針對個資會籌備處預告之多項個人資料保護法子法預告草案,提出意見。相關子法預告草案全文,可至個人資料保護委員會籌備處網站查詢。
個人資料保護法施行細則
-
無從識別(草案第17條)
- 不應單憑使用之技術方法定義。應針對無從識別之對象、效果、風險評估與管控、加密金鑰之保管情形訂定相應程序。
- 應在個資法母法區分假名化、匿名化,並制定安全措施之風險評估程序。
個人資料保護長及相關人員職掌職能條件及訓練辦法
個資長欠缺獨立性(草案第2條第1項第1款、第3條)
- 個資保護長之擇定應避免利益與腳色衝突,目前子法草案第3條欠缺相關規範,且此類利益與腳色衝突非《公職人員利益衝突迴避法》所規範之內容。
- 根據歐盟指引,個資長雖可兼任其他職務,但不能涉及決定個資蒐用之目的以及方法。
- 參考歐盟WP29 Guidelines on Data Protection Officers ('DPOs') (wp243rev.01) 3.5利衝 (95指令指引)
- 本會建議應明確界定個資長不可由具有職務上腳色衝突(涉及個資蒐集、處理或利用政策之內容)之人員擔任。
- 個資長應定期直接向個資保護委員會報告,而非對機關首長報告。
- 個資長不應由具有職務衝突之副首長擔任,除非該副首長未從事個資蒐用相關政策之業務。
個人資料保護政策推進會議運作辦法
提升個資保護政策推進會之有效性
- 應公開會議記錄。
- 目的事業主管機關應繳交討論議題之個資保護事實與評估文件,並於會後依涉及之個資保護業務,繳交後續政策之規劃或調整內容。
推進會舉辦頻率應提升(草案第4條)
- 草案將會議週期定為每半年召開一次,必要時得召開臨時會。然而個資蒐用需求與侵害與時俱進,光是國發會的政府資訊主管聯席會中央部會分組,就是每季一次開會頻率,涉及資訊隱私權保障的個資保護政策推進會應至少提升維持在每季一次協調聯繫。
個人資料保護法第五十一條之一第一項所稱由中央目的事業主管機關或直轄市、縣(市)政府管轄之非公務機關列表
個資會收回個資保護業務之時程規劃
- 個資會成立後,將有六年緩衝期。請問個資會籌備處規劃每年將收回幾項(或幾類)個資保護監督業務?
檢查非公務機關落實個人資料保護法情形作業辦法
- 僅討論個資法第22條第1項後半段「檢視其落實本法情形而認有必要」時進行的例行性檢查,而未討論前半段針對「主管機關認非公務機關有違反本法規定之虞」的非例行性檢查。
公務機關個人資料保護管理事項實施情形稽核辦法
- 稽核機關也應具有義務於一定年限保存稽核紀錄、稽核報告、改善報告以及相關稽核文件。
