2013年9月30日 星期一

個資修法大追蹤,3爭議條文仍待立法院審議

個資修法大追蹤,3爭議條文仍待立法院審議

個資法上路將滿1年,但仍有3條爭議條文,仍停留在立法院審議中,此外,專家也對間接識別個資方式與委外監督條款,提出修法建議

個人資料保護法正式上路前,法務部匯整產官學界對法條的意見,針對爭議過多、窒礙難行的法條,提出個資法修正草案陳報行政院,行政院於2012年8月30日通過,同年9月6日已函送立法院審議。

不過,由於立法院尚未完成修法,所以,個資法在同年10月1日正式上路時,其中有2條條文先行凍結,總計56條法條僅54條正式施行。

法務部表示,立法院司法及法制委員會已於101年12月26日開會審查,進行修正草案的大體討論,尚未逐條審議完畢,法務部仍將積極與立法委員持續溝通,推動法案通過。

法務部提出的個資法修法的內容,分別是第6、41、54條。

個資法第6條,針對特種個人資料蒐集處理利用的條件要求過於嚴苛,修正草案擬新增「為維護公共利益所必要」及「經當事人書面同意」這兩項例外使用要件,並將「病歷」一併納入,成為特種個資所屬範圍。目前,特種個資仍比照一般個資規範

而第41條的部分,法務部表示,非意圖營利刑事責任涵蓋範圍過廣。為了符合比例原則,修正草案擬取消非意圖營利的刑事罰則,未來若是非意圖營利,而誤觸個資法者,將取消刑事責任,而以民事損害賠償與行政罰則求償

為了配合第41條的修正,第45條也會,將原本有關非意圖營利的文字,「第四十一條第二項」中的「第二項」直接刪除,但要注意的是,僅移除非意圖營利者的刑事責任,並非意圖營利者的刑事責任也連帶移除了

至於第54條,因為某些企業在個資法正式上路前,就擁有大量個資,若是要補行告知,所費成本過大,也很難在期限內完成。

達文西個資暨高科技法律事務所主持律師葉奇鑫舉例,證交所擁有600萬散戶的資料,假設通知每一位當事人所需成本50元,全數通知就需要3億元,並不符合比例原則。除了證交所之外,老牌雜誌業者、大型電子商務網站都會面臨這樣的問題。

所以,修正草案擬將修改為,企業間接取得的個資,只要在使用或處理前告知當事者即可,無須在施行後1年內完成當事人告知。

委外條款立意良好,但中小企業難以執行
除了這3條條文之外,多位個資法專家也提出,個資法特別設立委外監督條款,雖然立意良好,不過,企業在執行面上確實有其難處,葉奇鑫甚至直言,這部分的法律規範是有問題的,他舉例,假設一家規模不大的公司,向電信業者租用機房,在規模不對等的情形下,小企業幾乎不可能進入機房檢查各項防護設施是否完善,無法落實委外監督的責任。

葉奇鑫建議,委外監督可以搭配幾項條件限制,讓中小企業更容易執行,像是委託的個資量達到多少筆才需要監督、受委託的企業已有國際認證的個資或是資安證照,就無需檢查等等。

間接識別個資定義無遠弗屆,需更為明確精準
另外,葉奇鑫也建議法務部必須更精準的定義何謂間接識別的個人資料,就目前施行細則的定義來看,間接識別的個資定義範圍過廣。

葉奇鑫舉例,若是遺落在地上的頭髮,拿去做DNA檢測,再從DNA基因資料庫比對找到當事人,這樣算不算是間接識別的個資呢?

葉奇鑫也指出,在美國是以垃圾郵件法來管理電子郵件地址,不過臺灣並沒有相關的法條,若是依照目前間接識別個資的定義,電子郵件也算是個人資料的一種,然而,單純的電子郵外洩件,對於多數人來說,並不會造成太多的困擾。

個資法是要保護重要的個資,還是只要和當事人有相關的資料都納入保護的範圍,這部分仍有待商榷。

此外,臺灣個資法是針對OECD(經濟合作暨發展組織)和APEC(亞太經濟合作會)的隱私權綱領修正而來,當時參考的是1995年釋出的版本,不過,歐盟則在去年著手修法並釋出草案版本。

勤業眾信副總經理萬幼筠表示,為了因應社交網路、雲端科技等新興科技,歐盟的草案版本變動較大的部分是增設「被遺忘權」與「刪除權」,代表若當事人不希望個資在網路上流傳,可要求網站業者將其資料全數移除,徹底消失,讓其他人再也搜尋不到。

法務部函請外交部掌握歐盟修法進度,作為日後修法的參考
法務部表示,目前歐盟會員國針對「歐盟一般個人資料保護規則修正草案」內容尚有爭議,歐盟理事會迄今尚未決議通過,法務部也已函請外交部代為蒐集草案修法進度,以掌握歐盟有關個人資料保護法制之的法趨勢,做為未來個資法修法的參考。

法律條文的制定要一次到位,可說是天方夜譚,NII產業發展協進會執行長吳國維表示,法務部應多舉辦聽證會和產官學界溝通,吸取各界回饋,並參考國外的經驗與作法,並擬定宣導法條的配套措施,才能讓臺灣的社會文明更進步。

誰來負責監督公務機關落實個資法規範
2010年,個資法正式頒布之後,企業因為鉅額罰款,憂心忡忡,合盛法律事務所律師張紹斌表示,法務部當初修訂個資法時,是為了要喝止詐騙集團非法蒐集個資,所以,綜觀目前臺灣個資法法條規範,對於非公務機關的要求非常嚴格,反而沒有以相同的標準來要求公務機關落實個資保護。

張紹斌舉例,德國就設有德國聯邦資料保護官機構,全權負責監督公務機關與非公務機關資料保護工作,而臺灣卻沒有這樣的單位,和其它擁有個資法的國家作法大為不同。

目前,非公務機關有中央事業目地主管機關監督,但公務機關卻無人負責管理。各界多數的印象會認為法務部是個資法的主管機關,不過,法務部僅負責法條研擬與修正,以及回覆各界對於法條的疑問,除非獲得行政院授權,否則法務部並無權懲處未執行個資保護措施,或是濫用個資的公務機關,這也是臺灣個資法仍需努力之處。

轉載自《iThome》