本基金會鑑於全球性對個資保護的修法趨勢及共同打擊虛假新聞,這一二年來已持續宣導推廣個資保護,並對於個人資料保護法修正議題分別於2018年5月23日及2019年4月16日舉辦二次研討會。
在2018年的研討會後發布的新聞稿,曾提出十項建議,其中第一點,設立獨立監管機關( Independent supervisory authorities)之設立,除可承擔訂定標準規範,亦有助於我國接軌國際社會,現行法甚至未設法律主管機關,亟應翻轉思考,修法設置獨立監管機關。第九點,針對跨境資訊移轉,應重新檢視與國際趨勢漸行漸遠的個資法第21條立法意義(現行法律為原則不限制,例外才限制)。
本(2019)年12月24日國發會舉行年終記者會,國發會主委陳美伶表示,台灣為申請成為歐盟GDPR的白名單,預告國發會明(2020)年將啟動《個人資料保護法》修法,其中設立「獨立專責機關」研擬「個人資料保護專責機關」的組織法與「跨境傳輸」這二大癥結點勢必要修正。正好回應本基金會2018年研討會的部分建言,對此表達感謝及歡迎。
此外,本基金會於2019年研討會再度發布新聞稿提醒政府的修法態度,取得歐盟白名單(適格性認定)並非唯一也非第一要務,應併行修法工程,如將申請歐盟GDPR「白名單」,作為政府唯一或是最優先的考量,有點可惜,應可藉此機會,重新審視個資保護及產業發展等問題。本基金會二次研討會邀請學者專家的修法建議如下列可供參考,也請政府繼續努力,以重建我國個資法新面貌。
- 大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。世界各國的個資保護法,乃至歐盟GDPR,其實都不禁止個資蒐集、或無限制保護個資,而是尋求個資與大數據運用的均衡點。自由與安全需要妥協,群眾歡迎大數據帶來的便利,必須在某種程度上犧牲個資權益,但這些容忍、犧牲必須以法律方式,衡量社會不同需求、法益,做出決定。如何平衡「數位創新帶來的福祉」與「個人資料/隱私的保護」就成為嚴肅的話題。
- 特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第2條第1款的規定顯然不足,應修法研擬認定基準。又去識別化後可否回復原狀,也是值得探討的議題。為達個資的「匿名化」,降低「特定個人識別性」,在匿名性及利用價值間取得平衡,個人識別性的標準也需制定。另所謂無法輕易辨識個人之資訊,牽涉到De-identification(去識別化),建議應由第三方專業機構負責認證。
- 關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮。
- 現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。但當事人同意權,可思考資料蒐集時,同意權的拋棄程度或放棄,並限縮同意權在利用端及應告知如何使用個資,例如資料蒐集時,社會上如已認清事實很難要求每一筆蒐集都需經過同意,是否增訂同意權的拋棄程度,並將同意權移列到資料「利用」面,也應注意個人資料範圍的合理程度。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。
- 條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。
- 要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。擁有巨量個資的廠商更應思考Privacy by Design,也就是在個資蒐集利用的系統設計上,就預設最大限度的保護,例如不需要的個資不蒐集、不需保留的不保留、不該看到隱私資料的人不能看,應列為業務推展的優先基礎工作。
- 現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。
網路消費者基本權利的保護,除個人資料保護法外,消費者保護法也已明顯不能因應數位社會,產官學及消費者團體宜共同參與研議修法方向及策略。法律的檢討需要有次序,這牽涉各行各業的發展利益、不同世代的文化價值及華人社會隱私權的重視程度等,須綜合考量整體社會的需要,才能了解那些值得保留,那些需要修改。