vTaiwan 個資與隱私保護專責機關意見徵集整理

緣起

個資與隱私保護專責機關

參照國際立法例,有制定個資法、隱私法的國家都有專責機關,如英國、加拿大、日本、南韓、新加坡、菲律賓,以及馬來西亞等。各國個資與隱私保護主管機關均具有專責性,但獨立性的內涵則不盡相同。我國定有個人資料保護法,但各目的事業主管機關於適用個資法時偶有出入,為統一個資法適用的法律爭議,未來似應可考量設立個資與隱私保護的專責機關。

在進入討論階段前,vTaiwan 籌備團隊為先瞭解各方對此議題關注的焦點,因此發起意見徵集方向之問卷。

下列意見摘自 2017 年 11 月 8 日至 12月 31 日,以滾雪球方式(團體推薦)進行之網路調查,共接觸 155 位專家學者及公民團體

意見徵集結果

個資與隱私保護專責機關成立之必要性

認為有必要成立專責機關之理由:

  1. 專業能力與研究能量較為充足:執行需要相關專業知識,且專責機關較有能力針對個資與隱私保護進行相關研究,如國際規範或他國作法,對於個人資料與隱私保護能有更長遠的想法與預測。
  2. 統一法令解釋,避免解釋歧異:個資保護橫跨各目的事業,專責機關能統一解釋個人資料與隱私保護之相關法令、增加法規透明度。避免多頭馬車或見解不一,導致企業無所適從的情況。
  3. 權責區分,事權統一:目前主管機關權責不足,專責機關將避免各個單位都管,結果最後機關彼此卸責的問題。
  4. 科技發展擴大影響層面:因網路時代資訊科技發展,個資與隱私保護侵害所可能產生之潛在損害將越來越大。數據是未來的重要資源,其使用與管理,不管是針對興利或防弊都需要專責研討。在數位時代,資料的蒐集、處理、利用方式因科技進步與被大幅利用,已與行政機關的業務或市場經濟的發展再也分不開,也因此稍有不慎,這樣的結合可能會使政府擁有過大權力行國家監控或對不同族群的人民行差別待遇,或使商業公司得以任意操弄消費者的偏好或情緒以改變其生活處境或判斷等。
  5. 實踐個資法的執法:專責機關能確保個資法之執行,也避免某些主管機關或對某些行業較積極監督管理,其餘則較鬆散的情形、降低違法利用個人資料的相關犯罪(如詐騙),避免政治勢力介入。
  6. 順應國際潮流:相較國際我國對個資保護較弱,成立專責機關有利於國際間資料傳輸以及與國際相關組織的合作,如歐盟GDPR採用專責單位的設計。
  7. 個資很重要:隱私權為憲法保障之基本權,個資法通過後人民將依個資法行使其權力。當行使活動增加時,相關衍生問題有可能伴隨發生,因此設立專責機關有其必須性。
  8. 增加議題熱度:我國政府現下並不重視這些重要法案的推動,需要更多的人關注
  9. 我國個資受侵害的情形普遍,難以求償:我國個資隱私資料外洩事件頻傳,且事發後民眾難以找出共同受害者。普遍缺乏相關認知,易遭有心人士利用於詐騙或其他不法行為。目前眾多單位皆會以星號*做為遮蔽,然而因沒有統一規範,各單位遮蔽位置不一。實務上一個人手中所持有文件絕非一份,眾多文件組合下,星號並無具體效用。
  10. 台灣目前的《個人資料法保護》是交由各目的事業主管機關去落實,法務部則為解釋機關,這樣的分工不僅容易使《個資法》法律解釋的公正性遭人質疑外,也會使人民的隱私受到各部會標準不一的保護。且更會因各部會的主要職掌並非隱私保護,以及隱私權傷害幽微不易察覺的特性,使其容易淪為該部會在落實其主要業務時首要犧牲的權利。 
  11. 在數位時代,資料的蒐集、處理、利用方式因科技進步與被大幅利用,已與行政機關的業務或市場經濟的發展再也分不開,也因此稍有不慎,這樣的結合可能會使政府擁有過大權力行國家監控或對不同族群的人民行差別待遇,或使商業公司得以任意操弄消費者的偏好或情緒以改變其生活處境或判斷等。類似的案例世上舉目皆是。當一個國家缺乏隱私專責機關,沒有人可以去客觀衡量公、私部門的政策或營業模式對隱私保護的衝擊,人民若要得以保有一個基本自由養成的空間,可能只能倚賴運氣與福份。
  12. 人民要有知的權利

對於個資與隱私保護專責機關的想像(如條件、功能⋯⋯)

  1. 條件
    1. 具備獨立性
      1. 人事獨立:
        1. 不應官派:不受他人指示,人避免現行許多機關採用官派,導致被官派人無具備該機構相關經驗,而影響機關執行成效
        2. 僅受該機關主管或國會的指揮:人事任命原則上應僅受該機關主管或國會的指揮,並且該機關應可選擇自身的員工,而除非有重大原因,否則無論委員或員工都不應受其他上級行政機關的指揮甚至更換
        3. 民間委員應過半
        4. 組成應多元,利害相關

      2. 財務獨立:同理,財務的獨立也保證其多數時刻不受上級機關支配。

  1. 要有位階明確且足夠的機關踐行個資法的保障跟監督
  2. 個人資料保護應免於政治、公益團體的介入方能贏得人民的信任
  3. 對於保護個人資料與社會利益,必須要獨立於行政難易度與權力之外
  4. 人事獨立:具人事、財務上的獨立性。
    1. 分級控管:
  5. 擬定保護等級並針對需求給予證書, 查驗保護等級並依法監督或進行查驗
  6. 不同場域需要的資訊量與保密性不一,應該是資訊保密程度差異的問題。
  7. 進行統一解釋、宣導、教育等工作。
  8. 應適當管理,而非一味禁止利用
  9. 專責機構可迅速、專業處理這類型的案件糾紛。
  10. 要能指揮及監督公務機關和非公務機關
  11. 可以適度與電信單位
  12. 能與司法單位合作
  13. 具備專業知識:
  14. 需有專業的法律知識
  15. 技術專業知識(如資安、電腦及網路安全檢查能力,或能進行滲透測試)
  16. 產業意識
  17. 對新科技、新商業模式的適應力及彈性
  18. 高度人權自決意識
  19. 具備準司法性
  20. 必須了解個資與應用間之平衡,不可僅偏個資保護
  21. 接受民眾申訴
  22. 在人事、財務上要有充分資源,並
  23. 資源充份能確保其有效行使職權。
  24. 應具備一定程度的調查權與糾正權。
  25. 得在適當時刻開啟司法程序的權限,以維持其積極保護隱私的能力。(能在特定時刻,去要求受檢查的一方出示其如何管理個人資料的資訊,或是在確認有違反法律的情形時,命令受檢查方改善(具體如何運作可再討論))
  26. 應要能去實際參與其他機關的政策制定,就可能造成的隱私風險提出有效的建議或評估。 
  27. 他應設法提升民眾的隱私意識,使人民了解自身有何權利可主張,又要如何行使。
  28. 因應科技發展,在現代社會生活時,其權利何時可能受到限制,或甚至受到不當侵害。
  29. 許多隱私問題不能等待法院作成判決之後才能明確。獨立機關可提供事先的規則供機關遵循,而且可避免由各中央部會主管機關解釋時,球員兼裁判的問題。

認為沒必要成立專責機關之理由

  1. 這政府因應議題已經夠多「組織」了

以下整理中

需要對於相關的國際規範及其執行方式有一定程度的了解與施行能力

若獨立性導致該機關設立有高度困難,應先求有(專責性),是否再求好(獨立性),下一階段再說,先有專責機關吧,不用一步到位,否則此議題討論,永遠呈現空轉現象,無法誕生個資保護機關。至於其他條件尚須第三、分工性(橫向與中央目的事業主管機關分工模式建立,縱向與地方政府分工模式建立,不是全部由中央個資專責機關來做)。第四、國際性,單一專責機關更方便加入個人資料保護國際組織,始有辦法處理跨境個資保護議題(例如以下國際組織尚不要求到獨立性:APEC CBPRs、亞太區私隱機構組織APPA,尤其APPA入會資格只要是APEC CBPRs會員即可加入,一魚兩吃,參考http://www.appaforum.org/about/)。

個資管理需要專責,但建議應在資安的大架構下建立

要有解釋權力,釋疑,並能透明開放與民眾溝通

足夠資源

中立、廉潔、知法、守法

可以保護與仲裁,行政處份

溝通協調性:與各部會溝通協調各部會應負之責任

具保護性

不受行政機關的掌控(權力分立)

合議制機關,並公正獨立

獨立性

合議制機關,獨立於行政院之外

需為和議制度

需獨立於行政院以外

法律授權明確性

最大的問題不是獨立機關跟權力,而是知識跟人手不足。

具有執法的能力。包括受理民眾申訴,以及調查違規案件的權力。

依法獨立行使職權,不受其他機關還有政治力量干預

公正性

獨立行使職權,不受政治干預

需要有資訊專業人員與法律專業人員

必須要有一定的地位,不然意見容易被其他機關吃掉

相關專業人士

教育性、公益性

衞福部即可

政治中立

強制力,能夠介入案件監督個資事宜

能以多重角度,看待個資議題

個人資料防護是IT技術密集之工作,「十年磨一劍」,  歐盟於人才培訓已歷10年,GDPR公布後尚有2年之準備期,美國則進行10年(FY2011~2020)的實作試點(1計畫1~2年,政府補助約US$2,000.000);舉例而言,「被遺忘權」之實作技術,美國及歐盟均有行政罰則且ISO已有其技術標準並納入ISO/IEC 27002/27018等之技術控制,於我國至今幾無人實作之;淺見,宜參照歐盟或美國「技術先行」的策略,俾此「個資與隱私保護機關」具備應有之IT技能知識,方不重蹈將「網路實名制」之技術控制標準(CNS(ISO/IEC)29191)誤為「資料去識別化」驗證標準之覆轍。

能解釋實務問題,不只是法條。具法律,資訊,管理等背景之人才

組織層級不宜太低

捍衛隱私權其實亦屬於捍衛人格權,不應該以國家高權、媒體炒作煽腥的角度任意踐踏,因此專家、學者之參與組成有其必要性

透明:將「資訊公開」納入成立的核心原因,務必力求公正、公開

公開性, 專業程度

專業性,了解數據經濟對於大公司到個人,對於國家或個體的想像與影響

要有標準作業流程,與警政單位合作,當刑事局高風險賣場報案紀錄在短時間內出現累積一定數量受害者的電商(例如1個月內累積200人報案),這個機關要主動介入,積極監督、開罰該業者改善資安,而不是放任ez訂這種爛業者,持續個資外洩一整年。

主動性:若有企業有個資外洩的嫌疑,且民眾有反應,應該要去調查

要提供民眾檢舉,還要有申訴管道,政府推個資法,卻讓公家機關,企業,電商,個資不斷外洩,老百姓求助無門,無處可申

可以隨時能督導或是監控台灣電商個資外洩的情形

結合各領域專家合作執行。

做好解釋適用和畫好低標,給予個別領域自治空間

是獨立機關,合議制,該機關之處分相當於訴願決定,可直接提行政訴訟

必須具足夠公權力行使個資法所賦予之權限

政府機關,各縣市也有配置次級單位

獨立於政府機關部門外的委員會議性質