文/蕭奕弘
憲法法庭在 111 年憲判字第 13 號健保資料庫一案中,指出就資訊隱私權的保障,應配合當代科技發展,採取組織上與程序上必要之防護措施,而獨立監督機制則為重要的關鍵制度,以確保個資蒐用者對於個資之蒐用,均符合相關法令之規定,增強個資蒐用之合法性與可信度。大法官在判決中要求相關機關在判決宣示之日,也就是民國 111 年 8 月 12 日起的三年內,建立個人資料保護獨立監督機制,以完足憲法對人民資訊隱私權的保障。
這個憲法判決加速個人資料保護法(下稱「個資法」)的檢討與修法,先是在 112 年 5 月 16 日通過修正案,除了將非公務機關違反安全維護義務的裁罰方式修正為逕行處罰、提高罰鍰上限外;也增訂由「個人資料保護委員會」(下稱個資會)擔任個資法主管機關,以回應憲法判決的要求。
然而,這次的修正雖然將個資會列為主管機關,但實際上個資會仍處於籌備處階段,組織法草案尚未公布,個資會並未正式上路。而且個資法的監管架構基本未變,只是把原本由目的事業主管機關、地方政府的權責事項,在個資會成立之日起,轉由個資會管轄。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 linkedIn,與全球CIO同步獲取精華見解 ]
直至今(114)年10月17日,立法院再次修正個資法,這次的修正是 99 年以來,變動幅度最大的一次,新法賦予個資會相關的職權,以下簡單介紹這次修法的六大亮點:
主管機關定位明確化:
過去個資法缺乏統一主管機關,監管權限散落於中央各部會與地方政府,法規解釋則從法務部到國家發展委員會。修法後,個資會將成為中央統籌單位,負責政策協調、監督與指導,可邀集相關機關召開個資保護政策推進會議,讓中央、地方機關和個資會間能藉此達成共識。
公務機關設資料保護長:
現行法要求公務機關保有個人資料檔案者,應指定「專人」辦理安全維護事項,這次的修法更要求公務機關應設置兼任之個人資料保護長,負責統籌督導個資保護事務。
安全維護事項明確化:
「適當之安全措施」一直是個資保護的核心,但現行規定主要在施行細則第 12 條,較為原則性,而過於簡略。目前比較具體的規範,則要透過個資法第 27 條第 2 項規定,授權目的事業主管機關指定企業訂定安全維護計畫,至於公務機關則沒有相關規定。這次的修法明定公務或非公務機關的安全維護、管理機制、應採取之措施等,均由主管機關個資會定之。三讀通過後,個資會籌備處也發出新聞稿指出,將訂定共通基礎版的安全維護管理辦法,作為日後執法的基準。
個資事故通知義務:
現行個資法第 12 條規定發生個資事故時的通知義務,公務或非公務機關發現後,應查明後以適當方式通知當事人。施行細則就通報的規範也存在過於簡略、不夠具體的問題。新法規定由個資會制定通知規範,並統一受理個資外洩等事故通報,違反可以由主管機關直接裁罰罰鍰,而不用令限期改正。
[ 推薦文章:將個資保護 DNA,注入資通系統新生命 ]
公務機關的行政監督:
新法增加「行政監督」章,當中包含對公務機關,以及非公務機關的行政監督。111 年憲判字第 13 號健保資料庫該案,涉及到的關係機關是衛生福利部及健保署,然而本案的中央目的事業主管機關正是關係機關衛生福利部,憲法法庭在判決中要求建立獨立監督機制,以確保個資蒐用者對於個資之蒐用,均符合相關法令之規定。這次的修法增訂對公務機關的行政監督規定,包括上級機關的內部督導,以及外部個資會的外部稽核與行政檢查。
非公務機關的行政監督:
非公務機關的行政監督,現行法是交給中央目的事業主管機關跟地方縣市政府,原本修法後應該交由主管機關個資會統籌,但新法考量個資會剛上路時,還沒有足夠監管量能,除了沒有明確目的事業主管機關的業者交由個資會監管外,新法設下 6 年的過渡時期、每 2 年檢討,逐步移交給個資會。
新修正的個資法已然具備,待組織法通過,個資會正式上路後,我國將從「分散式監理」邁向「統一治理」的新階段。新制度可強化公部門與企業的資料保護責任,讓民眾對個資安全更具信任感,開啟資料治理與隱私保護的新紀元。對企業而言,個資保護並非一蹴可就,而需將機制融入企業文化、內部控制與稽核制度中,因應未來監管趨勢,應提早檢視現有資安與個資管理制度,更新或建立事故通報流程與機制,以因應新時代的變革。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
