來源:TheDigitalArtist (CC0)
四個月前歐盟GDPR(個資保護通則)正式啟動,當天最期盼聽到的消息是中華民國政府宣布個人資料保護法將進行修法,結果再度失望。較諸其他學者,我可能更為失落,回想民國101年8月30日行政院院會通過「個人資料保護法」修正草案,當時鑒於該草案雖係參考1995年歐盟個資保護指令研擬,但歐盟規定又已進行研修,科技發展環境亦有變化,故特別在院會指示:「請法務部於施行一年後,檢視執行狀況,並參考新興科技、自動化處理、網際網路等服務技術、歐美最新個資保護修法趨勢,再做進一步檢討」。
六年來,歷經冗長立法過程,修正條文於兩年前施行,卻不見主管機關動作,也未掌握歐盟GDPR新規震動全球的時機,做任何適時對應的宣示。
過去一年,國內不少財顧公司、事務所開辦許多有關GDPR的課程,但都是指導業者如何因應歐盟新規定,避免在蒐集運用個資時觸法,這些事有必要,也是商機,民間自會料理。至於政府固然不必涉及商業社會的因應細節,但也應考慮國內法律環境是否能搭配科技的發展、能否與國外的立法齊頭並進,進而思考國人個資在境內乃至境外如何獲得衡平的保障?
如果比較2012年與目前立法環境的差異,不難發現科技的突飛猛進扮演極關鍵的角色。2007年第一台智慧手機推出,各式App出台帶動行動科技發展,加上大數據及物聯網的結合,人類生活迥異於以往,網路服務業者基於Data is the fuel of future,蒐集資料無所不用其極,這也是2012年修法當時或許預見但又不敢確信的景象,而且當時歐盟GDPR亦正處於研訂階段,我才會在院會中指示,短期內須有再研修的心理準備及實質準備。而當前資訊科技的進展,乃至於對個資的蒐集、處理、運用,其範圍之大之廣,又遠超過當年的想像,心中不免震撼。
自現行個資法修正施行至今,兩年以來,我先後發表四篇有關數位經濟世代「大數據與小個資」磨合的議題,多少是延續當年院會中的苦口婆心,也試圖凸顯問題的重要性。鑒於法務部對個資法修正研討,雖經溝通,似乎興趣缺缺,人力亦未配置。新世代金融基金會經內部反覆研議,復邀請國內對歐盟法規及個資保護專精之學者專家研討,做成十點修法建議。
巧的是,研討會同日,國發會陳主委表示將訪歐盟,表達台灣取得適足性認定(adequacy decision)的意願,以利個資合法跨境傳輸,同時主委也透露業與各部會協議,日後個資法將移由國發會主政,該會也正申請加入APEC(亞太經合會議)的跨境隱私保護體系(CBPR),雖然尚不涉及修法,但以該會初次接辦個資業務,任事積極觀之,應值得肯定。
不過取得歐盟認定或參與CBPR,都只是消極因應國外已有的機制,如何針對國際趨勢重建我國個資法新面貌,才是當務之急,此其中涉及消費者對大數據的期待、個人隱私的保護、網路服務業者跨境的競爭力、乃至國際合作落實業者的privacy policy等,如何就上開元素適度融合取得平衡,進而寫入個資法修正條文,應該是勇於承擔的國發會往後努力的方向。本基金會已提出修法十大建議,係著眼於國家未來競爭力,涵括大數據與小個資雙贏的局面,相信這也是國發會接手所關心的核心價值。
我不清楚當今府院是否了解數位時代個資保護定位的重要性,但國發會如勇於承擔,總統、院長助選餘暇不妨也關心、鼓勵一下吧!
(本文刊載於2018.09.25.經濟日報)