本文原刊登於蘋果日報即時論壇
文/何明諠(台灣人權促進會專案經理)
歐盟《一般資料保護規則》(General Data Protection Regulation,GDPR)於5月底的全面施行,可說是今年隱私保護最重要的新聞。
在GDPR等待施行的這2年,全世界的企業、政府、甚至公民團體都無不嚴陣以待、蓄勢待發,因此在實施後,立即就在世界各國引發了一些後續效應。例如在愛爾蘭,已有數位權利組織針對Google與facebook搜集用戶個資的方式提起鉅額訴訟;美國洛杉磯時報為了省麻煩,索性封鎖所有來自歐盟地區的網路用戶;管理頂級網路域名發放的國際組織ICANN,也針對德國的域名註冊商EPAG提出告訴,希望維持既有網域註冊者資料搜集與揭露的方式。
但反觀台灣,過去兩年政府在檯面上幾乎是寂靜無聲,彷彿GDPR是地球另一端的事情。一直要到5月後,或許是迫在眉睫,行政院才終於動了起來。
先是院長賴清德在5月底的院會上要求國發會設立「個人資料保護專案辦公室」,整合各部會辦理GDPR的事宜;接著國發會主委陳美伶亦在5月底6月初率隊訪問歐盟,洽談GDPR的適足性認定,希望讓跨境資料的流通更順暢;而更有新聞報導指出,賴清德已裁示《個資法》的主管機關未來將由國發會擔任,後續更將啟動《個資法》的修法,以回應GDPR的施行。
姑且不論準備是否來得太遲,行政院看來終究是感受到壓力了。但面對壓力,行政院所採取的應對方式,無論是就GDPR的規範內容而言、就國內長遠的個資保護觀之、或就國際組織的參與來說,卻都顯得十分消極。
以國發會為例,國發會的固有職責是協調各行政機關,因此近來也屢次被委以跨部會的個資協調權責。數月前引發爭議的「個人資料評議中心」已是前例,如今再被賴清德院長要求設立因應GDPR的「個人資料保護專案辦公室」,也並不令人意外。但讓人遺憾的是,為使政府各部會在GDPR的依循上能有一致標準,國發會固然可能是短期回應國際規範的解方,但綜觀賴清德院長在這陣子的發言,卻全然未有建置「獨立的個人資料保護專責機關」的意願,而後者,毋寧才是長遠的解方。
我們身處在所有個人活動都可能被資料化的時代,因此可能也是個人在國家、企業前最透明、從而其生活最易在無形中受兩者操弄的時代;這也是何以GDPR要求歐盟各國都應成立「獨立的個人資料保護專責機關」,並從人事任命、財務分配上,盡可能阻絕會影響其專業運作的利害關係,以有效、一致地監督個資保護法規落實的原因之一。
而反觀如今行政院要國發會成立專案辦公室、甚至要其擔任《個資法》的主管機關,立即可見的問題就有三。
其一,國發會的定位本是各項國家發展事務的政策規劃與資源協調,其內部可能已有多項負責業務(如數位政府或經濟發展相關政策)和個資保護處在尚待釐清的緊張關係,有嚴重的球員兼裁判之嫌;其二,縱使成立專案辦公室,其人事、財務先天即非獨立機關的規模,也沒有法律規範其權責及獨立性,人民要如何相信這樣的辦公室能長期、公正地運作下去?其三則是,這仍舊沒有解決《個資法》在過去落實標準不一的情形。過去作為主要解釋機關的法務部因資源稀少、權責分配而無力為之,難道換成國發會,問題就會消失嗎?
我們都清楚,個資保護在當代不僅事涉資料主體的人格權,也攸關經濟發展、社會治安、外交關係(部分國際組織需有專責機關才能加入)、甚至國家安全。因而我們在此要誠摯地建議賴清德院長,倘有心推動個資保護,應思考的是建立獨立的個人資料保護專責機關,而非如當前這般便宜行事,把相關事務推給國發會就算打發了。更別說在過去幾年,國發會曾委託民間單位進行相關研究,法務部也曾多次考察赴歐盟、澳洲、德國、比利時等多國進行考察,所得的結論,也都是台灣「有必要」建置獨立的個人資料保護專責機關。賴清德院長如今又為何要昧於這些現實呢?
在過去幾年,政府總以《中央行政機關組織基準法》為由,表示已無法再建立更多的獨立機關,但即使如此,黨產會或促轉會等獨立機關也依然在這兩年內陸續成立了。倘若賴院長真認為個資保護是未來必須謹慎以待的事,就請玩真的,開始設法在行政院下建立一個獨立的隱私專責機關吧。
縮圖來源:Photo by Luca Bravo on Unsplash