戶政資料遭上網洩漏、販售,這個新聞鬧得很大,而且非公務機關如租賃平臺,例如鍾委員剛剛講的 iRent或者是電商網站,經常屢傳個資外洩,所以盜用個資以進行詐騙等犯罪行為已經成為人民生命財產威脅及國家安全的重大破口。這個如果不是人權危機的話,恐怕也沒有什麼東西是人權危機了。
跟個資比較相關的國際組織,例如以ICDPPC來講,對會員的資格就要求須為法定公務機關,而且法定任務應包含監管個資或隱私保護法律,監管之個資或隱私保護法律內容必須與國際原則相符,而且須有相當的法定職權以行使職務,然後該機關要有獨立性、自主性,所以以這個情況來看的話,採取獨立的委員會是目前的潮流、趨勢。
APCE CBPRs也提到,跨境隱私保護規則體系對會員經濟體的隱私保護執法機關要求必須為公務機關,而且任務必須包含實施隱私權保護法律及須有行使調查或執行執法程序之權利。所以基本上我們已經清楚如果要跟國外相關的組織接軌的話,大概必須要是個資跟隱私保護,另外還要有調查權,所以這邊來講的話,新的個資委員會就必須要符合以上的要求,而且目前各國多半都是同時監管公務或非公務機關,尤其日本先前本來是監管非公務機關的,現在也改成監管公務機關了。據統計目前多數國家主管機關都同時主管,例如說有38個國家主管資訊近用或資訊自由法規;28個國家主管濫發電子郵件或是垃圾郵件的法規;另外還有28個國家主管的是健康資訊的法規;另外還有19個國家主管電子通訊法規,及14個國家主管網路安全的法規。
這個圖是ICDPPC上面的一個圖啦!由此我們似乎應該考慮納入其他相關的法規,除了性質接近以外,有利於執法,也與國際上定性為人權維護組織之精神更為接近。因為數位發展部目前似乎效率不彰,而且定位仍在摸索,所以個資委員會似乎是應該更主動並積極執法,也必須要考慮是不是要把我們上面所說的這幾項法律都納入個資委員會處理,只要是類似相同的職權,還是把它放在同一個機關,法律經濟學上面也講相同的權力歸屬於同一個機關會比較有所謂的效率,而且也比較不容易掛一漏萬。
再過來個資委員會履行職掌的時候,是不是會發生例如跟其他機關的職權競合,或者要怎麼樣使政府機關能夠更落實有效分配的問題?我們必須要先去想一個原則,組織法並不等於行為法,所以即使我們今天在這邊討論個資委員會的組織章程、組織法,也不表示個資委員會的行為是由這邊來規定的,我們事實上應該去看個資法的保護到底有沒有到位,所以基本上組織法只要大致上看到第八條第三項的通報機制、通報組織以及第四項的調查權。我覺得第四項調查權就目前來講,似乎還是稍微弱了一點,條文規定「本會得要求各目的主管機關、直轄市、縣市政府、企業、團體之個資控管者或處理者,提供個資蒐集、處理之相關資訊。」我覺得第四項可能要加強一些,個資委員會似乎要稍微強勢一點。再過來,有關第二十八條以下的損害賠償及團體訴訟,事實上規定已經很多了,只是民眾能不能用到。以團體訴訟來講,例如由財團法人或特別的機構去協調或代理訴訟;第四十一條以下則規定了若干刑罰罰則;第四十七條以下又提供了行政罰罰則。以這方面來講,如果進到法院或地檢署,事實上由法院或地檢署提供幫助,但這些條文受限於舉證責任分配問題,所以能不能具體實現,恐怕還是要看執法者是否有決心去處理。我認為這方面恐怕還是需要個資委員會加強訴訟輔導,或許必須類似消保會一樣設立消保官,也就是設立DPO,協助民眾處理個資外洩問題。
以上就是我的報告,謝謝。
主席:謝謝張律師。接下來有請國立臺灣大學法律學院蘇慧婕副教授。
蘇慧婕副教授:主席、各位委員、在場的各位與會來賓,大家好,今天很高興有這個機會可以來討論、分享一下關於個資法的相關修正,特別是關於個資會的組織等設計條文。
剛剛已經有多位專家學者提到個資會的設立及為什麼需要這些條文,主要原因當然是來自於111年憲判字第13號判決的要求。在這邊我想要再做一些比較憲法層次的補充,畢竟111年憲判字第13號判決是憲法法庭的判決,以致大家非常關注個資會需要成立一個所謂的獨立監管機關,這是憲法法庭非常明確的要求。但我們不能忘記的是,這個獨立監管機關的要求到底從哪邊來?因為我們必須知道為什麼憲法法庭,特別是大法官為何會如此明確要求成立獨立監管機關的理由是什麼,我們才知道要如何去設計這個所謂的獨立監管機關。
憲法法庭在111年憲判字第13號判決裡非常明確要求,必須在三年內提出修正,所以我們可以知道期限確實非常緊迫。又因為要求修正的是一個合憲的、合乎111年憲判字第13號要求的個資會,所以我們當然希望不只是設計出一個叫個資會的東西,而是成立一個合憲的個資會。111年憲判字第13號判決對於獨立監管機關的要求是什麼呢?大家有興趣的話可以去參考原文,它講的其實是來自於憲法上保障的資訊隱私權,那麼要如何保障資訊隱私權呢?其實國家必須要有一些積極的作為義務,而這個積極作為義務就會落實在必須提供特定的組織與程序的保障,也當然就會直接連結到個資會,針對這個個資會,必須要設計出一套組織跟程序的規範,讓國家可以有效的、積極的實現憲法上對於資訊隱私權的承諾與保護。
簡而言之,個資會的相關組織與程序設計該如何合憲,這取決於憲法上對於資訊隱私權在憲法上的保護需求到底是怎麼樣的。換言之,個資會的職權其實是為了確保可以執行合憲的個資法規定,這一點在黃昭元大法官提出,大法官許宗力、許志雄、謝銘洋、楊惠欽加入,總共五位大法官贊同的協同意見書,即111年憲判字第13號判決裡面的協同意見書可以看到。其實大法官非常明確地指出,如果個資法的實體規定有問題的話,不會因為單純成立一個叫做個資會的規定,就使得這個組織滿足了,並不會!為什麼要特別提出這一點?這是為了強調一件事情,個資會的設計如果要符合111年憲判字第13號判決的要求,也就是這個個資會要能夠合憲的話,首先有一個真的不能迴避的問題是:個資法實體法的要件必須是合憲的,所以我們現在如果要討論,就是修正符合111年憲判字第13號判決,即大法官要求合憲的個資法的話,我們真的不能只看個資會的成立,必須同時去配套出個資法的實體規定的修正,這件事情非常、非常重要,我認為真的不能夠迴避。因此,今天真的不能只討論個資會,我們還要討論個資法實體法的相關修正。
為什麼這件事情這麼重要?其實在我們拿到的書面資料裡,有兩份是立法院委員所提出的草案。在草案總說明及剛剛各位專家學者都已經有講到的是,現在看到非常多所謂的個資洩漏及詐騙行為,其實都涉及到資訊隱私權到底該如何有效保障的實體保障問題。
現在的個資法在1995年時第一次立法。大家知道,在資訊通訊科技領域裡,三十年是非常、非常長的時間,而在這三十年間,我們的資訊社會、生活數位化、自動化、人工智慧的分析技術等等,這些變化這麼明顯,甚至面對在一、兩年之內就會非常明顯改變我們日常生活的這些技術,當然會使得資訊隱私權的保護,或個資保護權的保障需求真的爆炸性的提升。在這麼明顯的變化之下,我們不可能不去修正三十年前第一次制定的個資法實體條件,所以如果只關注個資會的成立,這件事在邏輯上是很難以成立的。我還是必須強調,我們不能只看個資會的設計,必須同時配套個資法的實體條件的修正。
為什麼這件事情值得再三被強調?理由是,如果我們對於個資法到底應該如何在實體法上加以保障沒有明確的體系定位的話,坦白說,真的沒有辦法設計出一套可以符合憲法上對於個資保護權有效保障要求的、合憲的、個資會的具體組織與程序設計。怎麼說呢?如果參考一下目前可見的一些草案內容就可以看到,就算只聚焦在個資會設計的條文上,其實都會有不足與不明確的問題。例如剛剛有律師已經提到,個資會的機關定位就真的沒有辦法定進去,甚至連條文都沒有辦法寫明到底是二級的獨立機關,還是三級的獨立機關。雖然立法理由有說這可能是參考中選會等等相關設計,但又沒有辦法把它寫成這好像就是一個很明確的二級獨立機關,這是一點。
第二點,如果依照大法官的講法,個資會最重要的就是獨立性,其實條文裡對於如何確保個資會獨立性的規範也非常不足。例如除了個資會本身在職權行使上的獨立性以外,個資會的成員到底有什麼具體的權利義務?目前也都還沒有訂明,如可能有其他的保密義務或拒絕證言權等等,這在條文上面都沒有寫清楚。
另外,在個資會的權限上目前的規定也還不明確,例如它很可能沒有辦法……,必須排除掉法院審判權限的行使,這個可能沒有辦法受到個資會的拘束,這一點在條文上並沒有寫清楚。還有一個非常重要的是,對於所謂的獨立監管機制的另外一塊,也就是所謂的資料保護官、個資保護官,或者更廣泛來講,其他監管機關或監管機構,或英文講的DPO合作,目前在條文上面也都還沒有非常明確地去說DPA跟DPO到底他們的合作關係是什麼。另外一個,若接下來引入所謂的資訊影響評估機制的話,那麼個資會到底該如何去因應資訊影響評估機制?這也完全沒有相關條文。所以由此可以看到,在實體上面,如果對於如何有效保護資訊隱私權沒有明確的想像的話,我們對於個資會相關的規範,也就沒有辦法有非常完整跟明確的設計,這個在目前的草案條文裡面都可以看到。
接下來如果再進一步去講DPA跟DPO的關係的話,目前也完全沒有看到相關的合作,或者是互助的機制,也只有一條,甚至不是一條,其實只有一項說我們可能可以要求誰來互相協助,這個非常非常弱,也沒有辦法有效保障個資會獨立的設計。
最後,我很快的做一個結論,今天我們的重點當然是在因應大法官的要求,必須在三年內設立一個獨立的監管機關,但是這個具體的個資會的制度設計,它還是需要一些更完整的實體法的概念,才有辦法加以有效的落實。為了要落實這件事情,當然還是必須要去考慮實體法上要件是不是需要修改。另外需要提醒的一件事情,我們在立法理由上面,當然會有滿大程度上參考歐盟GDPR的設計,但是GDPR在組織法上面其實是屬於一個框架性的規範,到底如何去設計這個具體的組織,還是要去看歐盟成員國各自的設計,如果我們只參考GDPR的話,它很可能會是一個很很抽象、很框架性的規範,這一點也是需要特別注意的。以上分享如上,謝謝。
主席:謝謝蘇副教授。接下來有請和沛科技公司翟本喬董事長發言。
翟本喬董事長:主席、各位朋友,大家好。時間的關係,不一一問候。首先,討論組織法的部分,我們看到兩份法案,第一個發現兩份法案內容基本上只差3個字,就是後面的法案第一條有寫行政院,其他的幾乎是一字不差,所以是不是請把兩份法案併案,可以節省大家的時間,而且同樣都是民進黨提的嘛,應該很容易協調,對不對?這是第一點。
第二點,在法案的第二條「本會掌理下列事項」,但是裡面沒有裁罰這一項,我們知道法律想要有效力,就是老虎要有牙齒,像同樣是獨立委員會的NCC、公平會,他們都有裁罰的職權,所以想說這一點是不是需要增加進去。同時在裁罰方面,剛剛有講到個資法也要做配套修改,目前我們看到個資法最大的一個缺失,它的罰鍰與那個獲利不成正比,它都是一個固定的數字,好像是2萬到1,500萬吧,我們覺得順帶要修個資法裡面的罰鍰,應該比照像歐盟的作法與營業額成正比,如果是個人的話,與他的獲利或者是損害成正比,在個資法裡面應該要有明確的規定,不過那個不是今天討論的範圍,所以我們只是提出一下這個必要性。
第三條,我們看到剛才張律師也提到了,就是這個到底是幾級的單位,不同等級的單位雖然說看起來同樣的職掌,好像沒關係,其實它對於政府機關的影響力有很大的差別。今天你是二級單位,你開會的時候,你能夠找到其他機關人員配合、的層級就會比三級單位高很多,所以我們想這個地方需要明定。但是行政院組織法裡面有說二級單位獨立委員會只有三個,這可能需要順帶修改行政院組織法。因為這是憲法法庭的裁判,所以我相信要說服修改這個法律應該是沒有什麼問題的。誠如剛才張律師所提到的,要看執法者的決心。我們都知道,當初 Uber的案件的時候,公路法將罰鍰提高到2,500萬,可以在3天內從提案到三讀通過,所以立法的技巧上、技術上是不會有問題的,只是看想不想做,所以我們是不是順便把行政院組織法也修改,明定把這個個資會列進二級單位?同時在委員的資格方面有列出性別、黨派等等的,但是少了一項很重要的是業界的經驗,因為這一個個資方面的法律在執行的時候,跟業界實際的規範和可行性,還有業界的需求有很大的關聯性,所以是不是應該增設一句話,規定具有多少年以上業界經驗者的比例不得少於多少,比如說,不得少於三分之一,具有業界五年以上的工作經驗,類似這樣子的規定,會對於第一條裡面所講的目的─「促進社會之安定與繁榮,推動資料治理發展」才會有真正的幫助。如果都沒有業界代表,我們相信最後整個委員會就是全部都是教授,如果這個教授又是沒有業界經驗的,很可能會提出很多理想很高的作法,但是在業界不一定能夠推得動。
再來,第四條這邊講到「主任委員、副主任委員均出缺或無法行使職權時,由院長指定一人代理主任委員」,為了效率方面,是不是可以改成由委員互選?這樣會比較簡單,因為委員平常開會都比較熟,然後比較有認識,知道大家的職掌,也知道誰講話大家比較佩服,所以如果由委員互選,是不是能夠比較有效率,不用等到院長來指定?
再來,第六條「經本會委員會決議之事項」,這個如果配合前面第二條職掌修改的話,是不是也要把裁罰這一項加進去?
再來,第八條「請目的主管單位、直轄市、縣市政府協助辦理」,這些都沒有問題,前面的提供資料等等,只有最後一項說要在主管機關、縣市政府等設立個人資料行政檢查小組。我們知道直轄市、縣市政府差異很大,比方說資訊局的層級就差很多,只有臺北市是市府一級單位,其他的資訊局都已經到二級單位以下,他們的人力以及專長不一定能夠配合這個法律的執行,所以為了避免給他們增加困擾,是不是最後一項的「直轄市、縣市政府設立個人資料行政檢查小組」就不要去打擾直轄市,跟縣市政府了,由各主管機關設立這個小組就好?
同時在第十一條裡面規定「設立資料治理策進研究中心」,但是剛才張律師也提到,我們整個執法到底能不能有效率,現在變成要看這個執法者的決心。我們也知道,先前大法官在某一個案子有提到,國家的治理不能倚靠執政者的善意,所以我們應該在法律上有一個明確的規定。我的建議是在執法方面,像偵九隊,其實它在偵查電子犯罪上非常有經驗,而且是有很多專業人才的單位,是不是可以考慮,比如說在偵九隊裡面設立一個小組,這個小組同時……就是在第十一條裡面明定這件事,然後在第八條裡面讓這個小組直接有搜索、蒐證跟偵查的權力,這樣子的話才不會每次要縣市政府配合他派出來的人,但他們不一定懂得怎麼去做個資,以及資訊方面恰當的蒐證程序,到時候造成執行上的困擾。這一點我們也可以參考法務部意見的第三項,它有提到或許還是可以,但是事實上,我們知道它既然提出了這件事,表示它是有一些擔憂的,不然的話根本不用提出來討論,所以如果能夠有專責的單位負責偵辦的話會比較好。
不好意思,我講話比較快,所以時間還沒有到,但我已經把要講的事情講完了,謝謝大家,謝謝。
主席:謝謝翟董事長很有效率的發言。說明一下,由於本院委員都有提出法律案的權利,只要經由院會交付就在委員會待審,待審法案在我們審議的同時,公聽會都必須加以臚列。謝謝翟董事長很細心的注意到兩個版本微小的差異。
接下來有請銘傳大學張志偉助理教授發言。
張志偉助理教授:主席、在場各位先進,大家好,我是銘傳大學張志偉,就這個部分的討論,我有幾點想法想要跟大家交流分享一下。我認為這個修法有兩方面的壓力,第一個當然是來自於憲判字判決的影響,另外一方面當然也不可以輕忽的就是在國際間,特別是歐盟法巨大的影響力。那個部分其實奠基於我們要朝向一個比較合適的個資保護組織法的設計,但是我們在學理上提到組織法的部分,其實組織法都是服務於實體法,所以我會呼應一下蘇慧婕老師的說法,我們在修法的時候不能輕忽也不能脫離個資法的規範安排,包括在實體法上面所要界定出個資保護的任務、所衍生的職權,乃至於行政程序到最後救濟階段,其實都要貼著實體法去運作。之所以談到這個部分,當然也是源自於我們參考一下德國配合歐盟法的修正,如果大家有興趣可以去參考一下的話,就會發現在2018年德國通過的個資法裡面,總共一併修正了一百多部的法律,在法律位階上面,它其實就一併的整體修正,然後用整個包裹式立法的方式。這一點其實是我一直強調的,只要提到法律修正的時候,我們常常會落入個別修正、個別規範不一致的情形,這一點可能是比較可惜的。再來,在組織上面的任務,我們必須考慮的另外一個重點,其實是除了個資保護以外,比方像德國的制度安排,它把資訊自由,也就是所謂的政府資訊公開一併納入考慮,因為政府資訊公開的時候,其實也會影響到個人資料保護,在相關的政府資訊裡面,其實有涉及到個人資料的部分,是不是也應該要一併討論?也就是這兩個權限是不是要放在同一個機關去負擔?針對這個部分,德國的立法例其實有類似的設計,事實上我覺得可以納入參考。另外,在立法例的參考上面,我認為我們如果真的要參酌國外相關立法例的話,恐怕不能只看歐盟法,為什麼?因為歐盟法其實是一個框架性的立法,大部分的規定還是透過內國法,特別是有開放性條款的時候,它其實還是透過內國法去實現,所以相關內國立法例的介紹及分析可能更為貼切一點。除了歐盟關於內國個資保護監管機關的制度設計以外,其實還必須參看各個內國法相關的法制。
就我們個資法的部分,我發現行政部門的提案比較可惜一點,並沒有一併放上來,我覺得這是比較可惜的地方。另外,就組織面向上,我們到底要怎麼樣去設計個資保護委員會的安排,或許我們可以從三個面向來做,比方像人事、事務跟財政上面的配置,去強化它的獨立性。另外一點可能也要一併思考的是,除了中央層級以外,我們是不是也要思考在地方的層級,甚至在企業或者是機關內部的內控機制,也就是所謂個資保護長這樣的設置安排。另外,就人員跟專業性的要求上面,我也蠻支持要有業界相關的經歷跟專業。其實歐盟關於個資保護委員會選任機制上面,它特別強調必須要透明為之,所以我認為在選任過程中的安排可能也要足夠清楚透明。另外在主任委員的安排上面,是不是也應該強化彼此之間的獨立性及專業性?這個由委員互選,我也是比較支持。另外就任期保障的部分,我認為可以稍微長過四年,像德國其實也是類似的安排,在他們中央聯邦層級的話,其實就是以五年為限,得連任一次。另外一點,如果參照兩個國家的立法例的話,他們還有去職的設計,就是在議會建議之下,可以有這揰解任的可能性。針對這個部分,我覺得或許可以確保究責和獨立之間的平衡。
另外,就業務交流上面,我認為我們可能要先想的是我們到底要哪些個資保護的機構,比方說我們在私部門間、在各個企業或者是各個公務機關之間,他們有沒有內控人員?如果有內控人員的設計安排的話,應該也要在組織法上面予以規範,然後跟中央層級要有定期的人員或是業務交流,以確保他們執法的一致性。另外,其實我認為個資保護機關負有這個資訊的義務,它必須提升公眾對於個資處理的風險規範、保護措施以及權利的意識,特別是歐盟法有強調對於兒童的保護。另外,其實它有建議權,所以它可以建議國會、政府機關以及相關機構,關於當事人權利的意識的部分。另外,我覺得很特別的一點是它還特別強調要提升責任人及受託處理人關於個資法義務的意識,也就是針對權利跟義務的部分,它做了分別的安排。
總結來看,我覺得在個資法上面的設計,恐怕要先回到我們對於個資法以及個資法所要確保的組織法的立法有什麼樣的任務安排。我常常說我們在設計組織法的時候,其實要先界定除了在憲法上面的要求以外,再來就是在行政組織上它到底要負責什麼樣的任務,針對這一點我覺得比較可惜的是,在我國的立法上面,通常在第一條就會很粗淺的寫到各個立法的目的,針對那個部分,我覺得比較可惜的是,我們沒有更精確的去界定各自的目的,所以那個目的其實沒有辦法貼近行政機關所要承擔的任務,乃至於組織法上面的設計安排。我覺得後續包括在組織的安排及設計上面,我們不能只有看到委員這個層級,事實上,所負責的這些行政公務人員也應該要納入考量,比方說保障他的拒絕證言權,或者是一定的緘默義務,那個部分我覺得應該要納入考量。但是在拒絕證言的部分,其實也不是完全直接任由這個機關行使,或是任由這個當事人行使,在德國法的立法上面,它其實是要求首長必須要具體的許可。那個部分我覺得至少在制度的安排上面,我們可能不是只有看到上層的委員或者是主任委員的設計跟安排,恐怕也要連底下相關的公務人員,包括他們應該要具備的職務跟專業能力的設計跟安排。事實上,在國外的立法上,他們會特別強調從事個資保護的專門職務人員要有一定的資格跟能力,並且要有一定保障的要求。我覺得那個部分恐怕才是我們在確定組織上,一方面要能夠妥適履行它所負的個資保護的任務,另外一方面也要透過這樣的方式來確保它他的獨立性。所以總體來看,我認為在我們的個資法上面,特別是組織法的面向上,如何確保它的任務能夠履行,以及對於公眾、政府機關,乃至於對國會、地方以及企業,它可以獨立行使職權及業務交流的能力,我覺得這是在組織法設計上面格外要注意的地方。以上淺見,敬供各位參考,謝謝。
主席:謝謝張教授。
接下來有請理律法律事務所曾更瑩律師。
曾更瑩律師:主席、各位委員、各位長官、在場的專家與先進們,大家好。我是理律法律事務所曾更瑩律師,我平常在理律法律事務所負責的主要業務就是跟個資保護有關的業務,今天很榮幸有這個機會可以在此跟大家分享一下本人對於這次組織法訂定的意見。
我覺得律師都是比較實際的,所以我從實際的觀點來說一下我基本的看法。首先,去年個資法已經修改了,個資保護委員會必定要成立,因為它已經在母法裡面了,所以它的必要性已經公認了,這是第一點。
第二點是個資委員會的層級,如果以目前的母法來看,母法同時監管公務機關及非公務機關,所以個資保護委員會的層級必須要高,如果不到二級機關,我想它沒有辦法符合目前母法同時監管公務機關及非公務機關的授權,這是第二點。
第三點,關於立法策略的部分,鑑於有種種不同的做法,大家對於目前個資法實體法母法本身多所期待,因為對母法的期待會反映到組織法上的期待,但我個人不太確定在立法技術上,我們應該把期待放在母法還是放在組織法,這樣子的話,立法的策略會不一樣。比如基於憲法法庭給的deadline,我們如果希望在明年年終之前一定要成立個資保護委員會,有這個時間的因素加入的話,我們就不太可能同時做組織法及母法的修正,可能就必須要考慮先把組織法定好了、把委員會實際組起來以後,大家再把對於母法個資保護不足的部分、希望放進去的部分放到母法。從實際執業律師的角度思考的話,我覺得這是一個比較可能實際走完的流程。如果現在大家很急著把我們對於個資保護所有的願景都放在母法或是都放在組織法裡面,我覺得可能會拖慢流程,這一點給各位參考。
再來,剛才前面的專家有提到大家對個資保護委員會有很大期待的是關於行政檢查的部分,身為執業律師,我們經常要幫客戶因應各個機關的行政檢查,然後會是從不同的法律來的。根據我的瞭解,在個資法裡面從第二十二條到第二十六條寫了一個滿強悍的個資檢查權責,如果大家去對應其他的法律,比如公平法,其實個資法授予主管機關的行政檢查權是比較強的,不但可以dawn raid,也可以扣押業者的電腦或文件,所以老實說我覺得它已經非常強大了。
我覺得真正的問題是現在這個強大的行政檢查權未來在個資保護委員會設立以後,像現在個資法母法已經寫得非常清楚,將來會從中央各目的事業主管機關及地方所有相關主管機關收回來,全部放在個資保護委員會行使這樣的行政檢查權。其實目前個資法母法的架構已經規劃成這樣行使行政檢查權力的狀況,如果我們在寫組織法的時候……當然我知道一個保護委員會可能力有未逮,因為目的事業有這麼多,業者又遍及臺灣全島,在這樣的情況下,如果個資保護委員會需要其他的主管機關協助的時候,又該怎麼辦?如果我們比較直線、比較實際來看這件事,其實我們要解決的是未來個資保護委員會真正去做行政檢查實際的人力問題,因為可能一個個資保護委員會的人不夠。
第二個是專業,我不是說委員不專業,而是跨不同的法律就有不同的「眉角」或是有一些特別的解釋方法。以本所理律法律事務所遇到個資的案件而言,今天如果是電信的案件、藥業的案件或是金融的案件,其實我們也是需要找至少兩組不同的律師處理,一組是熟悉個資法的律師,另一組是熟悉業法的律師。所以相信未來個資保護委員會會需要各目的事業主管機關,甚至地方機關的支持。一方面是專業的支持,一方面是人力的支持。未來組織法一上路,雖然母法可能還沒有修,但是行政檢查就要做了,我覺得這可能是組織法裡面非常重要的一條,之前是開展,現在要收斂,如何在組織法裡面可以寫一條讓個資保護委員會在一上路的時候,就有權力讓各個主管機關都能夠協助處理個資的事項?這是關於行政檢查的部分本人的意見。
再來,剛才先進們都有提到將來個資保護委員會要做什麼,如果我們看現在母法的話,現在母法關於主管機關的權限,第一個是制定施行細則;第二個,當然主管機關會有法令解釋的權限;第三個是我剛剛解釋的從第二十二條到第二十六條的行政檢查;再來就是個資法有罰則。個資法的罰則目前最高已經到新臺幣1,500萬,其實我的瞭解是業界因為這個1,500萬有相當大的改變,大家可能都會批評1,500萬不夠高,可是我的瞭解是業者為了防止那1,500萬,現在已經很努力地在做各種保護個資的措施。
以上是現在的母法裡面寫出來基本上主管機關要做什麼事情。剛才大家有提到其他的部分,比如隱私影響評估,或是我心裡想的,我覺得未來主管機關也應該要協助一些認證機制並輔導業者,讓他們知道真正保護個資的best practice是怎麼樣做才會及格,這些也是需要主管機關手把手來協助業者、輔導的部分。
另外,在詐騙盛行之前,其實隱私界都在討論資料治理,也就是資料如何合理地流通,為了公益能夠發展得更好,這個部分其實在目前的母法裡面也不太清楚。
再來就是關於人才的培育,其實在業界來說,我相信大家可能都知道,去年有要求所有的上市公司都要設資安長,資安的人才目前在業界是非常搶手的,接著下來如果未來會要求各個行業也要有隱私的專業人員,甚至各個目的事業主管機關也要協助個資保護委員會行使個資法的各項事項,大家可以想見人才稀少也是一個非常大的問題,所以將來個資保護委員會當然需要做人力的輔導。
我剛剛講的事項從隱私影響評估以後,在目前的母法都沒有特別地寫出來,所以我覺得有兩種做法,一個是讓個資保護委員會趕快先設立,設立以後再修改母法,把這些權限放進去,這是一種做法;另外一種是一些大方向的做法,我們希望個資保護委員會將來會處理的事項都放在組織法裡面,但是我建議細節可能還是交給母法來寫比較詳細執行的部分,這樣會比較保有彈性。
接著是關於我們收到草案的文字部分,我覺得非常地疑惑,因為收到兩份,所以我很認真地把兩份用眼睛比了一遍,最後發現只差3個字,就是一開始的「行政院」,所以我心裡一直想說那份有寫「行政院」的意思是二級機關,由行政院來設,可能是這個意思,另外一份可能是不知道二級還是三級。但是不管怎麼樣,我覺得文字還是要小心。
現在收到的草案裡面有提到幾點我覺得要思考的,第一個,它提到「公務機關」及「非公務機關」,我相信母法以後會改,這兩個詞會不會存在,未來不知道,我建議儘量不要使用這兩個詞,用別的方法表達它的意思。另外就是「控管者」及「處理者」,目前母法沒有這兩個詞,寫在組織法裡面也非常地突兀,同樣我也是建議能夠用別的文句表達這些詞的意思。以上敬供卓參,謝謝。
主席:謝謝曾律師指出目前在法律草案上的一些問題。
接下來有請五翰法律事務所的黃國鐘黃律師,請。
黃國鐘律師:尊敬的鍾召集委員、各位先進、各位貴賓。首先要報告,大法官並沒有說不設機關就違憲,說要設立機關的大法官都去寫部分不同意見書,以為公雞會叫太陽公公早點起床。現在柯志恩委員當國民黨智庫的執行長,以前蔡政文老師當執行長的時候,我在智庫講了半個鐘頭的個人資料保護法,後來政大的劉定基教授來臺北律師公會演講,更加深了我的疑慮,他爸爸是大法官,岳父是戴一頂行政院帽子的公平交易委員會主委,夫人是美麗的高雄市議員,跟我們的提案人一樣,但是我需要報告個人資料保護法的社會成本是什麼、社會利益是什麼。
2001年的諾貝爾經濟學獎得主斯蒂格勒說資訊經濟學,個人的資訊不完整反而增加了道德風險,大家想想,如果詐騙集團躲在個人資料保護之後,會發生什麼問題,而且我覺得個資法的保護已經到了走火入魔、匪夷所思的程度。時常有人問我「黃國○」委員是不是我弟弟,天氣好的時候我就跟他攀親帶故說我的叔叔叫黃季昌,我也是中央研究院畢業的;少年十五、二十幾的時候,很多人問我「黃國○」院長是不是你阿伯?其實這些都是不尊重人格權的表現,黃國書院長他個人資料保護得非常好,其實他姓葉,名字叫焱生。
所以說這個個人資料保護到底要保護什麼?我們要注意這個問題。康熙拿著乾隆的八字去算命,說是男皇女娼,皇帝的皇,所以康熙傳位給雍正,美國的國籍是不是個人保護的資料?答案可能是喔!因為護照號碼是個人保護的資料,可是我們都把它當成國家機密,兩位副總統候選人什麼時候變美國人,什麼時候變回臺灣人,到今天都還搞不清楚。康熙字典沒有「○○✕✕」這兩個字,我們反而要倉頡造字去做「✕✕○○」這兩個字出來。
然後我需要報告,憲法法庭的判決只是說要設立獨立的監督機制,沒有說要設立獨立的監督機關,而且大法官都還忘了法院,大法官只是說鐘錶要電池、齒輪能夠圓滑的運行,他沒有說要去開一家寶島鐘錶行,沒有說要去開一家卡西歐公司,所以我在考卷裡面寫了mechanism跟institution的差別,就是運作的機制跟要設立機關是兩碼子事。
伊朗巴勒維國王住過圓山大飯店,1979年伊朗革命的時候,6位美國大使館的官員借用加拿大的護照逃出德黑蘭。我跟各位先進報告,現在買護照沒有那麼重要,因為CCTV太發達了。我去過中共中央電視臺CCTV,我就以為那個叫做CCTV,結果今天在報紙上看到CCTV在我國鬧得火紅,原來是閉路監視器。2012年的倫敦奧運,15分鐘以後就知道誰放炸彈了,馬來西亞航空370班機是波音777,10年下來知道有2位伊朗人在曼谷買護照要去北京,竟然去那種地方投奔自由,這是很奇怪的事情,也查出俄羅斯的飛機工程師坐在頭等艙的第一排,他有可能劫持飛機到西伯利亞的軍用機場。所以現在的個人資料保護已經不能夠逃過全世界的天眼,而且你不申報你在銀行的存款資料,由於美國的長臂管轄權,銀行會幫你申報。
我覺得設立獨立機關這種想法要跟政府的資訊公開相輔相成。剛剛張志偉教授也提到了德國設置資料保護跟資訊自由的專員嘛!沒有說要設立機關嘛!到底要設立獨立機關還是機關?剛剛曾大律師講的,戴一頂行政院帽的帽子叫做機關,沒有戴帽子的叫做獨立機關,如果是在行政院內部的,像以前我服務的公民投票審議委員會就是內部的單位。如果資訊的自由跟個人資料的保護要給一位專責機關,我覺得數位發展部是一個可以考慮的對象,明明資料上網去找就有了,卻要跑到國外去衝浪,為什麼?因為「surf」這一個字就是衝浪以及上網,這也可以解釋數位發展部為什麼喜歡到國外去考察。
如果要設立委員會的時候,我覺得委員會的組織成員要注意,像最低工資審議委員會就應該要找懂勞動經濟學又能夠代表失業人士的人參加,因為最低工資法會使很多人失業,電價審議委員會總要有朱立倫委員或者費鴻泰委員夫人這種會計學者參加,而且經濟部所訂的定價要去報公平交易委員會這個獨立機關去審議才對啊!不可以自己當老闆又來訂這種國營事業的定價。大家只看到了歐盟的GDPR,沒有看到資料開放及公部門資訊再利用的指令,其實資訊經濟跟個人資料的保護是一體的兩面,韓國跟日本也有增加資訊經濟的各種作法。
最後,我要很嚴肅的講出來,預算法第九十一條是說立法委員提出錢坑法案的時候,如果沒有講填補資金的來源……在德國的聯邦眾議院議事規則裡,預算審議委員會認為沒有填補的資金來源的時候,本案就視為終結。今天黃委員跟賴委員的提案也一樣違背了中央行政機關組織基準法第十一條,第十一條是說要由機關來提案,行政院來提案喔!立法委員的提案其實不符合中央行政機關組織基準法第十一條,是違法的喔!黃委員跟賴委員,甚至今天主持的鍾主席不要過於沮喪,因為這是行政法、國會法,甚至會計、審計法規很好的考題,說不定改天你們在法制史上會帶上一筆,總不能補習班跟法學教室都知道,而立法院不知道。所以歸根究底,我們知道一定要行政院提案,不能由立法委員提案。我去找委員會的博碩士論文,1,118本,原來是會計的薪酬委員會、審計委員會占據了一千多本,政府的委員會很少很少,後來我拿政府委員會去搜尋,找到了黃杰省主席,省政府委員的政府委員會1本論文。
我要報告的結論就是,第一、立法委員的提案在國會改革裡面有可能是違法的;第二、大法官並沒有說不設機關或機構就違憲;第三、如果要設置專門的機構或單位的時候,政府資訊的開放跟個人資料的保護要並重。謝謝各位,敬請指教。
主席:謝謝黃律師精闢的高見,非常感謝。
稍後在翁清坤副教授發言完畢後休息10分鐘。接下來有請翁教授發言。
翁清坤副教授:主席、各位先進,大家好。曾經有一位美國學者表示,我們現在看世界的趨勢,世界有200個國家,大概有100個國家左右有某種程度的個資保護法,但是有相當的國家是沒有的。這個有另外一種說法,說隱私是一種昂貴財,就像有錢人才會去帶勞力士錶、開賓士車等等。他們統計後發現,經濟比較富裕的國家才會開始在乎隱私跟個資保護。同時在世界比較先進的國家當中,我們發現在歐盟,他們對於個資的保護是開世界風氣之先,因為過去二戰的時候,德國納粹黨濫用個資找到猶太人或吉普賽人所在,因此展開大屠殺。所以歐盟最早開始重視個資的保護,可是同時也有美國的發展趨勢。我們看到歐盟這麼重視個資的保護,可是他們在全球的資訊產業、資訊科技方面的企業巨擘卻是很有限。美國主要是引領世界的風氣,所以美國學者就指出為什麼會有這種現象,就是因為歐盟有個資保護法,因此我們可以看得出來,個資在現在我們都知道它是叫new oil,它是當前資訊社會很重要的資源,資源要管制,就是保護個資、保護隱私跟開放利用之間的分寸怎麼拿捏是一個很大的難題。
我們的個資法第一條就提到,為規範個資的蒐集、處理及利用,以避免人格權受侵害,並促進個資的合理利用。所以在第一條的立法宗旨裡面,其實這兩個目的是衝突的,關鍵就是什麼叫做合理?長期以來,法律的界線到底是什麼?保護或不保護常常都是在這個「合理」,在個資法或是即將要成立的個資委員會,一樣也是面對這兩種不同價值的衝突,怎麼樣子來取捨是一個很大的難題。
首先,我看到個資委員會組織法草案第十一條提到要設立一個資料治理中心,這個資料治理中心可能不單只是保護,它可能還積極地想要利用個資。個資保護委員會的使命,應該首要是保護個資,但是同時裡面放入資料的治理,這兩個是不是會彼此衝突?我們看歐盟,他們有通過Data Governance Act,同時成立資料創新委員會(European Data Innovation Board)。在我國,如果要在個資委員會外另外再成立一個這樣的組織,可能會有一點難啦!所以委員會裡面放這樣的資料治理中心,應該有助於讓委員會在執法上更能夠考慮到除了保護之外利用的平衡,只是這兩個衝突同時要怎麼拿捏分寸,大概未來會有一個很大的挑戰。
另外一個是在保護層面,從1995年電腦處理個人資料保護法出來,到2010年把「電腦處理」這四個字拿掉,變成「個人資料保護法」。我們一直在美國路線──比較傾向於自由放任,跟歐盟的高度政府管制這兩條路線。過去電腦處理個人資料保護法只有十幾個行業被納入拘束,可能比較像是美國路線,後來在2010年把民間的各行各業都納入,等同就是走歐盟的路線。在歐盟路線,或者是我們看世界上其他有個人資料保護法的國家,多半有個人資料保護委員會,我們很早就制定了個資保護法,但是卻沒有一個有力的執行機關,過去在法務部或是現在的國發會,人員其實都非常少。我們看到國外有個資保護委員會的國家,他們多半可以針對這部法律,因為它有太多不確定法律概念,其實就是在個資保護跟其他的利益衝突之間如何取捨,他們這些的commission或者是個資的保護委員會都做了很多很多的解釋、函釋幫助政府機關或業者遵守。但是我們在這方面卻是非常的欠缺,所以我們國內的法制研究常常都要去看歐盟的第二十九條工作小組是怎麼樣解釋,或者是現在的European Data Protection Board,或者是要去看英國的ICO,或者是澳洲或加拿大組織的解釋,所以個資保護委員會成立之後,應該急起直追,把國外比較完整的解釋引進國內。
另外,個資法第十二條裡面有提到個資外洩的通報,在第十二條只提到要通知個人,可是沒有明確說要通報主管機關。像歐盟GDPR的規定,原則上是先通知主管機關,如果很嚴重的時候才需要通知個人。像剛剛前面先進所提到的,我們在立這部個資保護委員會組織法的時候,應該也要通盤性的考慮個資法的修正,因為國發會已經召開很多次的公聽會,個資法因應GDPR的修正也會有一併的調整,但在這個組織法的草案裡面,對於外洩的通報卻是比較沒有明白的指出。此外,比如像我們剛剛提到個資法第一條的立法宗旨,我們看到個資保護委員會組織法的第一條其實寫得非常的繁複,而且彼此之間的很多宗旨都是衝突的,還有很多高度的不確定概念,所以似乎可以再更加的精簡。
此外,剛剛委員有提到為什麼業者的資料還是長期外洩,另外就是政府機關從銓敘部開始,全民的戶籍資料也都外洩,還有健保資料庫也似乎有內神通外鬼的狀況,這些到最後都不了了之。政府機關好像也沒有人負起任何責任,民眾好像也不去求償,這就印證了現在網路時代、行動科技,到處運用AI的時代,也就是在網路裸奔的時代,人們把生活的點點滴滴放在網路上,似乎也不在乎自己的隱私。包括剛剛所提到的民間企業人力銀行有將近600萬筆的個資外洩,我們也很少看到有在展開求償。如果借鏡美國的經驗,美國有關個資求償的訴訟其實還不少,為什麼會這樣?因為美國有懲罰性損害賠償,所以國內其實也可以考慮在這個領域也放入懲罰性損害賠償。
最後,其他國家有關個資的主管機關,比方說加拿大、新加坡,他們有針對個資法,對業者或政府機關如何遵守這部法律設立advisory committee,進行有關如何遵守這部法律的一些建議。因為過去觀察的經驗就是業者或者包括政府機關也是這樣,他們常常都很困擾,就是這部法律到底要怎麼遵守?過去我們的世界的運作模式都是建立在資料的蒐集,包括個資的蒐集、處理、利用之上,可是這部法律出來之後,告訴我們這些也不能做,那些也不能做,甚至還有很重的刑事責任,所以也許這部組織法裡面也可以考慮引進一些國家的這種建議委員會。
以上是我的報告,謝謝。
主席:我們現在休息10分鐘。
休息(10時47分)
繼續開會(10時57分)
主席:現在繼續開會。
接下來有請勤業眾信聯合會計師事務所的簡宏偉執行副總經理,請。
簡宏偉執行副總經理:主席、各位與會代表、各位專家,大家好。我是勤業眾信簡宏偉。其實前面很多專家學者發表的意見都非常寶貴,我是從實務面來跟大家分享。從我的角度來看的時候,我認為一個政府機關的組織設計沒有最好的,只有在當時是不是最合適的,設立以後才是整個落實的挑戰。光有組織設立,但是無法運作的話,這個組織的理論再好其實還是不work的,所以我從今天的4個提綱逐一來跟各位分享我的看法。
第一個是怎麼設計。從個資會的設立,我會建議它是相當於二級獨立機關,當然這會涉及中央行政機關組織基準法裡面針對委員會數量的修訂,但是這個修訂基本上不難,因為成立數位部的時候也同樣把「部」的數量從13修到14,所以我認為修法並不是最困難的事,困難的是未來怎麼運作。我建議未來整個個資會的運作可以比照像資安管理法的概念,從事前、事中、事後這樣三個角度來看。它的組織職掌裡面,事前要去做的是整個政策的規劃,還有怎麼去設定一個推動計畫或發展方案,同時要去設計怎麼樣跨機關執行的機制。其實這是最難的部分,因為個資會成立以後,依照現在組織設計的原則,它必須有一個制衡的方式,也就是說,個資委員會不能是一個太上機關。
怎麼樣去做制衡?誰負責發展?誰負責監理?這個就必須要跨機關執行機制來處理。同時,剛才前面很多位專家也都提到怎麼去做查核,不管是做行政檢查,或是在法裡面賦予檢查的權力,但是查核的機制,包括管理、標準、頻率等等,其實都要去做。
接下來,對於事前的設計來說,通報的機制及維護個資法的施行,這邊會建議可以比照資安管理法,畢竟資安管理法從108年1月1號開始施行以後,包括資安維護計畫、通報應變的機制、通報內容,其實都已經有設立了,不要讓行政機關多一套東西,在這種情況之下,行政機關才容易去落實,行政機關落實,這個法才會跟著落實。
剛才講的事前部分,在運作的過程中,我們會講是一個事中的情況,平常必須定期去查核,也就是未來的個資會怎麼授權目的主管機關對所屬進行查核,還有所管的企業進行查核;接下來就變成個資會怎麼去看查核的結果,當發生事件時的通報,剛才委員也有提到對誰通報、通報的內容、通報的頻率,要不要做事後改善的通報,這些其實都要去做,當然最後就變成是要有改善復原的機制。所以在整個個資會設立的時候,我們要去設計的,其實是個資會跟目的主管機關的合作方式。同時以現在的新興科技來講,我們要處理個資,其實就不能忘了現在的新興科技怎麼去善用,對於隱私科技的導入,我認為這也是個資委員會未來很重要的一件事。
另外,我們也常看到在暗網上有在販售各式各樣的個人資料,尤其是兩千三百萬戶役政資料的外洩,從N年前每年就會來一次,第一次講戶政,第二次講役政,第三次講地政,這一些資料其實就一直留存在網路上,我認為這一段其實是未來個資委員會必須要去思考的,怎麼樣去做網路巡檢,這一段我倒建議可以由資安署來做這樣的執行,這樣對行政機關來講,就不必分為兩套,這是針對第一題的部分。
針對第二題的部分,怎麼樣的監管架構,還有怎麼樣讓執掌的事項跟內容有效履行,那一樣的,這其實也是回到落實的問題,當然可能跟各位的想法會不太一樣,但我建議採分級、分層的方式,所謂的分級、分層不是由個資委員會去管到全國七千多個機關,還有無數的企業,而是由分級的方式,由個資委員會集中管理的機制,但是其執行由目的主管機關往下長,所以個資委員會必須要去定義整體的流程,除了資料的處理流程,我們常說的蒐集、處理、儲存、流動、銷毀以外,它必須要對資料進行分類、分級、盤點,最重要的,我覺得也是現在比較欠缺的威脅風險模型,沒有威脅風險模型你根本不知道可能發生的問題在哪裡,整個個資、整個資安都是從風險威脅為核心進行管理,所以我認為在未來的個資委員會,必須要有一致性的風險模型,各機關才有辦法從這樣的機制往下走,能夠往下走,機關就有辦法去落實。我覺得我們在設計這些的時候,都要去思考到機關怎麼做,如果機關不能做,法訂得再好,其實都有可能沒辦法落實,怎麼樣去確認機關真的有落實?最直接的方法就是稽核,而稽核的方式,我建議可以比照資安管理法,由個資委員會對目的主管機關,由目的主管機關對所屬跟所管企業,用這樣的方式,有回報的機制,還有監督改善的機制,這都屬於預防性的查核,這是針對第二點怎麼去落實。
第三點,就是資源怎麼分配,尤其跟資安管理法之間的競合,我的看法是這樣子,資安管理法其實是對組織不對人,個資法其實有對組織、對人,所以在資安管理法上,我認為它跟個資法剛好是相輔相成,因為資安管理法上面針對事件的定義,只要是個資外洩原則上就屬於三級的資安事件,所以對於受資安管理法納管的機關來說,或是納管的組織來說,我們可以設計資安管理法和個資法的運作整合,從這樣的方式,其實機關會非常熟悉,因為資安管理法已經從108年到現在run了4年,整個事前、事中、事後的維運方式,其實機關都已經熟悉,受管理的特定非公務機關也都是熟悉這樣的機制,所以用這樣的方式其實可以讓這些企業逐步地去熟悉。
對於個資會針對個資的業務獨立,所以對於這個相當二級獨立機關的設計可能會比較可行。沒錯啦,雖然有法可以設定為三級,但是以整個政府的運作來說,三級機關跟二級機關畢竟不同,二級機關可以邀請來的,坦白講對部會來講起碼是司處長層級以上,甚至可能可以到主任秘書以上,但是如果你是一個三級的獨立機關,邀請來的可能是科長以上,所以最實際的差別是什麼?如果是一個相當二級獨立機關當開協調會或作成決定的時候,與會者都是有決定權的,如果你是相當三級的一個獨立機關,與會者必須說他沒有決定權,他在現場頂多會說我得回去請示,所以從效率上來講,相當二級獨立機關的設計,可能在初期整個個資的推動上比較容易落實,而且比較有效果,這是針對整個組織的部分。如果是用這樣的方式,我們在個資委員會底下可以設計授權一個業務協調機制來包括數位部的部分、包括資安署的部分,用這樣的方式的話可能會比較可行。
最後一個就是有關人才的部分,我建議在個資委員會底下,的確是可以有一個訓練機關負責政策的研析還有隱私科技的研析跟稽核的部分,但是我認為不宜以個資委員會單獨另外成立一個個資相關的職系,因為我認為職系太多其實在管理上會太分散,我認為個資這件事應該是每個公務員本身應該要有的一個基本素養,而不是為了個資又單獨成立一個個資的職系,這樣子的話對於人員的運用其實效率不會太高,以上是個人的一些意見,再請大家參考,謝謝。
主席:好,謝謝簡宏偉執行副總。
接下來我們有請陳培瑜委員,時間5分鐘。
陳委員培瑜:謝謝主席。我想相關法規的訂定跟相關法制化,應該後續的討論會更加地完善,但是我想要在這邊先主動提出不要忘記兒少個資保護的部分,我們可以看到目前不管是社群平台、遊戲網站,其實數位時代的小孩在這些網站當中已經是生活的常態,但是小孩到底知不知道他們在網路上的足跡會被永遠留存,還有他們在不經意當中提供出去的資訊可能就變成有心人士惡意的素材,可是說實話,目前這樣的觀念,在學校端或者是我們在家長教育端,並沒有認真教育我們的孩子,所以我必須要提醒,在相關組織跟法規建立之前,我們可不可以把國外的經驗還有更多臺灣第一線實務遇到的困境放在心裡思考,納入後續的討論當中?我們甚至也可以看到,當大家知道所有我們使用出去的內容跟素材都會變成投放廣告的工具來源,還有孩子們現在非常喜歡直播,直播當中無意透露出來的個人資訊都很有可能被有心人士認出,變成犯罪的目標,所以,對於保護小孩來說,我真的希望在這件事情上,我們務必要多加考慮一點。
我們來看到前一陣子我們辦公室也有在追的一個議題,這是由體育署委辦單位的一個網站主辦的一個賽事,然後這個委辦單位的報名網頁就毫無防備地把所有孩子的報名資料直接給了民間的公司,當時我們也有跟體育署進一步討論過,我相信所有的專家、學者一定覺得很不可思議,為什麼臺灣的公部門相關機關對於相關的個資保護完全沒有概念?所以我們後續也發現確實在非常多行政機關,他們在蒐集兒少的個資跟如何使用這些個資、保護這些個資的相關意識跟能力其實非常非常不足,需要透過不斷的專業糾正跟討論,這也是為什麼今天我希望到公聽會來提醒所有的部會機關,兒少個資保護應該要成為後續政策的重點方向,甚至是在現在籌備處時期就應該積極跟各部會聯繫目前他們所遇到的困境跟可能還沒有發現的問題。
最後我要提醒,2023年我們發現兒少個資保護這件事情,目前孩子們上網時間,之前統計是成長7倍,可是我相信絕對應該不只這個數字,我要提醒後續這些問題不只有個資保護的問題,它還有可能是國安的問題,因為目前所有的小孩手機幾乎都有大家所熟悉的TikTok或是各式各樣的小紅書、對岸的這些數位軟體,這些數位軟體所蒐集到的數位足跡,基本上對於臺灣兒少在網路上活動的圖像非常非常清楚。可是反觀臺灣,我們並不真的知道數位時代的孩子發生什麼樣的事情,之前我們請教育部跟衛福部去研擬、研究兒少自殺死因追溯的時候,他們開了非常多相關的專家會議,就有專家提出我們確實對於這個世代的孩子們在數位使用上是真的、真的不理解,所以我想要再次強調,後續如果進入實質的立法討論,我們可以進一步把兒少個資保護正面表列為這個組織的政策重點,除了我剛剛提到的,不管是教育端或是家庭教育端,未來要如何透過個人資料保護委員會的成立,透過跨部會的聯繫讓我們對於兒少的個資保護可以進行更有效、更積極的監理跟提示,同時有機會從源頭避免兒少的個資外洩,不要讓詐騙或是網路誘拐,甚至是網路兒少性剝削這些事情一再一再在後續的狀態中發生,這件事情也許可能本來不在大家今天的討論範圍內,可是我要鄭重提出呼籲,拜託相關部會還有相關組織法規後續在進行的時候,務必要把相關的事情放入心裡面考量,作為政策推動的重點。以上,謝謝主席。
主席:謝謝陳委員。
接下來有請林志潔教授發言。
林志潔教授:召委、各位委員、各位幕僚機構還有我們的學者專家,今天公聽會的各位先進,大家午安、大家好。個資跟其他的社會重大議題有高度的連動性,比如詐欺,個資的洩漏跟被濫用不只是對人權的侵害,也助長犯罪行為,十天前剛好也在這個會場,我受到邀請來討論關於防詐跟打詐的議題,當中我也特別提到,目前詐騙集團所使用的所有個人資訊很多是來自於駭客或是被竊取、被販售的個資,企業應該要善盡個資的維護責任,避免詐騙集團以此作為套取被害人進一步金融資訊很重要的一個防範管道,所以也非常感謝召委今天召開這樣的公聽會,讓我們可以從源頭來處理詐騙的問題。
第一個,我參閱了主辦單位給我們的一些資料,在此僅提出幾點意見,等一下我們交大科法學院的陳鋕雄院長是個資法的專業,他可以就更多、更深入的部分來跟各位報告,我個人的部分想在這邊就教於各位專家,也提醒我們的主管單位目前的草案也許還可以再斟酌跟考慮的幾點。第一個是委員會的管轄範圍,我們臺灣目前面臨的狀況是只要跟科技、數位有關,幾乎你能想到去處理的都是跨國大型企業、公司或者是數位平臺,我們這個法規在未來的管轄有沒有能力處理到這樣的跨國企業在個資蒐集、處理跟利用上的問題?如果沒有,可能最常被你管轄到的反而是國內的中小型企業,所以未來如何去做分級分業的監管,不要讓所有的中小型企業完全都處在一個被等同嚴厲的對待下,事實上,這個成本它是沒有辦法負擔的,可是它又是最容易被管到的,這樣子其實對很多新創產業會產生非常不利的影響,因為我們大家都知道個資保護的重要,可是我們想像中要去處理的其實是大型的,比如說FB,比如說我們想像中的Instagram或是Threads,像這些問題是我們的個資法跟未來我們的個資保護委員會到底有沒有能力去管到它、要求它、處罰它,如果沒有,很有可能被你管到的就還是國內的業者,那它的規模就像剛剛曾律師有提到已經到1,500萬,可是這個規模可能對大企業來講是非常小的,可是對小企業來講是非常大的,所以未來在分級分業不同法遵的要求上,我覺得是必須要非常考慮的,因為國內在新創上也非常仰賴這些數據跟個資來做進一步的研發。
第二個是委員會對於私部門的檢查未來應該怎麼樣統合跟分級,以避免違反比例原則,因為我們這個委員會未來的職掌,它的權限是大的,但是這樣子的職掌也非常有可能跟其他的不管是高度監理的機構所做的,比如說金融檢查,或者是衛福部所做的,在醫院或者是醫療院所的檢查,會有競合,所以在未來行政檢查上面的密度跟其手段的強度,以及跟其他專業目的事業主管機關之間的檢查要怎麼樣做統合,我也覺得需要做進一步的思考。
在這裡比較麻煩的是併罰,因為你檢查完就會罰錢,因為違法或者是不合規,一定會遭遇行政的裁罰,這裡就有可能會有併同裁罰,比如說,它這個個資不當利用或使用或洩漏的行為可能同時違反個資法、個資保護機關對它的某些要求、命令,或者是違反金管會裡面的一些要求,像銀行法或者是各種銀行的細則,或者是衛福部,以目前我們最高監理密度的我覺得應該就是金管會跟衛福部,可想而知,這兩個部會未來會跟保護主管機構產生非常多的,不管是檢查的競合或者是裁罰的競合,不然我們現在有行政罰法,行政罰法第二十四條跟第三十一條有規定,一個行為違反數個行政法上的義務要怎麼裁罰,或者是一個行為違反行政法上的一個義務,比如說,不管是衛福,不管是金融,我們都要求它必須保護好病患的個資,保護好金融消費者的個資,所以就這個部分可能是一個行為違反一個義務,但是同時金管會因為它是特許的,所以它也可能針對金融機構有一些其他的規範,最後變成是數個義務的違反,所以我覺得光想到這個我就覺得未來這個組織委員會跟其他的、尤其是特許機構之間的競合,不管在執行檢查上以及未來的裁罰上,這就會回到最後被你裁罰的人要怎麼救濟,因為你如果是數項的裁罰有數項的救濟空間,另外,那個被受害的人有沒有可能有訴訟外保護的制度?為什麼會這樣講呢?因為過去三年我也擔任金融消費評議中心的董事長,各位可能不知道金融消費評議中心處理的業務範圍跟紛爭有哪些,它小到開卡禮皮卡丘沒拿到,小到紅利點數的算法,大到投資沒有告訴他,比如說投資型保單沒有告訴他重要事項,然後可能是幾百萬,但中間個資的爭議也越來越多,他認為他在金融機構的個資被金融機構拿去做不當使用的情況,可是金管會又再推比如說保險跟金融之間,它們的資訊可以串流,這樣才有可能有新的業務發生,所以本身在金融機構裡針對資訊要怎麼使用就已經很難統合出一套做法,那消費者遇到這樣的紛爭,在金融界他可以來評議中心請求申訴、調處跟評議,所以你可以想像喔!那未來這個個資的違法是多管齊下呢?還是這個所謂的個資保護委員會也要成立一個類似金融消費保護中心?它有一個buffer,我其實覺得這個模式是請各位可以參考的,因為金管會非常的聰明,他成立金融消費評議中心是設立了一個防火牆,不至於讓所有人立刻綁白布條去坐在金管會下面,所以等於是有一個buffer,讓大家可以先透過這個中心來解決金融消費的爭議。請問個資保護委員會,未來當那些個資被違法濫用、蒐集或被洩露的消費者要去請求救濟的時候,有沒有除了法院以外的其他管道是你想要的?如果你也想要設這樣的buffer,你這個組織法裡面是不是也應該要留有某一些未來的空間?因為我現在看是沒有,等於消費者自己要去找訴訟救濟,但你已經有一個委員會了,是不是有這樣子的考慮?
再來,所以剛剛講的是兩方面,一個是企業被你裁罰,該被裁罰的企業要如何救濟,因為有可能是multiple的裁罰。第二個,個資被濫用或違法使用的消費者,因為你現在公部門、私部門都有,那這些消費者或個資的持有者,他有沒有可能透過不同的管道?他的對象如果是企業或者是公務機關,這個管道是不是要有不一樣的地方?個資法現在對於個資持有人當然有一些保護措施,但是這個跟剛剛講的提供一個類似金融消費評議中心這樣的紛爭解決管道是不一樣的思維,所以這一點也可以請大家在設計這個草案時來做斟酌。為什麼我也認為這件事是重要的?因為聯合國已經在2015年頒布工商企業及人權指導原則,它就有特別提到,企業應該要有尊重人權的義務,國家要保護人權,如果遇到紛爭,應提供訴訟資源及訴訟外解決紛爭的機制。但是回過頭來講,金融業者之所以願意出這個錢係因金融是特許的機構,所以像我們評議中心,金融業者是要繳交年費,每一個案件發生,它是要繳交服務費的,目前我們的個資是所有公私部門、企業、法人全部一體適用的情況,如果你要有這個中心,你的財源應該要怎麼來?它可能更趨近於像我們過去的法律扶助基金會,其所有的預算幾乎來自於司法院,這是兩種不同的思考方式。
最後,我要講的是,我們當然都知道個資的保護很重要,但是在當代數據的應用上,其實是科技研發創新非常重要的一個管道,所以在這兩者中間如何取得平衡?就之前大法官針對健保資料庫而言,以我個人來說,因為我個人還是認為若數據產生的方式具有極高的公益性,比如說個人的健保資料,它在使用的密度、方式及開放性上應該要更趨近於公益的考量。簡單講,像我個人10年前因健檢才檢查出肺腺癌,所以我是一個肺癌的患者,如果今天沒有臺灣的健保,我是不可能去健檢的,我也就不可能產生這個CT的片子;反過來講,之所以能夠有這些健保資料,乃是因為我們有健保的關係,而健保是一個公益的存在,所以這時候要利用我的CT時,理論上我應該要更為開放而不能完全把它當成我個人的personal data,因為它並不是完全靠我自己才能產出的,它的資料產出有相當大的公益性來幫助我得到我的資料,所以我覺得未來我們在資料的分級分業上也應該要納入考量。以上是個人的分享,謝謝。
主席:非常謝謝林志潔教授的分享。
接下來請達文西個資暨高科技法律事務所葉奇鑫律師。
葉奇鑫律師:主席、各位在場的專家、學者及政府官員,大家好。我們是達文西事務所,名稱上就寫明我們是做個資法的,12年前我們成立的時候,律師的同道都勸我不要成立這種事務所,很奇怪,他勸我把「個資」兩個字刪掉,保留「高科技」就好,原因很簡單,因為12年前沒有個資法的案子,律師是沒有個資法的案子,那他覺得我在自殺。後來我就跟他說,第一個,我認為我對個資法有興趣。第二個,我把我事務所的存亡當成臺灣個資法有沒有落實的指標,如果我們事務所倒閉了,就代表臺灣的個資法沒有落實,所以我才沒有生意。不過今天如你們所見,我還站在這裡,代表我們的事務所還活著,所以確實這12年來臺灣的個資法是有逐步的落實,當然它的進度不一定讓每個人都滿意,但是講句公道話,它是有在進步中。我個人因為以個資法為專業,所以今天我們一直談到111年憲判字第13號,所以我也談一下,因為這個案子我是國發會的訴訟代理人,這也是我第一次站上憲法法庭,事實上憲法法庭也是新的制度,這個案子對我來講其實是一個很大的挑戰,因為這牽涉到健保資料庫在使用上的界線到底是什麼。我要提醒的是,這個案子其實聲請人聲請的是個資法第六條第一項但書第四款的違憲,他的聲請標的是這個,我的責任也就是希望讓大法官認為這一條不違憲。辯論的過程就不談了,但是最後的訴訟判決結果主文有四項,第一項就認為個資法的那一條規定不違憲,當然不違憲的理由中,我覺得就看大法官判決的理由,其實這個案子有很多的專家鑑定報告,他們都覺得這一條有問題,有違反一些憲法上的法律明確性原則、必要性原則、比例原則等等,但是大法官認為沒有。我想他們之所以認為沒有還有一個主要的原因,就是因為世界先進國家像歐盟、新加坡、韓國、日本都有類似的條款,而且這個條文設計的類似度非常的高,幾乎是百分之八十、九十以上,可見它是一個很重要的條文,因此,大法官就認為,個資法這個部分並沒有違憲。但是我們這個案子比較特殊,因為聲請的標的其實只有個資法,但大法官在主文裡面附送了另外三項,其中兩項是針對衛福部及健保署,指稱他們的部分違憲、要修法,他們現在正在修,這沒有問題。另外,主文的第二項就跟我們今天要討論的事情很有關係,也就是必須要成立一個獨立的個資保護監督機制,關於「機制」這兩個字,確實如剛才的專家也有提到這一點,機制不等於機關,但是以下是我個人的猜測,為什麼大法官會用「機制」而不用「機關」?因為它如果用「機關」,這個判決本身就有違憲的問題,因為司法院如果認為行政院你什麼業務沒管好、所以你該成立一個新的部或成立一個新的會,這不是在直接指揮行政權的運作了嗎?所以它寫「機制」其實是客氣,但是他心中想的應該就是「機關」,但是為什麼我覺得他想的是機關,因為放眼目前世界上有先進個資法的國家,只有臺灣沒有獨立的監督機關。所以我認為第二項的寫法其實是一種比較委婉但就是要求你要有一個獨立的監督機關,而且他心中的標準可能就是像歐盟的EDPB,即個資保護委員會。關於這個監督機關,我們剛才有討論到到底是應該二級或三級,我也認為應該是二級,但是因為很多專家都已講過為什麼這個層級越高越好,所以我就不再贅述。
第二部分,我認為資源的保障其實是很重要,我大概知道個資保護委員會的籌備處目前大概有徵了三十幾個人,因為我有很多指導的學生也進到了這個籌備處裡面,但是它終究會是多少人,這個我就不清楚,但我看到報紙上寫的好像是一百人以下。我為什麼會特別談到這個問題?當然有錢、有人才能夠做事,我們一直期待個資保護委員會能夠發揮它的功能,但是如果又在人事、預算上卡住,那麼這個保護委員會未來能夠做的事情一定比較少。所以我個人建議,這個部分如果不適合在組織法寫,那麼是不是未來在修個資法的時候,能夠把這個部分訂進去?因為你看歐盟的個資法,不管是保護委員會或者剛才很多專家談到的DPO,不過,我這邊稍微說明一下,因為現場不是每個人都研究個資法,我們講的DPO翻譯成個資保護官,當然他不是消保官那種官,他不是公務員,他算是企業的一種高級經理人,他是一個滿特殊的高級經理人,因為他直接向董事會負責,他不用接受董事會的指示,而且法律上還明定,他不用因為不聽董事會的話而被開除,我覺得這是世界上最好的缺,即基本上沒有人可以管你,但是像這個DPO,也要確保他有足夠的資源,所以我認為要確保他的獨立性的話,這個資源的配置其實是很重要的,我建議不要太小器。
既然講到這個機制,我想我就再帶大家看深入一點,大家可以翻到今天會議資料的第57頁,這邊有一個委員版的個資保護委員會組織法的草案,我覺得這個草案基本上擬得不錯,我就大概順著這個草案,也順便表達我的意見,第一條是開宗明義,這沒什麼好講的。第二條,有關本會執掌的事項,這邊我覺得有兩件事情要討論,第一個,指引的部分沒有寫上去,當然我們可以說指引包含在第二條第二款的個資保護政策及法令宣導研究事項,但是如果你去看GDPR第七十條的規定,它就是明定EDPB的任務,它裡面就發布guideline、recommendation、best practice(最佳實踐),它是有明定的,我覺得這些都很重要,因為你要修法律其實不太容易,法律定出來都會有一定的不明確性,像歐盟常常就是一個條文才幾個字,但是它的guideline出來就是八千字、一萬字,這個比較重要的指引部分,國發會過去也曾委託我們跟理律律師事務所的曾律師各翻譯了一部分。用指引的方式會提供比較細節的、讓業界比較容易理解這個意思及如何去遵循,比如說匿名,什麼叫做匿名?標準是什麼?它需要很多的指引來做闡釋,我們沒有recommendation這種東西,不知道這要怎麼翻譯,但是我覺得可以在我們的法制條件底下把這些訂進去,特別是我們的指引應該要明確訂出來。
第二個問題就比較大,係有關於違反個資保護相關法令的取締、處分跟處理,這個意思是說,未來的處分是由個資保護委員會來做嗎?其實剛才有些專家有提到這件事情,這個會牽涉到目前個資法是三頭馬車,立法是國發會,執法是中央目的事業主管機關跟地方政府,未來是統一在個資保護委員會?還是維持現在的三頭馬車?我們現在從這個組織法看不太出來,因為你看第二條講的是取締、處分跟處理,好像它是有這個處分的權責。但是你看第六條審議的事項,裡面也包含處分案跟調查結果,但是這裡沒有寫是誰的調查結果,是中央目的事業主管機關的調查結果嗎?然後第八條又講,各縣市政府跟中央目的事業主管機關要成立檢查小組,所以到底是地方跟中央目的事業主管機關維持現狀在執法?還是未來是由個資保護委員會執法?還是他們執法以後,要經過個資保護委員會的審核,這個行政處分才有效?我不曉得是屬於哪一種,所以這個地方可能要在這裡面做釐清。
另外,因為歐盟的獨立性要求非常高,在它的GDPR第六十九條裡面,剛才翟委員也提到,如果主委出缺的時候由行政院暫時先指定,當然目前看起來三個月內要先補提,所以他也當不了太久,還是要重新產生。但是我會建議翟委員的方式是因為獨立性的意思就是不用聽任何的命令,這個是GDPR直接寫在第六十九條的,不用聽任何人的命令,你要維持獨立性,但是這個暫時代理的主委又是行政院決定,這個被行政院決定的代理主委要不要聽行政院的命令?他是行政院指定,他當然會聽它的命令,但這樣就違反獨立性。歐盟對於獨立性的審查非常嚴格,我跟各位報告一個例子後就結束發言。大家都知道歐盟有一個適足性認定,各國會去跟它申請,臺灣也有申請,但是目前還沒有通過。其中有一個國家申請的時候,歐盟有讓它過,但是在decision(決定書)裡面就有講到一件事,指其個資保護委員會的獨立性有問題,為什麼?因為總統下台、他跟著下台。這樣你就是跟著政治走,你就缺乏獨立性,所以歐盟有建議他們要改善。因此,我也會建議,就是在獨立性的部分,我們可以在組織法裡面再強化,謝謝。
主席:謝謝,謝謝葉律師。
我們先做會議程序的宣告,公聽會上午的會議時間繼續進行到所有人發言均結束為止。
接下來請陳鋕雄院長發言。
陳鋕雄院長:主席、各位委員、各位部會代表、各位先進專家。我的發言會特別針對資料治理要如何落實來進行探討,當然我們知道我們這整套個資法的架構,包括獨立專責機關,很大一部分都是參考了歐盟的作法。事實上,在這個過程中,我一直有一個疑問,也就是說,歐盟這樣的架構到底是不是一個成功的架構?Honestly speaking,我們不是非常的確定,為什麼呢?因為這些制度的設計事實上實施的時間很短,GDPR是2018年才生效的,而我們其實不知道歐盟成功了沒有。第二個問題是,事實上歐盟從2020年在AI產業發展之後有一個很大的轉向,它希望更加地促進資料的流通跟利用,因為資料是AI的基礎,所以在歐盟的討論裡面,歐盟本身的資料專責機關跟歐盟的AI管理機構這兩個委員會之間的權責事實上存在著緊張關係,那也影響到他們的AI法律後來的通行,所以這個應該是我們未來在面對這個問題時需要一併加以思考的。
在這個制度裡面,事實上我一直覺得:第一個,專責當然是沒有問題的,但是獨立這個事情事實上是我一直很有疑問的,因為第一個,到底多獨立才叫獨立?是不是要像司法機關、憲法規定這個法官要終身職叫做獨立?如果他有任期的話,是不是就會對他任期結束之後的工作有影響?所以我們對獨立這個字要先有一個問號,我們要問:它的功能、它到底要解決的問題是什麼?以我們今天提到的這個金融詐騙問題來說,我覺得它很像是我們臺灣在2012年、2013年以來一連串的食安危機,它跟食安危機很像,然後它跟環境保護的議題也很像,基本上,他們所涉及到的是說某一些重要的機構會產生危險源的,尤其是比方說會大量污染的、大量食安製造的這些大的機構,我們會要求強化它內部治理的架構。而另外一方面,它有大部分分散而多中心,也就是說很小的企業也可能造成很大的污染。另外,它會需要很多不同部會的協調,比方像食安的問題可能需要環境部的參與,然後它也需要農業部的參與,它事實上是整個系統的危機,需要多部會的參與去進行的。它跟其他的目標,比方說國家的創新、國家的公衛等其他目標之間的balance,我們看到國內的狀況是什麼呢?我們發現環境保護我們並沒有設立獨立專責機關、食品安全我們並沒有設立獨立專責機關,我們要對抗國際上的組織,比方說對國外進行很強的bargain,我們看到我們的健保署因為有一個Single-payer的制度,所以我們在藥價的討論上有很強的bargain機制,但是它也不是獨立專責機關。所以到底獨立的目的是為什麼?其實我認為很大的部分應該它是跟其他公務機關、尤其是政府部門之間關係的獨立要求。
另外就是在它的功能上面,剛剛先進也有提到人力資源的問題,我們期望的是什麼呢?期望的是規則要很明確,事實上我們從歐盟的經驗發現,規則不明確會引發包括企業或是政府機關在法律遵循上的疑慮,因此對很多創新的行為不敢進行創新的投資等等,所以這個機構很大的一個功能一定會是撰寫指引,就是剛剛葉律師有提到的,撰寫指引這件事非常、非常的重要,我必須要repeat,因為事實上它提供一個foreseeable的法律遵循的要求,而且事實上它是用軟法而不是用硬法的方式去進行,這需要大量的人力來做這件事情。
接下來我們談的是它的獨立性問題,獨立性的問題首先要問的是它到底應該是首長制還是委員會制?剛剛也有先進提到主席是不是應該由委員互選,但是我們目前看到草案上是由行政院長直接指定主任委員,所以它會更接近於首長制。我的評估是這樣子,其實這種委員會的制度某種程度對效率這個問題其實是有影響的,比方說我們知道檢察總長不會採取委員會的制度,那麼在人事獨立上我們看到它有旋轉門條款,我對那個條款當然是非常贊成,但是我有個疑問,它的旋轉門條款是卸任之前五年,可是他的任期只有四年,也就是他上任之前一年的事情好像都會受到影響;第二個是他可以連任,那他的任期就會有八年,但是旋轉門卻只有五年而已,那麼是不是任期的前三年都不會受到影響?所以這個是我對這個旋轉門條款一個很大的問題。另外他們也提到他的任職其實是直接有關係的,那間接的問題也就有,當然我們知道旋轉門條款很大的一個重點是如何讓民間具有專長的人願意投入政府的工作,因為如果旋轉門太過嚴格的話,民間的人才就不願意加入政府機構。
接下來是權責的獨立,當然機關本身的獨立是很重要的,可是我們要問的是,如果將來需要有地方的執法機關或是其他部會的執法機關的時候,它的獨立性會是如何?這是我們等一下在資料保護的議題要去討論的。
第三個是經費獨立性的問題,我所看到的文件顯示許多歐盟國家都有提到他們的各自專責機關事實上是有遇到資源不足的問題,所以這個我想在預算上面應該要加以寬列,也希望立法院能夠予以支持,甚至它是不是要有獨立的預算編列?它的編列需不需要經過行政院的同意?行政院同意本身會不會影響到它的獨立性?這件事情或許需要一併考量。
當它很獨立之後,另外一個問題是如果它太獨立了,會不會缺乏在某些情況的彈性?事實上我看到一些歐盟的學者批評,說在COVID-19疫情期間,美國的HIPAA說他們在某種情況下可以放寬HIPAA的規定,但是歐盟的這個個資專責機關堅持不願意,他說在任何緊急狀況下都不可以放寬GDPR的管制,有些人認為這就是造成歐盟疫情蔓延、很多人死傷的主要原因。所以剛剛有先進提到是不是要有民間企業等等對於商業活動瞭解的人來參與,這是就獨立性部分我所探討的一些意見。
接下來我們剛剛一直提到一個問題,就是金融詐騙等等這些問題的形態其實跟食安事件很像,食安事件裡面其實遇到的是一種多中心的風險源跟系統性的風險源,可能不同風險源之間需要有追蹤追溯等等的機制問題,它遇到的問題是一方面它需要其他其他公務機關的協力,可是另一方面它有任務要去監督這些公務機關,所以存在一個執法跟協力上的conflict。所以食安法怎麼做呢?食安法就是設立一個行政院層級的機構來協調各部會,事實上是由政委或者是相當於院長層級者來做這件事情,我想這個事情可能是未來必須要考慮的,也就是在制度上面其實嚴格來說我們並沒有採取像GDPR那麼強、那麼高的獨立性,但是也許我們可以透過其他的方式,因為畢竟政府必須要去承擔個資保護的責任,如果保護得不好,當然就會由民意選舉的方式來加以進行。
我想很強調一件事情就是企業設立個資保護長或個資保護官的需要性,原因在於當你的規模大到一定的程度之後,如果沒有法律的強制,其實企業是沒有incentive去配置專門人才的,這個個資保護長很大的一個功能是什麼?就是受理申訴;還有什麼?當然它是建構機構內部的資料治理架構,所以它有一定的獨立性等等,包括它能夠跟最高層級……剛剛葉律師已經講得非常清楚,我想說明的是,我們在食安事件裡面後來就定了食安法第七條到第十四條,基本上很強調的是產業的自我管理架構,所以專責機關只要設立那個標準,那麼企業就會去進行。
時間有限,我很快速的講過。它雖然需要協力,但是有一些部分會有一些衝突,比方資料保護官跟資安保護長其實在功能上面是有一點點conflict的,這個在國外的例子上面已經有討論到,時間關係我就不多說。最後是關於人才的養成,事實上我認為人才養成最好的方式就是要求企業必須要設置個資人才,因為基本上從公平競爭的角度,當有些機構有、有些機構沒有的時候就會構成不公平的競爭,所以應該是要去要求它都要設置到一定的程度,當有這樣子需求,這些教育的東西自然就會出現。以上簡短的報告,謝謝。
主席:謝謝陳院長的發言。
接下來介紹到場的莊瑞雄委員,謝謝,歡迎您。
接下來請余若凡董事暨執行長,謝謝。
余若凡董事暨執行長:大家好,我是余若凡,我是TWNIC臺灣網路資訊中心的執行長,可是我今天其實比較不是以執行長的身分而是以一個律師的身分、還有之前在公部門工作的經驗來這邊跟大家做一個分享。我自己本身也很榮幸在過去的幾年一直有參加國發會這邊個資相關的討論,我記得在幾年前專家學者已經有一個共識,就是希望趕快有個資保護委員會成立,所以我想這個委員會其實受到大家很高的期待。
這個部分其實我們今天談到很多,主要是談組織法的部分,組織法的部分我們可以看到其實現在已經在一個框架,因為我們看到個資法其實已經有某種程度的修正,把個資保護委員會做了一個定位,還有它之後要做的相關工作大概有一個框架。第二個我們也可以聽到,前面幾位先進也談到,大家對於這個委員會的期待其實非常多、而且非常廣,可是變成在明年之前其實我們又需要有這樣一個委員會的成立,所以在這樣三方之下,我們在思考現在這樣一個組織法可能需要從這樣子的方式、怎麼樣會比較落實,明年可以先從這個地方來做。我本身有幾個想法,剛才幾位先進所說,其實我非常贊同你們的講法,第一個我想它其實需要有一個獨立性,尤其我覺得它還是一個二級機關,其實它比較適合是一個獨立機關的方式,會比較適合做委員會的定位,主要當然我們談到很多不管是部會的協調、或是它需要具備獨立性或是我們談GDPR的適足性,要繼續這樣談的話,其實它都需要有這樣子的一個定位。我們回過頭來談到它的職掌部分,對我來講我覺得它大概可分成幾個部分,第一個當然是它的指導與諮詢的相關功能,不管是行政機關或是非行政機關這樣子的狀況。第二個是個資法不管是指引、或是政策、或是法律相關的修正,我想這些其實也是很重要的部分。
關於檢查調查部分,因為畢竟所有的個資保護都是國際合作的方向,尤其剛剛有先進提到,現在臺灣有很多的企業其實是跨國企業,我們在國際一致的方向來做這樣子的個資保護,我想其實也是重要的。這些事情我們看到在籌備處暫行組織規程裡面大概都已經有提到,我這邊只是想提出一些我的小小看法,其實我們一直談很多的是監管部分,我自己本身在業界還有律師界工作了很久,我們看到很多在談個資保護的時候,其實談得更多的是跟業界還有相關單位怎麼合作來推行這樣子的個資政策,所以我想在這個部分我們要思考怎麼樣在組織法裡面可以納入這樣子的一個彈性,甚至我覺得我們之前在討論很多關於現在的個資保護,是不是有一些非常不清楚的部分甚至有一個沙盒的可能性?這個事情之後讓業界不僅對於怎麼樣去配合或去合作、甚至他們在推出一些更新的服務的時候,當這些法規大家對於它的影響力還有風險不是很清楚的時候,要怎麼樣可以透過沙盒這個部分?在組織法這邊我看到比較少去談論這樣子的一個事情或是有設計這樣子的一個空間可以去做。
接下來談到組織法,裡面很大部分可以看到有委員會的架構設計,這個部分除了委員會,相關人員的組成主要是下面的一些處或科的相關人員,我想個資是一個很特別、比較跨領域,它不僅需要個資的保護、它需要法律的專業、它也需要很多技術的專業,甚至以後可能還有一些管理相關的專業,在我們思考整個人員組成的時候,這些都可以納入思考的方向,我覺得這也是另外一個重要的點。
再接下來,我們可以看到現在個資就像很多數位議題一樣,它很難由主管機關單獨來做這個事情或是直接做一個規定,所以我們要怎麼樣做其實是在組織法裡面,比如有沒有可能在一些情境之下聘用相關的民間單位,或是把這個民間的資源適度的引入,讓整個個資保護在公務部門還有跟民間業者之間能有更多的交流跟合作,然後來促進更多完善的保護,這個部分我也覺得是重要的。
剛剛幾位先進都有談到,現在整個保護部分大家覺得民眾很少提出來,這部分是不是要放在個資委員會裡面來做?我覺得當然也可以繼續談,只是前面我的一個想法,我們談到現在有很多……比如剛才林教授談到金融部分有相關的一些機制,可是我們談到個資的時候它幾乎是涵蓋所有的業務,所以比如個資委員會成立一個可讓民眾申訴的單位,那麼第一個就是資源夠不夠?第二個就是專業部分,當它涉及一些很專業、比如說其他部會業務的時候,這個部分個資委員會有沒有可能來做?其實我比較擔心這樣子的事情。關於民眾保護這個事情我想我們都有很多不同的方式可以做,這個部分是不是一定要由個資委員會來做?我想在資源還有專業上都需要做進一步的考慮。
再接下來就是跟其他機關的協調還有溝通,我想它是一個非常艱鉅的工作,我們可以看到這個委員會的成立其實是比較晚一點的,不像有些國家可能是在比較早的時候成立,所以它已經有一個比較一致的政策去做處理,現在可能光是要統合各個目的事業主管機關、比如安全維護計畫這些相關的規定都已經非常花時間,所以我自己的想法就是剛剛討論的民眾保護那個部分一樣,我覺得個資委員會的業務是滲透到所有的主管機關,所以這個部分一些重要的個資外洩、或是例行的個資行政檢查、還有最後的行政處罰部分,或許適合由個資委員會來做,至於其他業務他們通常也有一些業務檢查,它的業務檢查也包括個資檢查,我想這個部分或許也不需要個資委員會來主導或介入。
講到個資通報,大家可以知道所謂資料外洩的調查都花費非常多時間還有資源,這個事情還牽涉到很多專業,我也覺得個資不管是在通報或是調查部分,是不是比較適合由各目的事業主管機關處理,畢竟它對它的產業比較熟,然後由個資保護委員會來做協助或是一起協同處理,這個部分是我一個初步的想法。
對於執法單位的權責,比如法務部的先進有提出相關的報告,我覺得跟司法單位法務部的溝通可能比較單純。可是跟資安這個部分,我個人的想法是在資安這個部分跟個資的部分,我們處理很多資安的情況其實也不見得一定涉及個資,而且資安的做法跟個資的做法其實不太一樣,所以對我來講它是一個比較協調的功能,而不是誰主導或是一個……
謝謝,最後給我十秒鐘。第一現在大家談到很多都是實體法要修正的問題,實體法要修正的話,可能明年的時程有一點不切實際,我們怎麼樣確保在組織法上面可以有一個彈性,來讓之後實體法修正時有一個彈性。
剛才林老師私下跟我討論時我也非常贊成,因為以後其實會有很多業,就像我剛剛講的,有目的事業主管機關他們自己都需要去解釋到底相關的這些法令要怎麼樣去實施,而且有些部分可能涉及個資,所以我們要怎麼樣在母法裡面留一些給其他目的事業主管機關來解釋的彈性,這也是重要的。謝謝大家。
主席:謝謝余執行長。
接下來我們請南臺科大郭戎晉助理教授。
郭戎晉助理教授:主席好,各位委員、各位部會代表以及在座的各位學者專家。我也針對今天我們公聽會所預設的四個議題,從我過去的實務經驗跟過去一些個資的參與,提供我個人一些看法供大家來參考。我們今天談的是這個組織法,也就是個資保護委員會本身這樣一個草案內容,但是從前面的發言我們都知道,這樣的問題絕對不是只有看組織法,還有包括在個資法本身,也就是我們說的作用法或者實體法這一塊,兩者之間怎麼做一個互動、怎麼做一個連結。過去我在參與國際會議的時候,我們很自豪,我們臺灣個資法走得比較早,1995年就有第一部個資法,當時在亞洲,以亞太來說,我們跟香港是最早有個資法的,但也因為我們走得早,所以我們來看其他亞洲國家,日本2005年、韓國2011年、新加坡2012年、泰國2018年、中國大陸2021年,其實都是這10年之內才有個人資料保護的專法。
也因為我們走得早,當時我們覺得這樣的法已經夠用了,但是對於整個所謂機關本身的設置,我們採取的是各個中央目的事業主管機關,這在早期是沒問題的。事實上,在目前國內相關立法當中,還有很多是維持這樣的設計,比如說消保法,就是各個中央目的事業主管機關;有的是由法令的主管機關,比如說剛剛陳委員提到的兒少保護,在我們的兒少權益保護法當中,由衛福部擔任主管機關。但是各個機關則是由第七條授權去制定他們的權責,所以整個在個資保護本身的一個設計上面,這個委員會到底怎麼去定位它?
現在我們就分別來談,從國內的法制上,前面的部分已經提到,包括我們憲法法庭111年憲判字第13號判決當中,對於獨立監管機制的要求。另外一個層面,我們從整個國際上的一個發展歷程來看,比如說剛提到像日本2005年有個資法,但早期日本的個資法跟我們過去的設計一模一樣,由各個中央目的事業主管機關作為它的個資法主管機關,所以當年日本曾經有10年的時間是被國際組織拒絕於門外,它認為這樣一個分散式的監管,是不符合所謂獨立、專責的監管要求,所以後來日本在2016年修法,也設了他們的個資保護委員會,總之,是有這樣子的一個發展過程。
所以目前除了我們國內怎麼從公法,包括蘇老師提到的,從憲判字到我們從公法的角度,怎麼去認定所謂獨立、專責這個概念之外;另外一個就是我們怎麼從國際的角度,包括其他國家未來怎麼看待我們的個資保護委員會。所以歷來主要有兩個標準,一個是最重要的國際隱私保護機關的組織(ICDPPC),2019年更名為GPA。它在2000年左右,就針對到底是不是一個合格的個資保護主管機關,發布了相關的一個要求。
另外一個就是我們所提到的,在整個GDPR當中,對於獨立的監管機關,也做了一些相關的規定。當然歐盟本身屬於一個在所謂國際組織的一個層級當中,它的一個實質規定還是回到各個歐盟成員國的內國法,在ICDPPC當中,就特別提到了四個要件,我們觀察這四個要件當中,其實絕對不是只有我們在組織法當中的規定,還會涉及到比如說第三個所謂的國際通用標準,以及所謂的適當權力當中,它就一定會跟我們所提到的個資法,也就是在作用法這一塊,我們到底對於這樣一個機關本身的權責,還有授予它的權力,有沒有加以明定。所以未來不只是在看國內的子法,還有包括國際的合作,包括國際之間的資料流通的時候,這樣能不能符合國際標準,它就變成一個很重要的觀察重點。
在討論提綱一、對於個資保護委員會本身的定位,我們既希望它作為一個專責機構;另外一個層面,我們希不希望它作為一個所謂的資料發展,或者是現在國際上所講的,我們希不希望它作為整體資料戰略的一部分。以英國為例好了,英國的個資保護主管機關(ICO,Information Commissioner's Office),它不只是看個資保護,同時也會決定整個資料發展的策略,所以我們對於個資保護委員會的定位,除了最基本的default,我們在個資保護的基本要求,確保它的專責跟獨立性之外,我們希望在數位經濟,在整個資料的發展策略當中,它要扮演什麼樣的角色。就一個角色本身來說的話,可能不適合直接放在它的組織法,而是放在它的作用法當中。
其次,對於個人資料的合理運用,事實上我們原本的個資法就有這樣一個宣示,在目前的國際趨勢當中,包括要不要定特別法,比如說陳委員所關心的兒少保護,美國就以特別法的方式處理,但歐盟GDPR還是加了一個條款,對於13歲以下兒童的個資蒐集,除了本身的同意之外,還要得到父母親的同意,因為它對於兒童的同意能力是有疑慮的,所以GDPR當中就有一條針對兒少保護的特別規定,因此,第一個部分就是我們要不要有特別法?
第二個部分,就是合理的目的外利用。
第三個部分,我們個資保護絕對不是只有在看法律,還有包括技術要求,所以所謂的de-ID,這種anonymization與pseudonymization,在國際上面這是一個新的趨勢,就是我們怎麼透過技術的方式,能夠確保資料本身的價值得到一定的運用跟彰顯。日本跟韓國特別積極在這一塊,所以就放到他們的個資法當中,對於個人資料在去識別化之後,能夠不受特定目的的限制,是有這樣一個入法的趨勢在,這也是未來思考我們個資法本身在修正時,一個可以考慮的方向。
當我們確定個資保護委員會的基本定位之後,對於後面作用法的展開,相對的這一個方向就比較明確,因為這就涉及到怎麼樣在機關之間做共通的協調,因為個人資料保護永遠有新的個資會出現,所以在個資不斷的出現,對應到不同的中央目的事業主管機關,還有包括前面所提到的中央跟地方之間一個權責劃分的時候,我們怎麼樣去善用,包括機關之間既有的協調跟共通的機制。
所以日本這一塊就做得很好,就是儘量的,不要在母法當中定得太死,而是透過授權子法,透過軟法的方式,包括自訂指引的方式,能夠讓整個法的操作,跟機關之間的互動,能夠保有它的彈性。換言之,日本針對金融、醫療跟資通訊這些部分,它也承認自己不是專業,所以把相關部會找過來,共同制定一個配套的指引,所以就整個部會之間的協調,日本也可以作為未來我們的一個參考,就是包括提綱當中提到的,可能會產生法律之間競合的問題,此時我就把所有相關部會找過來,比如說個資通報,到底哪些機關會跟個資通報有關,我列一個清單,同時包括這些通報的程序、SOP、多少的時間點、在哪些部會做處理,我們大家就直接講清楚,以避免這樣一個權責不分的情況發生。
另外一個,我覺得未來國內應該思考的,就是永遠有新的議題,這不是當前的法律能夠馬上確定的,所以就這一塊,針對包括數位平臺、針對包括AI、針對包括未來可能出現的應用趨勢等等,除了既有的協調機制之外,我們有沒有一個比較前瞻性的跨部會溝通?像英國從2020年開始,他們就設置了Digital Regulation Cooperation Forum,這是一個跨部會的,針對數位的共同監理問題,有這樣一個所謂院級的高度,所以就我們國內來講,未來要不要有類似英國這樣一個作法。而且不只在英國,後來包括荷蘭,包括澳洲,都紛紛仿照了英國去設置。針對現在可能在既有立法當中沒辦法完全解決的新的趨勢,像人工智慧上到底是要監管還是要做發展,而這兩者可能會產生一個衝突的情況,這也是我們從英國本身可以參考、思考的部分。
最後一塊就是回到了部會之間,到底在整個個資法的落實上,由於同時要去監管公部門,也要同時監管私部門,所以如何確保有專業人力,前面有提到所謂的DPO,而DPO本身又會回到一個命題,就是我們對於DPO所賦予的高度,跟它所處理的一個事項,所以他是作為一個內部的監督者,還是作為一個內部的執行者?對此,各個國家有不同的定位,但這一塊很重要,就是如何讓他具備一個專業的、必要能力的要求,跟確保他的獨立性,如同葉律師所提到的,他應該要能夠不受指揮,保有它的獨立性。
所以就這個部分的話,新加坡是以整個企業角度在經營它的DPO,由官方直接說出,我希望我的DPO長什麼樣子,甚至跟國際一個相關的隱私組織合作,直接把國際證照導入它的公部門體系,但是不是一定要用這個作法,我們可以根據國內的實際狀況再來做思考。而日本的DPO是不入法的,但是讓民間自由的推動,由它的個資委員會前任主席來成立這樣一個DPO的協會。
最後一塊,關於目前臺灣個資法的推動上,我們今天談的是組織法,但是一定要併同作用法來做思考,我們的作用法走得比較早,所以其實不需要另外訂定作用法,我們就回過頭來,如何讓我們臺灣走得比較早的這一步,就是我們的作用法能夠數位轉型,能夠銜接當前的趨勢,這是一個我們必須要思考的重點,以上是我的一些個人淺見,請大家指正。謝謝。
主席:非常敬佩我們郭教授非常精準的發言。
接下來我們就請莊瑞雄委員,發言時間5分鐘。
莊委員瑞雄:謝謝主席,還有我們列席所有學者專家、列席官員大家午安。從2022年我們憲法法庭做出這樣一個表示出來以後,即整個個人資料保護欠缺的一個獨立監督的機關,這當然對我們個人資訊隱私權的保障,是有一個嚴重的不足,所以也要求3年內相關機關應該制定相關的一個法令,落實憲法對於人民資訊隱私權的一個保障,所以就是要在2025(明)年8月前來創設,去年也設立了籌備處,這個其實就是一大進步了,宣告我們臺灣個資保護四散在各處、各目的事業主管機關這樣一個命運,逐漸要步入有其專責的一個機構。
我相信社會大眾談到這個議題,一定跟我有一樣、相同的感觸,我們從很多報章媒體看到的、常常披露的,會頻頻上媒體版面的,常常都是我們的個資,這2,000多萬人的個資,就被這樣的公開,不管是身分證字號、姓名、家族成員、戶籍,還有兵役,其實這都會造成人心惶惶。
針對未來個資會負責做出個資法的修法跟組織法修法相關的一個討論裡面,我今天聽了一下,包括大家著墨的重點,其實大家都抓到重點了,就是你到底有沒有足夠的獨立性跟資源來監督私部門跟公部門,這是外界矚目的一個事項。在我們臺灣,當我們法令有所缺漏的時候或是我們還沒有的話,是可以學一下別的國家,看看別人到底是怎樣,剛剛那麼多專家也提出了很多的經驗,像歐盟一些國家的經驗,足供我們來借鏡,畢竟這是別人的一個經驗,像歐盟他們在1995年的時候就已經施行,要求各國訂立國人資料的一個保護法規,礙於整個資料管控者對當事人個資的掌控可能越來越強大,所以他們在2012年的時候,也提出一般資料保護規則的草案,然後在2016年發布,2018年實施。就是去強化個人在數位時代一個基本的權利,這個都可以提供公務機關跟非公務機關在數位市場底下運用個人資料的行為時一個比較明確的規範。
我要列舉一個例子來跟大家做個分享,就是歐盟在一般資料保護規則當中,課予資料掌控者就個人資料遭受侵害事故時的通報,就是剛剛學者專家提到的通報,就是監管機關有通知當事人的義務,即72個小時裡面它就要去通報。但你去看看我們臺灣現行個資保護法第十二條規範主管機關、資安會要做的事情,就是公務機關跟非公務機關違反本法規定,致個人資料被竊取、洩漏或竄改或其他侵害者,應查明後以適當方式通知當事人。所以通報程序上非公務機關按照資通法第二十七條授權各主管機關去辦理它的通報程序;公務機關的通報單位根據資通安全管理法是通報上級跟監督主管機關,行政院。換句話說,個人資料如果外洩的話,公務機關跟非公務機關的通報機制,根本就沒有一個統一的規範跟統一的主管機關這樣一個權責,而是四散在各個局處,對於整個個資外洩的主體,只有含糊的說你應該查明後以適當方式來通知當事人。
所以我認為我們個資會成立以後,也可以去考量到在母法明文規範,有需向個資會通報這樣一個義務,就是訂立一個比較完整的監督跟調查的職權。以現在來看的話,歐盟相關的指引,若是我們自己沒有的,可以參考別的國家先進的一個立法,國發會也在2019年委託相關的機關、機構去做翻譯了,照理應該也要出爐了。我個人倒是希望我們個資會在籌備期間,對於歐盟其他先進國家這一些立法例、一般資料的保護規則,再去做個比較,把這一些可以適用到我們國內來的,做更詳細的規範,以備我們個資會成立以後,就可以快速地跟進相關的一個規範,不然那個時間很快喔!2025(明)年8月前你就要去創設,去年籌備處就有了,所以憲法法庭這樣一個宣示,其實是一大進步,我們也希望行政部門就這個部分加把勁,還有立法部門大家全力把整個法制來做一個完備,畢竟這是一個國家一個進步的指標,以上,謝謝。
主席:謝謝莊委員的發言。
接下來有請陳俊宇委員發言,陳俊宇,陳俊宇委員未到場。
接下來請羅智強委員發言,羅委員智強,羅委員智強未到場。
我們今天所有學者專家暨登記發言委員均已發言完畢。
接著我們請政府機關代表發言,請就各位所送的書面資料以外的部分做補充說明,在這裡我就依序、按照我看到的書面資料多寡程度,內容較多的來做補充。首先請教個人資料保護委員會籌備處李主任,有沒有要補充的?時間5分鐘。
李主任世德:謝謝主席,感謝貴委員會還有鍾召委召開這場公聽會,目前這個議題也確實因為憲判字第13號所課下來的時間,114年的8月以前要成立這個組織,所以也非常高興今天藉由召開公聽會的機會,能夠聽到各位與會學者專家的意見,大家都是一時之選,這樣的一個內容,我相信應該會給我們帶來很大的一個思考助力。
綜合大家剛剛的發言過程,當然我們也知道,尤其有時候國外學者在進行整個個人資料保護這樣一個法制建構的過程中,也都會先關照到三個很重要的節點,一個是目前我們所講的這個課題,直接、間接可識別該個人的資料,這個範圍目前大家都是朝向比較廣義的方向來看待,的確,不管我們今天是在職務上面還是業務上面進行相關個人資料的蒐集、處理、利用,就如同我們現在的陽光、空氣、水,已經普遍存在在我們的日常生活中,關於這樣一個課題的因素,雖然不是從現代才開始有個人資料蒐集,古代就已經有了。
第二個觀察的節點就是在流動性這個議題上面,確實現在因為科技的發展,讓前面所看到這個課題,個人資料,不管是直接、間接可識別該個人的資料,在蒐集、處理、利用、保管的過程裡面,尤其藉由科技這樣一個助力所產生的一個流動性,相對性就會看到對於人權上的侵害,風險就越高。
第三個節點,不管是公務機關還是非公務機關,在進行職務或業務時對資料的蒐集,要如何作一樣的決定?蒐集、處理、利用、保管的各種決定,這些決定如何去把剛剛所說的,關於個人資料的課題做好保存。從剛剛與會學者所提出的各種意見,包括組織法跟作用法上面,這對我們立法過程是一個很重要的幫助;剛剛也聽到很多關於未來這個組織法在建構過程中,很多東西當然不是放在組織法,所以在作用法這邊如何去做一個配套的修正。
個人資料保護法這樣一個涵攝的內容,當然不限於跟我們組織法所要去做一個銜接的配套修正,還有包含其他的議題。因為剛剛已經說到個人資料保護委員會有憲判字第13號這樣一個時間點的壓力,我們當然希望能夠遵照憲法判決所做的這個時間節點,所以我們的任務還是會先趕快把個人資料保護委員會的組織法跟作用法的配套修正等部分趕快完成,相關的立法也能夠儘早送到立法院裡面來進行審議。
至於其他整體的個人資料保護法的議題,我們當然也不會怠慢到,在這個同時,當然等個人資料保護委員會成立之後,籌備處因為是一個臨時性的任務機關,原則上……這個機關就會裁撤,會再併入個人資料保護委員會,但是在這之前,對於個資法的修正,我們也會一併進行,在這個過程裡面,我們當然還是會再多多聆聽各界給我們相關寶貴的建議,以上補充報告,謝謝。
主席:謝謝李主任。接下來請教司法院民事廳劉法官,有沒有就司法院書面資料以外要補充的?沒有。
另外,請教國家發展委員會法制協調處的吳代理處長,有沒有就書面資料以外要補充的?沒有。
接下來請教法務部法制司謝檢察官,有沒有就法務部書面資料以外要補充的?好,沒有補充意見。
接下來是人事總處,有沒有要補充的?沒有。
抱歉,我再盤點一下,有5份資料在這裡。因為我手上沒有拿到數發部的資料,請問數發部陳副司長有沒有要補充的?有,請發言,時間5分鐘。
陳副司長怡君:謝謝主席,謝謝各位委員及專家學者。今天非常榮幸來參加司法及法制委員會舉辦的公聽會,各位委員及專家學者建議,我們也都吸收到了,對於資安跟個資的議題,當然我想大家都非常的關心,誠如剛剛委員也說了,資安跟個資的議題,不管是它的目的或者是它的範圍,其實並不盡相同,當然是有部分的重疊,在這個部分,數位部與過去的國發會到現在的個資籌備處,我們一直都是非常積極且密切的合作,包含依照個人資料保護聯繫作業要點,適時的跟個資法主管機關來分享個資外洩的情報以及技術的協助等等,未來在個資會籌備成立之後,我們會就執行面的分工,還有合作的協調機制,持續的做一個合作,以強化我國資安與個資的保護機制。
另外,委員剛剛也非常關心資料的開放、再利用與個資保護如何並顧、共同來推動。數位部為了促進資料的創新、應用,係以符合個資法為前提,發展隱私強化技術,以及例如像物流隱碼技術等等,希望可以透過技術的方法,降低直接利用原始資料所衍生的風險,並同時保有資料的可用性,以及推動驗測機制還有技術的應用指引等等。
誠如剛剛郭老師所談的,就是在參考其他國家經驗的時候,我們也期望未來個資會能夠提出去識別化的評估標準及程序,以及事前影響評估的機制等等,才能夠更臻完善資料治理的應用以及信賴環境。本部會依照現行的相關法規,逐步的建構我國資料合規、安心流通的機制,與個資籌備處以及個資會共同的合作,務實地推動資料的周延、創新、應用,共同完善我國資料治理的運作制度以及共享作法,謝謝各位委員的聆聽與指教。謝謝。
主席:謝謝數發部陳副司長。請問在場的其他政府機關代表,有沒有要做補充的?就是回應剛剛學者專家表達的意見,沒有。
請問在場的學者專家代表,有沒有要再做補充?請我們的翟董事長,時間3分鐘。
翟本喬董事長:我就很快的把剛才沒用的那兩分鐘稍微講一下,在條文的第三條,有關於性別的、數量的保護,我們知道另外行政院的三個獨立委員會、中選會、公平會跟通傳會的條文裡面都沒有這一條規定,但是因為個資事實上在性別議題上面也是很重要的,所以我很高興看到增設了這一條,不過,在文字上可能要更有前瞻性一點,因為這一條很明顯的定義是假設性別只有兩個,但是我們知道,在2018年內政部已經開始研議增設第三性別,所以在文字上說不得少於三分之一這件事,當你性別超過兩個的時候就會有問題了,因為如果有三個性別,每一個不得少於三分之一就會擠不下了,所以建議文字上修改成「任一性別不得達三分之二」,這樣子的話,不管有幾個性別都可以一體適用,謝謝。
主席:非常謝謝翟董事長簡單明快的發言,也讓我們對數學有一個新的瞭解,謝謝。
還有沒有其他要補充的?沒有的話,今日公聽會的發言到此告一段落,感謝所有與會者,從不同面向提供諸多寶貴的意見。今天各位所有的發言內容與書面意見,及委員沈發惠所提的書面意見,均列入紀錄,刊登公報,並製作成公聽會報告,送交本院全體委員及本日出列席人員參考。
林瑞珠秘書長書面資料:
陳鋕雄院長書面資料:
張鈞綸律師書面資料:
郭戎晉助理教授書面資料:
黃國鐘律師簡報及書面資料:
委員賴瑞隆等17人擬具「個人資料保護委員會組織法草案」案書面資料:
委員黃捷等23人擬具「個人資料保護委員會組織法草案」案書面資料:
個人資料保護委員會籌備處書面資料:
「個人資料保護委員會組織籌設及相關配套措施」公聽會報告
司法院書面資料:
「個人資料保護委員會組織籌設及相關配套措施」公聽會
司法院報告
國家發展委員會書面資料:
「個人資料保護委員會組織籌設及相關配套措施」公聽會書面報告
行政院人事行政總處書面資料:
「個人資料保護委員會組織籌設及相關配套措施」公聽會書面報告
法務部書面資料:
「個人資料保護委員會組織籌設及相關配套措施」公聽會書面報告
數位發展部書面資料:
舉行「個人資料保護委員會組織籌設及相關配套措施」公聽會
數位發展部書面報告
委員沈發惠書面資料:
主席:本次公聽會到此結束,謝謝大家,現在散會。
散會(12時26分)