本文為台灣人權促進會投稿參加2025台灣網路治理論壇(TWIGF)之座談會側記。側記由Patrick撰寫。
隨著AI快速發展,政府該如何平衡收集個資與使用資料的兩難,應對潛在的資訊隱私威脅?即將上路的個人資料保護委員會,是否真能回應各種大型個資控制者強迫同意、濫用個資等挑戰?還有哪些難題急待政府解決?本次2025年網路治理年會,台灣人權促進會自組議程,邀集來自政府個資保護機關的專家學者,共同討論在AI時代下,政府得立即回應的個資保護威脅,以及未來的治理行動建議。
個資訴訟實務困境
針對台權會、督保盟、台女連所提出的「健保資料庫釋憲案」,憲法法庭作出111年憲判字13號判決,認為個資法部分合憲,但明確指出健保資料庫資料的目的外利用,有違民眾資訊隱私權。而這樣的個資保護案件不僅限於政府,近年來私部門相關案件也層出不窮。
消基會律師周逸濱分享雄獅詐騙訴訟案——台灣第一件個資法團體訴訟,原告在線上購物後,個人資料被外洩到詐騙集團,進而導致消費者受騙。但在訴訟過程中,現行規範明定原告需有舉證責任,如無法舉證則被駁回。他指出這樣的規定無視消費者的弱勢處境,民眾無法得知企業內部資料,難以指出企業蒐用資料的哪些環節,有違反個資法的疑慮。
著名的iRent資料外洩事件也值得檢視:iRent被指出向使用者蒐取過多與租車目的無關的個人資料,並分享給關係企業及未來合作對象。消基會質疑iRent收集非必要個資、資料利用對象過廣。他指出即使消費者同意提供資料,但若資料蒐集權限過廣、為非必要資料,仍有疑慮。
針對現行的資料蒐用爭議,他認為訴訟實務上,「推定過失」機制會是現行較佳的解方:先推定業者有資料外洩的過失,業者必須自行舉證證明無罪。近年來法院實務提出類似見解,指出公司機關具有證據偏佔情形,若將舉證責任歸屬於消費者恐有不公,也值得作為未來修法的參考。
個資會的任務與難題
自健保資料庫憲法法庭判決後,為補足政府機關的個資保護獨立監管的機制,先是成立個人資料保護委員會籌備處,預計中央主責的個資保護機關「個資會」,以改善過去各政府部門資料分散管理、權責不一的問題。個資會將擁有對於公務機關的稽核權及檢察權,得以要求公務機關改善個資保護措施,整合加強現行的個資保護機制。除此之外,各公務部門也被要求設置個資長,負責組織內部個資教育訓練;公務機關必須擬定個資維護計劃,並於每年度提供回顧報告,讓個資會得以檢查有無缺陷。
個資會籌備處科長曾傑說明,個資會的政策藍圖中,仍有許多實行細節有待商議。其中包含:建立政府各部門的個資問題溝通平台,讓個資會能在平台上和公務機關討論實務上的遇到的問題;以政策而非政府部門為基本單位,檢視各政策專案中的資料管理機制,取代過去單一政策資料分散在各部門、管理權責混亂的情形;以及若公務機關不幸外洩個人資料,能夠遵循的個資外洩通報機制。
台權會會長涂予尹指出個資會成立後,法律實務上能否順利運行仍有疑議。個資會是中央三級獨立機關,委員由行政院長提名,能否順利監督院級機關仍待檢視;為機關內部把關的個資長,若受到上級長官指示,真能維持獨立性嗎?曾傑回應目前個資會仍在研擬相關子法,無論是釐清個資會跟機關內個資長的權責,公務機關得以遵循的個資法實行細則,皆在討論階段。
曾傑表示個資會正好在此時——AI技術運用大突破的時代——進行籌備,讓政府能重新思考資料運用與資料保護間的平衡,訂定合宜的監管標準,避免政府在使用資料時侵犯個人權利。他說明:個資會的任務即是「盡可能在『資料最小化』原則之下,制定原則提供單位指引」。
數位身分的崛起及其難題
技術上該如何落實資料最小化?異人研代表劉維人說明首要之務是讓每個人都有控管自己身份憑證的能力,使用可以動態調整授權範圍,知情自己的資料在何種情況及目的被蒐集,以及又交付了哪些資料給對方,確保使用者對於個人資料的完全控制,並指防止不必要的資料暴露。
然而,他坦言今日理想和現實仍有落差,如何確保使用者的個資保護是個待解難題。由於技術上資料是單向傳輸,當資料傳輸給私人企業及其他驗證端,難以受檢查、稽核個人資料是否依照原先的使用目的被利用。若有公司恣意分享、拼湊使用者資料,或是主責發證、驗證的信任服務中介,集中使用者資訊,都可能導致使用者個資遭竊取。而如今AI資料運算機制的不透明性,更增添事後舉證、證明因果關係的困難性。
政府如何確保分散式驗證的個人資料隱私?他提出以風險導向的管理,結合多方治理及安全系統架構的政府行動建議:政府得盤點各種個資使用情形,根據不同安全層級進行分級,針對最高安全層級的資料蒐集,政府應在事前完成資料保護影響評估;建立公開透明、可信任的憑證發行白名單,與每張簽署的數位證件,皆有不可竄改稽核機制;資料收集機制應預設去連結、反追蹤,禁止各機關蒐集通用UID(如身分證、指紋),技術上也得避免個人資料被追蹤的風險。
數位世界的個資保護不只有賴技術上的安全防護,當身份驗證機制變得分散、公開,個資保護不再只是政府的責任,多方的監督治理更是不可或缺。講座最後,台權會副秘書長周冠汝,向參與論壇的多方利害關係人留下最後的提問:當政府、私部門在發展AI時,該如何讓人民及資料主體,能高度實踐今日台灣個資法所保障的權利?
