取得歐盟白名單(適格性認定)並非唯一也非第一要務,應併行修法工程,重建我國個資法新面貌。
世界各國的個資保護法,乃至歐盟GDPR,其實都不禁止個資蒐集、或無限制保護個資,而是尋求個資與大數據運用的均衡點。自由與安全需要妥協,群眾歡迎大數據帶來的便利,必須在某種程度上犧牲個資權益,但這些容忍、犧牲必須以法律方式,衡量社會不同需求、法益,做出決定。如何平衡「數位創新帶來的福祉」與「個人資料/隱私的保護」就成為嚴肅的話題。
新世代金融基金會於本(2019)年4月16日,由陳董事長冲主持,邀請范姜真媺教授(東海大學法律學院)、彭心儀教授(清大科技法律研究所)、黃乃寬(前證交所副總經理)及蕭白雪(聯合報社會組組長)擔任與談人,研討「由臉書祖克伯國會作證週年展望我國個人資料保護」。
緣本基金會曾於2018(107)年5月23 日的「個人資料保護法研討會」研討會呼籲政府全面翻修我國個資法,以因應國際趨勢,並提出十項建議,提供政府啓動修法之參考。適值2018年3月間爆出臉書(facebook)2016年之個資外洩濫用事件後,自祖克伯(Mark Elliot Zuckerberg)同年4月11日在美國國會作證一周年之時,及從歐盟2018.5.25開始實施之「個人資料保護通則」(The General Data Protection Regulation , GDPR)已近一年,僅見媒體報導申請加入APEC跨境隱私保護體系(CBPR ,cross-border privacy rules)或取得歐盟認定台灣適足性(adequacy decision),尚未見報導政府提出我國個人資料保護法制的修法策略,希望藉由此次研討會,促使政府及各方共同探討本國個資法修法方向。
本次研討會各位與談人熱烈討論,提出很多令人深思的觀點及建議,例如:
- 日本個資保護法並不全然接受歐盟規定,我們是否需要採納個資保護最嚴格的歐盟GDPR規格,應該去檢視GDPR規定,考量其標準是否過於嚴苛、文化背景及是否造成人工智慧及互聯網的發展受限,如何在產業發展及個資保護中取得平衡?
- 網路消費者基本權利的保護,消費者保護法、個人資料保護法,已明顯不能因應數位社會,產官學及消費者團體宜共同參與研議修法方向及策略。
- 消費者應該不否認經大數據分析,透過行動科技,廠商確有可能提供進一步的售後加值服務,或創造衍生商機。但也會破壞所有權的完整及對個資的侵害。因此,特別需要個資的「匿名化」,降低「特定個人識別性」,在匿名性及利用價值間取得平衡,而個人識別性的標準也需制定。另外,所謂無法輕易辨識個人之資訊,牽涉到De-identification(去識別化),建議應由第三方專業機構負責認證。
- 數位經濟時代,個人資料除涉及資料主體的基本人權-人格權外,亦涉及財產權-所有權,應先釐清所有權歸屬,以確認資料自主權範圍。
- 當事人同意權,可思考資料蒐集時,同意權的拋棄程度或放棄,並限縮同意權在利用端及應告知如何使用個資。
- 擁有巨量個資的廠商更應思考Privacy by Design,也就是在個資蒐集利用的系統設計上,就預設最大限度的保護,例如不需要的個資不蒐集、不需保留的不保留、不該看到隱私資料的人不能看,應列為業務推展的優先基礎工作。
最後主席建議就本次研討會提出的議題及觀點,期待於下次研討會再續予討論,並提出政府修法的態度:
- 國發會曾表示本國個資法是很先進的立法,但據日本雜誌BUSINESS LAW JOURNAL 2018 No.127 第10期個人資料保護專刋,調查亞洲各國個資保護排名,臺灣排名倒數第二名。我國個資法修法應不要預設立場,應有此意識才能共同討論。
- 法律的檢討需要有次序,這牽涉各行各業的發展利益、不同世代的文化價值及華人社會隱私權的重視程度等,須綜合考量整體社會的需要,才能了解那些值得保留,那些需要修改。例如資料蒐集時,社會上如已認清事實很難要求每一筆蒐集都需經過同意,是否增訂同意權的拋棄程度,並將同意權移列到資料「利用」面,也應注意個人資料範圍的合理程度。
- 要保護消費者個資,就不應淪為形式保護,而應實質保護。目前採「分散式目的事業主管機關」之監理型態,幾陷於無人監督個資法之遵法情形,並形成金融業、上市櫃公司的嚴格遵守寸步難防,而其他行業肆意搜集處理利用個資之一國多制的現象,確有不妥。若有設立獨立專責機關,考量各產業蒐集資料的屬性而有作差異化保護(例如金融交易的資訊和一般購買商品的資訊),應可以要求保護程度接近(不可能完全相同,安全等級不同)。
- 對於申請為歐盟GDPR「白名單」,作為政府唯一或是最優先的考量,有點可惜,應可藉此機會,重新審視個資保護及產業發展等問題。日本申請GDPR認證,在歷經三年時間後,通過歐盟適足性認證,已於今年1月底成為「白名單」,而申請的過程中,為了讓歐盟認定其適格性,國內配合GDPR修法,首先即設立「獨立監督機關」。