文/蕭奕弘、張岑伃
民國 99 年個人資料保護法(下稱個資法)大幅修正,將原本的「電腦處理個人資料保護法」更名為「個人資料保護法」,規範所有公務機關及非公務機關,涵蓋紙本及數位個人資料保護,讓我國個人資料保護邁入新的里程碑。然而,相較於歐盟一般資料保護規則(GDPR)規定各會員國應設置至少一獨立監管機關,比如裁罰 Google、臉書等社群平台鉅額罰款的法國 Commission Nationale de l’Informatique et des Libertés–CNIL,由獨立機關來負責個人資訊隱私的保障,我國個資法並未規定主管機關,而是將個資管制的權限分散在中央目的事業主管機關及地方直轄市、縣(市)政府。
針對這個情況,憲法法庭在 111 年憲判字第 13 號健保資料庫一案中,指出就資訊隱私權的保障,應配合當代科技發展,採取組織上與程序上必要之防護措施,而獨立監督機制則為重要的關鍵制度,以確保個資蒐用者對於個資之蒐用,均符合相關法令之規定,增強個資蒐用之合法性與可信度。憲法法庭因此要求相關機關在判決宣示之日,也就是 111 年 8 月 12 日起的三年內,建立個人資料保護獨立監督機制,以完足憲法第 22 條人民資訊隱私權的保障。
個資法因此進入修正新時代,先是在 112 年 5 月 16 日三讀通過個資法第 1 條之 1、第 48 條、第 56 條修正草案,除了將非公務機關違反安全維護義務的裁罰方式修正為逕行處罰同時命改正、提高罰鍰上限至新台幣(下同)1,500 萬元以下罰鍰外;另一修正重點即是增訂由「個人資料保護委員會」擔任個資法主管機關,以回應上開憲法判決的要求,並解決原先個資法分散式管理下衍生的實務監管問題。雖然憲法判決使用的文字是「獨立監督機制」,而非獨立機關,就監督機制如何設置,給立法機關較大的裁量空間,憲法判決理由中的註腳則以 GDPR 要求會員國設立獨立監管機關為例加以說明。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
針對憲法法庭的要求,行政院於 112 年 12 月 5 日設立中央三級機關「個人資料保護委員會籌備處」(下稱個資會籌備處)。
個資會籌備處進一步自 113 年 12 月 21 日起,預告修正個資法中有關個資會相關職權行使內容,這份草案目前已經送進立法院審議,由於憲法法庭設下的三年期限,即將在今年八月中旬屆滿,這份影響個人資料保護未來發展的法案,值得我們加以重視。
本次修正草案重點包含:
- 個資會統籌訂定個人資料檔案安全維護事項及管理機制
由於現行條文規定公務機關及非公務機關的個人資料檔案安全維護事項(下稱安維事項),是由各公務機關或各非公務機關之中央目的事業主管機關,各自就其實際組織及業務情況自行訂定,導致實務存在部分公務機關或中央目的事業主管機關並未訂定,或雖有訂定,但規範不一等問題。
本次修正草案為了確保各公務機關及非公務機關縱使在不同職務及業務下,應遵守的安維事項仍可達成一定標準,因此修正由個資會統籌訂定。
本次修正草案由個資會統一訂定供公務機關及非公務機關遵守之安維事項,應能解決現行因各安維事項辦法寬嚴不一,導致受多個中央目的事業主管機關監督的非公務機關額外提高的法遵成本問題。 - 公務機關設置個人資料保護長
我國在「2022 年至 2024 年國家人權行動計畫」中,即針對數位人權保障提出依循國際趨勢設置個人資料保護官的政策規劃。本次修正草案衡酌個資保護的廣泛性及高度變化性,從原本個資法規定公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,更進一步要求公務機關應設個人資料保護長,由機關首長指派適當人員兼任,並配置適當人力及資源,負責統籌推動及督導考核、監督個人資料保護相關事務。
至於私部門是否要設資料保護長,則不在這次草案之中。草案說明指出考量資料保護長新制對組織文化衝擊及資源配置等影響,以及憲法判決涉及的是公務機關資料庫,因此這次修法優先由公務機關推動實施資料保護長制度。 - 個資事故通報及當事人通知
當公務機關或非公務機關發生個人資料遭竊取、竄改、毀損、滅失或洩漏等個資事故時,現行個資法固然要求機關應查明後以適當方式通知當事人,但並未明定應通報主管機關,僅在施行細則中列為機關得採行之安全維護措施事項,由中央目的事業主管機關個別要求,於此不利當事人資訊隱私之保護。
因此本次修正草案明定當公務或非公務機關發生個資事故時,應向特定機關通報。公務機關應向主管機關個資會及上級個資監督機關,非公務機關則應向主管機關個資會通報,再由個資會轉知目的事業主管機關。
此外,草案也要求機關發生個資事故時,應採取即時有效之應變措施,防止事故之擴大,記載相關事實、影響、已採取之因應措施,並保存相關紀錄,以便主管機關查驗。此外現行條文規定機關於事故發生後通知當事人的時間點為「機關查明事故後」,在實務上發生通知時點不明確的問題,修正草案刪除「查明後」這個要件,為及早使當事人知悉事故,供其自主評估權益損害及採取應對措施,本次修正草案規定知悉個資事故時,即應通知當事人,符合「一定通報範圍時」,即負有主動通報主管機關義務。
通知當事人、通報主管機關通報之內容、方式、時限等相關事項,則交由主管機關制定,以其明確。至於何謂「符合一定通報範圍」,具體標準為何,須待主管機關進一步指引。 - 建立差異化行政檢查機制
在個資法於 112 年 5 月 16 日三讀通過前,行政院鑒於個資事故頻傳,在同年三月即先採行「防止非公務機關個資外洩精進措施」,已擇定個資外洩高風險事業優先強化行政檢查,確認相關行業之個資保護落實情形。
就行政檢查作業之規劃、評估方式、考量因素、政府機關協力事項,草案說明中並指出除針對已有具體違法跡證外,亦應建立差異化檢查機制,妥適決定發動檢查之對象、次序及頻率,以符合比例原則,並提供程度不同的檢查方式,以供選擇運用。
包括:通知陳述意見、通知提供必要資料、會同中央目的事業主管機關或地方縣市政府派員進入檢查。 - 未竟之功:違反通知或通報義務之裁罰金額較低
99 年制定的個資法裁罰金額上限僅為 20 萬元,因個資事故頻傳,促成 112 年 5 月 16 日三讀通過個資法,將非公務機關違反安全維護義務的裁罰方式修正為逕行處罰,並提高罰鍰上限至 1,500 萬元以下罰鍰,大幅調高裁罰金額。
然草案對違反通知、通報義務等違規行為,裁罰金額仍然維持 2 萬元以上 20 萬元以下罰鍰,並未與時俱進,是否足以讓非公務機關自主強化個資法遵要求,於個資事故發生時,能善盡通知及通報義務,尚有疑義。
[ 推薦文章:ISO 27701 新版將面世,PIMS 標準出新版,個資保護國內外升級 ]
結語
整體來說,本次修正草案強化個資會職權、補強個資事故通報及通知機制、強化主管機關行政檢查機制,開啟我國由專責機關落實個資保護的新篇章。目前草案已經在立法院審議中,值此轉型關鍵時刻,企業亦應積極因應即將上路的個資保護新規範。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
