個資法修法僅政院版排審 立委:不應一言堂

民衆黨立委張其祿(左二)、吳欣盈(右二)與電訊盈科臺灣分公司總經理林信宇(左一)2日舉行記者會,呼籲個資法修法不該只做半套,吳表示,目前的資通安全管理法較針對計算機與資料網路(IT)層面規範,卻較少針對操作和程序控制(OT)進行明確規範,呼籲完善個資法。(郭吉銓攝)

民衆黨立委吳欣盈今日上午召開「完善個資法,不應一言堂」記者會,她指出,儘管個資外泄的問題在立法院獲得跨黨派的重視,本會期各委員共提出多達17案的修正草案,但是最終順利排入審查議程的僅行政院提出的草案,完全無法迴應立法院以及全國民衆的期待與要求。

吳欣盈表示,民衆黨黨團提出的修正草案參考歐盟GDPR的標準,擴大對於民衆個資的保護範圍,並降低團體訴訟的門檻,讓民衆權益受損時能夠有尋求救濟的管道,從源頭防堵個資外泄,方能避免民衆個資遭到有心人士的盜用,甚至淪爲詐騙犯罪的受害者。此外,完善對於個資的保護也才能夠與國際接軌,爲臺灣帶來加入DEPA的機會,強化國際競爭力。

張其祿表示,依據憲法法庭之前發佈的第13號判決要求,政府應建立個資保護「獨立監督機制」及專責機關,並且接軌國際,但行政院院版「個人資料法修正草案」雖預告成立「個人資料保護委員會」,擬建立執行類似歐盟「一般性資料保護規定GDPR」之組織,其框架仍欠缺法源依據。例如,沒有明確的「個資保護委員會組織法」,也未修正「中央行政機關組織基準法」及「行政院組織法」調整獨立機關設置規定,在個資保護的組織框架上仍有問題,就像是在打假球。

張其祿直言,在個資保護法內容上,應涵蓋「具嚇阻力之罰則」、「訴訟舉證規定」、「吹哨機制」及「獎勵輔導條款」等等實質內容。針對以上問題,民衆黨早已提出民衆黨版本「個人資料保護委員會組織法草案」及「行政院組織法修正草案」,以確實完備設立獨立二級監督機關之法源進行個資保護及監理;民衆黨版個資保護法也以明確條文強化個資保護及提高GDPR之適足性,以達成個資保護目的。

中國科技大學前資訊學院院長陳振楠教授指出,科技創新是洪流趨勢。數位匯流帶動數位經濟時代來臨,必須藉由加速法規調適,以降低法規障礙對於新興科技創新服務的影響。同時,也應強化對個人隱私權以及人民不被幹擾之權利的保障,並建構對政府的信賴度。因此,宜參照歐盟「一般資料保護規範」,賦予當事人的自主權利:資料可㩗權、被遺忘權、拒絕權及個人化自動決策等,建構健康資料隱私保護的生態環境。本次由民衆黨黨團所提出的「個人資料保護法修正草案」,涵蓋率較爲完整,能爲個資的保護帶來正面效益,值得政府專責部會參考。

產業界電訊盈科企業方案臺灣總經理林信宇則針對個資安全法的修訂提出幾點建議,包含提高泄漏個資罰則、建立吹哨人機制、保障「被遺忘權」以及對企業升級資安的補助。相較於歐盟GDPR針對泄露個資的罰責可以到達2000萬歐元、約6.7億新臺幣來說,我國的個資法即使修法過後金額仍然非常低。

此外,林信宇說,由於個資外泄的舉證困難,建議政府建立類似之前交通違規檢舉獎金的方式,將罰金的部份金額當作內部吹哨人的舉證、檢舉獎金。被遺忘權(right to be forgotten)在歐盟已推行多年,臺灣可先以強制要求「疑似外泄個資」之企業提供其消費者客戶被遺忘權,要求企業刪除其個人所有相關資料之權利。最後,除了補助急需資安升級的企業之外,也應建立標準化的弱點掃描與防護機制,協助企業升級個資保護。