國家發展委員會於2019年8月15日召開個人資料保護法修法意見徵詢公聽會,以下為台權會當日發言紀錄。
國發會個資法修法公聽會發言單
(2019.08.15)
《個人資料保護法》主要的立法目的,是希望保障個人掌握其自身資料的流動,並從而使個人能自主決定其生活樣貌。唯有個人對其資料的自我控制受到充分保障後,再來討論如何透過資料利用以讓社會各層面向前推進,才是有意義的。這也是台權會一貫的立場。
由於政府目前並未提出任何修法提案,因此台權會僅就現有個資法,提出以下四點原則性的修正建議,並針對個資法第六條,補充兩點修法建議。必須先澄清的是,由於公聽會發言時間有限,以下所列點次並非台權會目前完整的修法意見,有關台權會目前對於個資法的其他修法主張,可參考我們在健保資料庫案的釋憲理由書(簡易版、完整版)中所提出的說明。我們期待政府能在未來確立修法方向後,再開啟有意義的討論。
一、應建立獨立的個資專責機關
個資法當前並未在條文中明訂主管機關,最終決定條文適用與否的,仍是各目的事業主管機關。這除了導致相關規範散落在其他法律外,也一直有落實標準不一、甚至欠缺執法能量的問題。因此我們建議應儘速成立獨立的個資專責機關。
二、應建立「個資保護影響評估」的機制
在個資蒐集處理之前,應預先評估其是否可能帶來不成比例的權利侵害,降低違法的可能。若參考GDPR的規定,只要有高風險的資料處理行為,就應在處理前,先進行個資保護影響評估。特別是建立大型資料庫,更是GDPR工作小組明確列舉應評估的項目。然而過去台灣的個資法並無相關規定,這也導致在諸多具有重大爭議的案例上(例如健保資料庫、法眼系統,甚至近期推動的數位識別身分證政策),都欠缺可被檢視的評估報告。我們建議應儘速建立「個資保護影響評估」的機制。
三、應重新修正「有效同意」的要件
概括同意在過去廣泛被公、私部門長期所使用,做為資料目的外利用的依據,這不僅為人詬病,也釀生許多個資保護的風險。此外,有關被迫同意的狀況,例如消費者必須同意特定服務條款才能使用特定服務的情形,在過去幾年也是屢見不鮮。因此我們建議,在未來修法,應重新思考並修正數位時代中有效且合理的同意機制。
四、應建立個人退出(opt-out)資料目的外利用的機制
人民在現行個資法下並無退出資料「目的外利用」的「拒絕權」,也導致了我國人民過去對公、私部門進行資料目的外利用幾無抵抗的能力。我們建議未來修法,應建立人民退出資料目的外利用的機制,以落實憲法保障人民資訊自主權的意旨。
此外,個資法前次2015年修法時,於第六條第一項第四款、第五款大幅放寬特種個資的蒐集、處理、利用的要件,也與GDPR要求不符。建請國發會於本次修法加以修正,保護國人的特種個資不致遭到濫用。
一、修正第六條第一項第四款
2015年修法後,允許特種個資的蒐集、處理、利用,只須在最終揭露時,「無從識別特定之當事人」即可。這使得人民完整、未去識別的特種個資可以任意被過程中的資料蒐集者檢視,不僅增加了個資被濫用或外洩的風險,甚至更讓特種個資處於比一般個資更寬鬆的規範條件中。我們建議未來修法時,應廢棄2015年的修法結果,讓特種個資回歸較嚴格的保護。
二、修正第六條第一項第五款
2015年修法後,只要是「協助」公務機關執行法定職務就能蒐集、處理、利用特種個資。這撤除了原存在於各機關間避免資料不當流動的防火牆,導致個人資料如今能輕易在不同機關間流動,大幅增加人民的言行暴露在公務機關視野中的風險,不利民主社會發展。我們建議未來修法時,應廢棄2015年的修法結果,回歸原先個資法第六條第一項第二款的規定。