工商社論》避企業國內外踩雷 政府應速修個資法
工商社論》
近期國內企業陸續發生重大個資外泄事件,對新上臺的陳建仁內閣而言,個資保護已成爲必須面對的優先議題。行政院目前已定調,短期會先以強化機制爲主,一年內有可能成立個資第三級獨立機關,但更值得正視的還是臺灣個資法的修法,以除了保障國人個資權利,企業個資保護是否可與國際接軌,以免日後企業在海外踩紅線而被重罰。
從近一年多臺灣企業個資頻傳外泄,顯示不論資安還是個資保護,臺灣都必須再加把勁。對此,行政院已提出要就「事前防護、事後處理」兩面向落實資安法及個資法,也提出可能着手修正個資法提高罰則,以及最快本會期提出專責機構組織法送立法院審議,預計一到兩年內可成立。
個資法的方面,新版個人資料保護法(原名電腦處理個人資料保護法)2012年10月施行以來,距今已逾十年未修正,期間更經歷號稱史上最嚴個資法的歐盟一般資料保護規定(GDPR)上路,日本也在2021年修正個資法,南韓則是在2020年1月由國會通過新修正的「個人情報保護法」、「信用情報法」及「情報通信網法」,並於2020年8月5日施行,臺灣的修法進度明顯落後國際。
針對個資法修法,政府應思考的方向至少有三。首先是對「個資」的定義,以及對於特定個資(敏感性個資)的處理限制及運用規定;第二是設置國家個人資料保護機關(即專責機構)、且該機關是否具有實際裁量和處罰權;第三則是現有罰則如刑罰或罰金的調整。
目前在臺灣如違反個資,民事部分每人每一事件可求償金額500元至2萬元,同一事件最高可求償2億元;刑事部分最高可處2年以下有期徒刑、拘役或併科新臺幣20萬元以下罰金,但若意圖營利可加重求處5年以下徒刑或併科新臺幣100萬元以下罰金;行政處罰部分則是最高處新臺幣5萬元以上、50萬元以下罰鍰,並令限期改正,屆期未改正者可按次處罰。
日本過去對違反個資的罰金和臺灣一樣偏低,僅介於30萬日圓至50萬日圓,但2021年修法後,對非法提供資料庫或違反主管機關(個人情報保護委員會)者,最高可對法人裁罰1億日圓。歐盟GDPR的罰則更高達2,000萬歐元或企業全球營業額4%的罰鍰。至於南韓同樣大幅提高罰金,2022年南韓個人情報保護委員會便曾對Meta和Google開出1,000億韓元的罰單。
各國競相提高對企業違反個資保護罰則已成大勢所趨,政府未來修法時,除了提高罰度以宣示對個資保護的重視和示警企業,更重要的是用重罰提高企業對個資保護的意識,以免企業在海外誤踩個資地雷,面臨難以負擔的罰金。
畢竟在國際化的潮流下,臺灣企業不可能關着門做生意,以歐盟GDPR來說,包括網路零售業(跨境電商、連鎖商店、旅遊服務如訂房網站等)、航運輸業,以及金融業者跨境傳輸客戶資訊時,都有可能曝露在GDPR的風險下,也因此政府修法邏輯不能僅限國內,更重要的是要和國際接軌。
同樣地,對於個資的定義,以及如何算是觸犯個資保護,同樣不是臺灣政府自己說了算數,必須更深入的參酌國際標準。像是GDPR定義的個資內容,除了個人身分和生物特徵,還包括線上定位資料如Cookie、IP位置、行動裝置ID和社羣網站的活動紀錄等。
最後則是所謂專責機構。以日、韓爲例,目前都設有類似個人情報保護委員會的機構,但主要功能在解釋與修正個人資料保護法,以及審議、決議各行政機關個人資料保護政策,至於各營利事業的個資保護處罰和消費者申訴還是迴歸事業主管機關。
以南韓來說,個人資料保護委員會是設在總統之下,由委員會整合調整各中央行政機關,再由各中央行政機關對其所屬機關進行監督,可以說仍是「分散整合型」構造,並非集解釋、監督、糾正、裁罰、申訴等功能於一身。臺灣目前看來架構是在行政院之下,類似運安會,但職權範圍,實際運行方式和其它部會如何分工,都尚不明確,政府必須先有明確藍圖,而非僅爲成立而成立。
蔡英文政府就任以來,多次強調「資安即國安」。目前除了行政院有資安會報、數位部有資安署、近日更有被行政院副院長鄭文燦形容是「集武林高手之大成」的資安院掛牌,顯示政府並非沒有意識到資安的重要。
然而,我們還是要提醒政府,資安並非僅有防止政府或企業網站被駭客入侵,更重要的是提高個人資料保護,特別是教育企業重視客戶個資保護和強化相關個資的安全性,政府應更積極推動修正個人資料保護法,正視此問題。