主辦單位:新世代金融基金會
主持人:陳 冲 (新世代金融基金會董事長)
與談人:范姜真媺(東海大學法律學院)
彭心儀(清大科技法律研究所)
黃乃寬(前證交所副總經理)
蕭白雪(聯合報社會組組長)
時 間:2019年4月16日 上午9點30分
地 點:新世代金融基金會
自2007年,智慧型手機問世,科技日益發達的這十年,個人數據的使用和隱私權保護被廣泛討論。臉書被爆出於2016年外洩5000萬筆個資,並被濫用於美國大選,各國更加重視個資問題。在2018年4月祖克柏於國會作證一周年之時,希望藉由此次研討會,促使政府及各方共同探討本國個資法修法方向。
一、針對獨立監理機關
范姜真媺教授(東海大學法律學院)
日本申請GDPR認證,在歷經三年時間後,通過歐盟適足性認證,已於今年1月底成為「白名單」,而申請的過程中,為了讓歐盟認定其適格性,國內配合GDPR修法,首先即設立「獨立監督機關」,而目前台灣正積極與歐盟洽談,亦希望可以通過GDPR認證,進入白名單。根據日本雜誌調查,在亞洲區的個資保護評比,台灣目前只贏泰國,而就貿易角度而言,台日兩國貿易密切,若不加強個資保護,在日本成為GDPR白名單後,恐造成日後貿易上的困難點。
台灣需設立獨立監督機關,而此獨立監督機關不能具政黨色彩,且建議應為「合議制」機關,因各資保護牽涉個人資料、資訊科技、消費者保護及各行各業,故以委員制形式,綜合各方意見較為恰當。
彭心儀教授(清大科技法律研究所)
台灣目前採「分散式目的事業主管機關」之監理型態確有不妥,應有專責機關負責資料保護與流通。
以英國為例,英國的「資訊辦公室」(Information Commissioner's Office, ICO),主要功能即為「隱私保護及資訊流通的平衡」,當兩者有利益衝突時,此獨立機關須跨部會尋求平衡。獨立監督機構的設立,也應有專門領域之訴願或司法機構(一個完整配套流程)。
而面對GDPR,有幾個點值得大眾思考:
- GDPR的標準是否應作為全球的標準?(其標準是否過於嚴苛? 且考量文化背景不同,華人社會對於隱私權是否有如此高的隱私期待?)
- 台灣需要GDPR嗎?本土化的GDPR應著重哪些面向?所欲保護的價值為何?
- 歐洲因嚴格的個資保護法,造成人工智慧及物聯網(IoT)發展受限,如何在產業發展及個資保護中取得平衡?
- 國內資料保護監理機制應如何設置?
目的事業主管機關對於個資保護,固然有專業,但也可能存在「標準不一致」以及「裁量權過大」的問題,例如,NCC從嚴解釋個資法第20條例外事項,對於有線電視業者蒐集機上盒數據以精準估計收視率,始終持保留態度。但電信業者利用大數據進行行銷,似乎又被允許。
整體而言,設立資訊專責機構是一個可辯論的方向,問題在於制度及配套措施如何設計。
黃乃寬(前證交所副總經理)
常常我們還不自覺,就在提供各種隱私的資訊。許多人認為只要關閉手機上的「位置」選項,Google或是其他App就無法蒐集位置資料,但事實上,我們設定位置為開或關,和任何App是否可以蒐集沒有關係。以Google而言,在關閉時,位置資料只是不存進Location History,以致根據位置放送廣告的活動會暫停,但仍會存進稱作「Web and App Activity」的資料庫。這些紀錄只認設備不認人,足夠分析設備使用者的屬性,甚至再旁敲側擊、旁徵博引,多半可成功標註與此設備相關的電郵帳號、電話號碼等,遊走在可識別個資的灰色地帶。近三年來,美國檢警益加頻繁地經由Google資料庫來協助鎖定嫌疑犯,幫助偵查本來毫無頭緒的重大刑案。個資固然是個賺錢的機會,運用的巧,也有助公益;個資法若規範得當,既可防弊,亦足興利。
精準行銷是社群網路的主要收入來源。許多代理客戶投放「精準廣告」的行銷科技(Martech)業者其實只用到「可定位的設備」大數據資訊來分析對象的屬性,而不用知道設備背後真實的使用者。個資當然有價值,但是擁有價值的法律風險太高,令人卻步。一般企業其實也要付出許多成本來防止執行業務時取得的個資外洩,包括禁網站、過濾郵件、控管端點和防制進階持續性滲透攻擊(Advanced Persistent Threat, APT)等。對於個資,企業切應遵守:不需要蒐集的不要蒐集、不需要保留的不要保留,並且設定權限,使不該看到隱私資料的人不能去看。
蕭白雪(聯合報社會組組長)
國發會日後若換主委,個資保護修法方向是否會受影響,值得觀察。
牽涉行業及廣大利益,若要平衡各方利益,仍需要獨立專責機構。
現行法規及裁罰不明確,業者多有抱怨,不同行業間的標準應一致。
二、針對台灣修法架構:
范姜真媺教授(東海大學法律學院)
個人資料成兩種:「屬性資料」(生物特性)以及「社會活動資料」,保護個人資料是要保護個人資訊自主權,每個人應該可以決定是否公開、如何公開。現今有許多文獻探討,個人資料是屬於人格權或是財產權,若是屬於財產權是否代表可以交易?
歐美兩方針對個資保護議題立場不同,歐洲因為歷史文化,相對重視弱勢階層的人權,而美國雖然有規範聯邦政府蒐集個資的條文,但針對民間企業仍無相關規範,因美國是資本主義國家,個資對他們而言是一個發展經濟的工具。日本雖通過GDPR認證,但其國內立法並未全部複製GDPR,在GDPR中的被遺忘權及描繪(Profiling)皆未納入條文中。
在大數據運作的時代,需要特別強到個資的「匿名化」,降低「特定個人識別性」,在匿名性及利用價值間取得平衡,而匿名/假名應作區別,個人識別性的標準也需制定。
彭心儀教授(清大科技法律研究所)
修正個資保護法,最核心的問題是:台灣在數位經濟時代,需要什麼樣的隱私保護架構?
現行個資法的主要支柱已動搖,亦即,「同意權」的行使,諸多情況下,已不可行或不具意義。這是一個蒐集資料無所不在的新世界。現代社會應先認清,現今已經很難要求每一筆蒐集都需經過當事人同意,且無法在蒐集之際說清楚未來所有可能之「特定目的」,故在「蒐集」的階段,嚴格的同意權或許不可能繼續存在。因此,同意權應該在資料「利用」階段被強調,告知當事人將如何利用個資。
至於財產權問題,個人以為,越是原始(Raw Material)的資料,越屬於個人,應當從嚴保護,加強行政監理。反之,月是被加工統計處理的資料,甚至關於群體行為模式者(無法輕易辨識個人之資訊),則越屬於資料處理者,應賦予財產權,讓其充分發揮數據力量。
核心問題在於De-identification(去識別化),建議應由第三方專業機構負責認證,進行再識別化(Re-identification)測試等,以科學方法檢驗再次辨識個人之可能性。此外,「間接」個資,應從嚴解釋,以避免個資範圍過大。
黃乃寬(前證交所副總經理)
貧富不均,自古而然,農牧社會如此,資訊時代尤甚。向來,隱私權是富貴人家的特權,貧寒子弟的奢望。She’s entitled to no privacy without first having a room of her own. 資訊時代,個資的使用權顯然偏向資訊強勢的那一方。且看現今科技巨頭挾其強勢寡占,除非不使用他們的服務,不然只能提供個資,沒有隱私可言。良法的設計應使這種衝突不至惡化。譬如,為商業目的取得的可識別個資必須在一定年限後去識別化;為監理目的取得的可識別個資在一定年限後,亦應擇可公開部分去識別化,供統計分析等公益目的使用。證交所每日盤後公布證券商的進出表(曾有客戶極少的外資券商反彈),也把超過一年以上的委託成交檔等歷史資料去識別化以後供業者與學者研究,皆為其例。
個人資料已經是一種財產權,而如何運用、所謂特定目的外的使用是指哪些?數據應用於營利和隱私權的界線該如何界定值得思考。
- 國發會曾表示本國個資法是很先進的立法,但據日本雜誌BUSINESS LAW JOURNAL 2018 No.127 第10期個人資料保護專刋,調查亞洲各國個資保護排名,臺灣排名倒數第二名。我國個資法修法應不要預設立場,應有此意識才能共同討論。
- 法律的檢討需要有次序,這牽涉各行各業的發展利益、不同世代的文化價值及華人社會隱私權的重視程度等,須綜合考量整體社會的需要,才能了解那些值得保留,那些需要修改。例如資料蒐集時,社會上如已認清事實很難要求每一筆蒐集都需經過同意,是否增訂同意權的拋棄程度,並將同意權移列到資料「利用」面,也應注意個人資料範圍的合理程度。
- 要保護消費者個資,就不應淪為形式保護,而應實質保護。目前採「分散式目的事業主管機關」之監理型態,幾陷於無人監督個資法之遵法情形,並形成金融業、上市櫃公司的嚴格遵守寸步難防,而其他行業肆意搜集處理利用個資之一國多制的現象,確有不妥。若有設立獨立專責機關,考量各產業蒐集資料的屬性而有作差異化保護(例如金融交易的資訊和一般購買商品的資訊),應可以要求保護程度接近(不可能完全相同,安全等級不同)。
- 對於申請為歐盟GDPR「白名單」,作為政府唯一或是最優先的考量,有點可惜,應可藉此機會,重新審視個資保護及產業發展等問題。日本申請GDPR認證,在歷經三年時間後,通過歐盟適足性認證,已於今年1月底成為「白名單」,而申請的過程中,為了讓歐盟認定其適格性,國內配合GDPR修法,首先即設立「獨立監督機關」。