個資法修正避重就輕 非不能也實不爲也

(圖/本報系資料照)

行政院日前通過《個人資料保護法》修正案,其新聞稿指出,有鑑於近期個資外泄事件已造成社會大衆高度關注,爲了防堵詐騙,並期「符合憲法法庭111年第13號判決意旨、國家人權行動計劃的規劃及國際趨勢」,乃修訂3項條文,包括提高民衆個資外泄事件的相關罰責,隨即將函請立法院審議。

三項新的條文,一是設置新的委員會作爲主管機關(第1條之1);一是規定新規定的施行日期(第56條);一是加重課加防範個資外泄的法律責任(第48條)。

施行日期條文暫可置之不論;設置新的獨立主管機關,頗符合若干論者的期待,由於組織立法尚未出爐(依《中央行政機關組織基準法》,獨立機關之組織應以法律定之),如何獨立運作,運作效益如何,恐皆言之過早,尚待觀察。值得討論的主要就是加重民衆及企業個資外泄的法律責任,以及還有什麼該修正卻未修正的地方?

先看所提到憲法法庭關於健保資料庫的判決,它是這樣說的:

主文:「由《個人資料保護法》或其他相關法律規定整體觀察,欠缺個人資料保護之獨立監督機制,對個人資訊隱私權之保障不足,而有違憲之虞,相關機關應自本判決宣示之日起3年內,制定或修正相關法律,建立相關法制,以完足憲法第22條對人民資訊隱私權之保障。」

理由:「就資訊隱私權之保障而言,除應以法律明確訂定搜用個資之目的及要件外,應配合當代科技發展,運用足以確保資訊正確及安全之方式,並對所蒐集之個資採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨。」

現在看到的修法,組織上的新辦法暫不具論;所採取程序上的防護措施,就只有加強民衆及企業個資外泄的法律責任而已。在獨立機關的監督機制成形之前,以之作爲主要的外泄防護手段,肯定不足。因爲可能發生大規模個資外泄的單位必然不會只有私部門機構,政府機關也常是竊取個資者的重要下手對象。沒有足夠的規範對應於公務機關個資維護不周的法律責任,原就是《個資法》的重大欠缺。

尤其近年實際上發生的公務機關個資嚴重外泄,絕非孤立的事件;後續的調查或追究責任,多是諱莫如深。現在的修法草案卻依然只是加重民間社會的外泄責任,卻對公務機關防範外泄應該採取的必要程序,以及如何提升其防範不周招致外泄的注意責任,全無着墨;以此防堵詐騙,難道不是明察秋毫而不見輿薪?

嚴防私部門卻寬縱公部門,在《個資法》條文中不是孤例。例如第25條規定,非公務機關違反規定時,可以公佈非公務機關的違法情形,及其姓名或名稱與負責人;公務機關違反規定時,就缺乏類似的規定。第12條規定,公務機或非公務機關違反規定致使個人資料被竊、泄漏、竄改或受侵害者,應查明後通知當事人,以便其有所防範。但對於違反外泄通知義務者,只對非公務機關訂有罰則(論者尚以爲罰則過輕,通知義務幾乎只有裝飾功能,猶其餘事);卻對公務機關違反通知義務時無任何處置。

如此一來,通知義務成爲訓示規定,豈非具文?這樣的防衛機制,不過是法條上的表面功夫罷了。公務機關執行《個資法》不力,如何懲前毖後?現行法的規定,幾近束手無策;修法草案也完全無心切實檢討改進。

以如此簡陋的修法草案,敷衍憲法法庭關於檢討《個資法》的諭示,避重就輕的態度可議,《個資法》品質堪慮,只能說提案部門非不能也,實不爲也!(作者爲東吳大學法律研究所教授)