文/何明諠(台灣人權促進會專員)
其實很不願意一個難得的週間休息日,不僅要花時間來寫文章,而且針對的還是當前已退位的人。
但或許是不小心看到幾天前的這則新聞,覺得有些人雖然現在已退位,但稍不留神,可能隨時就會回到檯面上。所以只好趁著還有一些時間上的熱度,來談談昨天(6/13)聽到什麼。
昨天在東吳大學企管系有一場座談,主題是:「當大數據科學遇上小人物個資:數位創新也有代價」。這場座談的主持人、引言人、與談人總計雖僅五位,但其中卻有兩位是我國的前行政院長 — — 陳沖、張善政 — — ,或許是因為陣容豪華,吸引了不少媒體的關注,中央社也為此出了一篇還蠻詳細的報導。
而作為昨天也在場的人,整場下來,確實聽到了幾個蠻有(ㄏㄨㄤ)趣(ㄇㄧㄡˋ)的論點,也足證我國個資保護水準堪憂。如果我的理解還算正確,以下的這5個論點都是陳、張兩人所支持的。
接著的文章中我不會談太多個人的看法,只會適時補充身為聽眾的困惑與相關事實。讀者也許就把本文當作是中央社的平衡報導吧。
荒謬論點 I:個資法太嚴格,數據分析不易,阻礙創新產業
首先,包含引言人在內,陳、張反覆強調的第一個重點是:「台灣的個資法太嚴格了。」
但令人納悶的是,究竟哪裡嚴格,整場講座從未被明確指出。所謂數據分析不易,又是哪個環節導致?
簡單說,是蒐集、處理、利用的哪裡太嚴格?是告知同意的定義太麻煩?是賦予人民太多權利令人困擾?或跟誰比起來太嚴格?凡此種種都沒有講,只是反覆強調太、嚴、格。
好吧,稍微具體一些的說法有二。
(一)引言人賈凱傑教授所說,國外企業很容易拿我們的個資,但本土企業受限於個資法,導致資料處理上相對弱勢。
(二)張前院長以Yahoo被Verizon的收購為例,指出Yahoo因隱瞞使用者個資外洩的情形,導致收購條件被重新談判,因此建議要降低個資法罰責,使業者願意通報,方能解決問題,新創事業才敢做事。
善意解讀賈凱傑教授的說法,其所言應是全球各國當前正火熱的問題,亦即要如何處理跨境企業蒐集、處理、利用本國人民資料的問題。這問題盤根錯節,還包含對岸最近網路安全法的資料在地化的面向。
但無論如何,各國的手段多半是想方設法,要求跨境大企業遵守該國個資保護法令,而非回過頭,要放寬本國企業對人民個資的利用。
另外則是張前院長的話,對此我其實只有一個問題:倘使企業用個資賺大錢可以,但因為個資外洩可能被重罰不行,則歐盟明年起要一體適用的GDPR(General Data Protection Regulation)恐怕只會讓這個問題更加惡化吧?
我國個資法目前對單一事件的罰款最高為2億,將來GDPR一次最高可處罰業者3–6億台幣(一千~二千萬歐元)或全球營業額2–4%(取其重),這邏輯似乎和張前院長背道而馳?按張前院長的邏輯,GDPR難不成打算要所有意圖立足歐盟的新創企業全都倒地不起嗎?
高報酬、低風險,這樣的邏輯是在保護使用者?個資使用全面鬆綁,國內大公司不是可能同樣打死國內的新創小公司?新創事業能否茁壯,可以這樣談的嗎?
荒謬論點 II:法律不能走在科技前面,應使用「半空白授權」機制機動調整
所謂「半空白授權」,就是先由立法院通過規範寬鬆、近乎空白授權的母法,並在母法中授與行政機關訂定相關子法的權限;「半」的意思是,在訂定及後續修正子法的過程中,行政機關需要到立法院報告,並在子法運作穩定後,將子法的相關規定,透過立院,回修到母法裡。張前院長提出前述的立法架構,並將之定義為「半空白授權」。
寫出這樣的說明文字,彷彿我也是略懂略懂張前院長的心思;但其實只要稍微深究,就會發現自己全然不懂。
因為半空白授權聽來就是在實質的空白授權上,添加一項行政機關到立法院報告這個法律效力不明的動作。而那段全然空白授權的期間,所造成的危害會有多大,根本不可預測。張前院長是嫌人民和大法官還不夠忙,要幫他們找事做嗎?
另外,「法律不能走在科技前面」當然也非第一次聽到,但具體意思為何,始終令人一頭霧水。
它是指科技所可能造成的侵害,法律不該事先規範嗎?或是等科技應用具體出現某些危害了,我們再來制定法律?或是法律人根本無法了解科技,所以不要插手?或是法律人真的不能走在科技人前面,只能,呃,走在後面?
有一種同情理解是,不要因為法律,而妨礙科技進步,將其可能對社會帶來的應用與助益綁死。
倘若如此,那是否可以問,具體來說,個資法是綁死哪些可能的科技應用?那些科技應用又將為誰帶來助益?相對地,有沒有可能侵害誰的權利?至少羅列一下,社會才有討論空間啊。
大學是學術殿堂,不是造勢場合,宣示理念並非不行,但以個資法的規定內容,來具體論證相關的論點,會很難嗎?陳前院長,張前院長?
荒謬論點 III:我國過去立了很多法,對個資保護不遺餘力
陳、張所支持的另一種論點是,我國立了很多和個資有關的法律(引言人列舉了消費者保護法、個人資料保護法、電子簽章法、刑法妨害電腦使用專章、電信法、資安管理法),對個資保護不遺餘力。
先撇開所列舉的法規是否就意謂著「很多」的問題不談,另一個問題是,倘若立法就意味著實質的保護,則中國肯定不是極權國家,畢竟它的憲法也保障各種基本人權。
實質保護還得看行政機關如何制訂政策、執行法律、實施稽核;司法機關面對爭議,如何解釋法律,裁決個案;以及立法機關在立法上是否有未納入考量的漏洞等。
簡單說,單是我國至今尚無任何資料保護的專責機關,就落後許多國家,根本稱不上是不遺餘力,更遑論我國個資法本身也是問題叢生,大有方便公務機關濫用之虞。
荒謬論點 IV:個資法主管機關是法務部
張前院長說了好幾次這句話。
在此只能很遺憾地跟張前院長說,個資法至今並無任何主管機關,法務部只是解釋個資法的機關,它不主管其他個資保護的事宜。這點消保處處長也有當場糾正。
主管機關散落四處,標準各有差異,也是導致個資爭議此起彼落的原因之一,如果張前院長連這點都不清楚,實在令人懷疑您宣稱「個資法太嚴格」的可信度。
荒謬論點 V:川普廢除線上隱私保護規則=最新發展例子=國際潮流
引言人以川普上台後,在四月初即廢除歐巴馬時期所立的隱私保護規則為例(因川普所持理由之一就是產業創新),提醒學生應要再思考隱私保護與數位創新間的權衡。倘若印象沒錯,張前院長或陳前院長之一應也有附和,並將這和國際潮流掛勾。
歐巴馬執政時期,聯邦通訊委員會(Federal Communication Commission )會立這個規則,有個漫長的故事,這邊就不提了。而規則的主要用意,就是要規範ISP業者蒐集、販賣用戶個資的行為。
ISP是所有人要上網的總開關,只要ISP願意,它幾乎可以掌握使用者在網路上一舉一動,關於這些,數年前就已有學者提出過相關警告。也因為掌握大量資料,ISP也可以在提供網路服務外,靠販賣這些資料再賺取大量利益。
也因此,川普簽署了廢除這項規則的命令時,美國同時也有相當多人反對這個決定。這也就意味著,川普的決定其實具有高度爭議,根本連在美國都算不上是潮流,更遑論要以此去證成所謂國際潮流。否則,我是否也能簡單舉歐盟的GDPR,或其他國家的隱私專責機關,忽略其他背景,便說這也是國際潮流啊,台灣政府快跟上啊?
結論
其實沒太多結論,會寫這篇文章,更多是悲觀地認為,倘若陳、張退位後,還能在學術界保有話語權,可以將想法散播給學生,則寫這樣一篇文章,充當反面教材,或許是少數可行的反擊了。
因此唯一可能的結論是,希望當前的林全院長未來在思考個資政策或法令時,可以釐清法律現實,並把相關論證說清楚,千萬不要步上這樣的後路。另外學術殿堂理應是要講究論證的地方,個人站在台上,提出一個主張,應該要伴隨相關的理由,否則只是淪為宣示立場。希望這些退位的大人物可以再三明辨。
最後,倘若有人看完後,問我為何不當場提問,不當個肯對話的好公民/好學生,我只想說,對於這種聽起來滿是破綻的論述,到底要從何提問?