原文刊登於ettoday雲論,連結請見此。
文/ 周冠汝 (台灣人權促進會副秘書長)
大型個資外洩與個資濫用持續在台灣發生:2300萬人戶政個資外洩、長逾20年且橫越不同政黨執政時期、在法律真空的狀態下對健保資料從事目的外利用,還有電信公司濫用消費者資料與商業夥伴從事分享利用(甚至涉及分析集會遊行參與群眾的政治傾向等),這些事件在在影響著你我的日常行動、健康與就醫情形、家庭成員與關係。然而上述個資卻在未經我們同意的情況下,任由他人以統計或研究為名義而串聯、乃至於進一步地剖析、解讀。憲法法庭好不容易作出判決,認定現行法制欠缺個人資料保護之獨立監督機制而有違憲之虞,但可惜的是,政府雖然打算建立個人資料委員會作為主管個資隱私保障的專責機關,但對於個人資料委員會的想像,竟是矮於部會層級的三級機關而已。
個資保護不是只有事故調查
水桶破洞,不應等到水流乾了,才開始彌補。個資保護不是只有個資外洩事件通報、通知,更包含每次蒐集、處理或利用個資前、中、後的法遵輔導與落實,以及提供個資當事人清楚、容易取得的權利實踐方式。除了從資料蒐用生態圈的不同階段,促進公私部門落實個資保護;主管機關更應留意新興技術與商業模式對隱私的影響。在平台經濟與監控資本主義下,隱私威脅不只是造成個人損害而已,更有擴大為集體類群的標籤化,並進一步侵蝕民主制度的風險。劍橋分析事件正是明顯的例子,相關問題不是單靠資安強度的提升就能解決,關鍵在於個資保護機關與個資法如何看待資料控制者的資料分享、剖繪等行為,以及如何利用推論資料。
矮人一截的個資會,如何監督其他機關?
個資保護和資安工作最大的不同,在於前者對獨立性的高度要求。唯有保持獨立,才能在關鍵時刻挑戰危害隱私權的資料蒐用決策。然而,本次《個人資料保護法》修正草案、《個人資料保護委員會組織法》草案,無論是在個資會的層級、主委職等、甚至委員組成上,均存在難以維持獨立性的因素。首先是層級與主委職等矮於經濟部、數發部等推動產業發展政策的機關,甚至對於持有大量全民個資的內政部、衛福部等。在職等矮一截,再加上缺乏能有效監督的程序工具(比如個資保護衝擊評估)的情況下,即使個資會能召集跨部門會議,恐怕也未必能影響二級機關與個資法有所扞格的決策。
歐盟「一般資料保護規則」的適足性認定,關乎台灣中小企業的經貿發展,台灣至今仍未完成,很大的因素就在於沒有獨立的個資保護機關。獨立性的審酌除了功能與資源,也包含不能有職務上的利益衝突等。然而,在政院版的草案中,個資會委員竟有從「有關機關」遴選兼之的規定。換言之,在其他機關從事資料利用的決策者,也有可能同時是個資保護機關委員,這麼明顯的利益衝突,如何保護台灣人民的個資呢?
個資長要發揮功效,須由個資會任命與管考
本次草案要求公部門須設置個資長,然而任由各機關自行任命個資長,形同虛晃一招。如果只是把現行實務作法換個名字,舊瓶裝新酒,未通盤強化獨立監督機制,並更新個資主管機關所能使用的制度工具,顯然不能達到改善個資保護體質的修法目的,遑論為台灣奠定國際間人工智慧競賽上必備的資料治理基礎。我們正站在建立資料蒐用良善治理模式的關鍵時刻:究竟要繼續為過去的沉痾塗脂抹粉,還是大刀闊斧從事改革、興辦能壯大台灣資訊自決權保障與資料利用信任的個資保護制度,端看國會與行政院如何攜手合作。
