對於個資法三讀通過之聲明
/台灣人權促進會
在遭到媒體質疑侵犯新聞自由的狀況下,法務部匆匆再度提出修正意見,立法院亦於4/27立即三讀通過新版「個人資料保護法」修正草案。個資法修法,其目的在於修補當前資訊安全缺口之急迫,然而,整部法在提出修法到通過的討論過程中,卻始終忽視個人資料保護的結構制度性缺失。
一、背離「當事人資訊自決原則」
個人資料的隱私洩漏,問題並不只在於末端的資訊安全技術問題,而是從上游開始的蒐集、處理與利用一路下來對個人資訊自決權的侵蝕。根據OECD對於個資保護的八大原則,個人資料的蒐集、處理及利用都應該在目的明確、合法蒐集、個人參與等原則下進行,除非有例外狀態,才能做排除。但是在新版個資法當中,不論是公務機關或非公務機關,正當事由、當事人同意,都只是合法蒐集的條件之一,而非必要條件。換言之,個人自決原則,在很多狀態下,都可以被排除在外。新版個資法一方面擴大適用主體,卻在蒐集、利用及處理的規範上過於鬆散,所謂「正當事由」也缺乏明確定義,這樣並沒有辦法減低目前公務、非公務機關過度搜集個資的狀況,反而讓更多行業所認定為必要、正當,但實為過度搜集個資的行為就地合法。
二、無法落實保障敏感性個人資料
敏感性個資在此新法中,原則上禁止蒐集,但是在第六條的條文中,卻仍然列出許多仍可進行蒐集敏感性個資的例外情況。這種對於敏感性個資的蒐集管制,實際上,跟一般個資並無多大差別。若真要落實保障敏感性個資,在蒐集、處理與利用前,都應先經相關的審查流程,以確認其蒐集、處理與利用符合法所列舉之正當事由,特別是因學術研究目的而允許蒐集、處理與利用敏感性個人資料時,除需經當事人同意外(除非具有「免除同意之正當事由」),並應先經過研究倫理委員會之審核。
三、欠缺安全閥的制度設計
目前歐盟各國多設有所謂的個人資料保護委員會,機構內亦多有所謂的個人資料保護官,除了進行教育推廣之外,這些專責機構及機構人員亦會針對蒐集敏感性個資等特殊情況,作事前控管。在今日氾濫而多無節制的資訊活動環境下,各機構內獨立的個人資訊保護官不僅能降低外部管制的重任,亦是必要的安全閥。然而此一制度設計,在此次修法中,亦因政府組織改造或人事精簡等理由,而認為沒有必要設置。
四、無專責主管機關
新版個資法沒有主管機關,而是回歸各事業主管機關做為規範及管理的主體。但沒有主管機關就會出現類似多頭馬車及踢皮球的狀態。即使有爭議事件發生,若牽涉到的個資為跨部會的機關,又該由誰來居中作協調及負責,在此新法中,完全看不見擔負責任的專責機關。但,個人資料保護的全盤政策擬定、執行,乃至於個人資料保護觀念之教育、宣導等事項的整合進行,仍需專責機關以利其事。
五、救濟管道的可行性
在修正草案中,雖加入了「集團訴訟」的方式,讓個別的受害人可因同一件個資外洩案件,共同提起法律訴訟,減輕個別當事人在處理法律救濟的成本。但在條文中所規定代為提起個人資料保護相關訴訟的財團法人或公益社團法人,在財團法人是財產總額1000萬,社團法人社員100人,目前台灣的民間團體社團法人符合此條件者,並不多見,似乎只有大型私人企業集團有財力以設立財團基金會進行相關業務。
我們遺憾此番修法引起許多爭議,卻不見對於上述制度缺失的深切討論,此修正法案對於要真正落實個人資料保護的原則,仍還有很長遠的道路要走。
