2023.6.9 數位時代Podcast錄音 手稿
- 個資法這次的修法背景:詐騙事件多、詐騙產業鏈,造成民眾受害事件層出不窮。政府高度重視,列出「打詐五法」(個資法是其中之一),政府還提高規格設立「打詐專案辦公室」,都可以發現個資的重要性。
- 修法:今年5/31修正通過的修法是階段性修法,後面還會有陸續的修法動作。
- 1.設置「個人資料保護委員會」。
- 專責機關,獨立預算及編制,專門處理個資事務。此作法也因應國際趨勢;GDPR、日韓等國都是如此。我國這次修法,有助於與GDPR接軌。
- 影響:個資法過往沒有專責機關的制度,都是由各「目的事業主管機關」和縣市政府分散管轄,但因為業務繁多,導致監管強度不高,流於被動。現在有專責機關,等於專科補習。
- 2.修改現有行政裁罰規定及機制。
- 簡單來說,像發生個資外洩事件時,企業被認為是「沒有做好個資的保護」。但在舊法規定,也必須先給予改善機會(三振條款),在期限內未改善,才能開罰。這讓不少企業會產生僥倖心態,新法施行後,機關有直接開火權限,如果認定有保護疏失,主管機關或縣市政府直接就開罰2-200萬元罰鍰。嚴重的話(情節重大),直接開罰15-1500萬元。像這種「直接開罰」的機制,現在修法也都常見,稍早施行的商品標示法也是一樣。
- 認為罰則過輕(2-20萬元)一直是過往直接的反應,也被詬病。像華航、iRent的除罰,20萬元、38萬元,民眾會認為對於企業並沒有嚇阻作用。這次修法作了兩個改變:1.可以直接開罰,這次修法至少給機關一個權限。2.金額提高。當然,罰鍰額度像是韓國,GDPR都是高額裁罰。但這次修法並沒有導入營業額等計算方式。
- 1.設置「個人資料保護委員會」。
- 分析及觀察:先簡單來說對於企業的影響。
- 大家都在討論施行後「誰會第一個被罰」?一言以蔽之,「企業遵法成本變高了」,必須要重視此議題。在專責機關設立後,可以預想的是行政檢查會變多。加上近年來我國民眾對於個資法的認知程度是高的(看到法院這麼多個資訴訟就知道),在新法裁罰規定變嚴格的情況下,可能產生「全民監督」的風氣,畢竟民眾如果檢舉個資事件,機關受理後就必須要調查及處理,而新法是一旦發現企業沒有做好管理措施,就必須要開罰。這樣的風險及處理成本其實最後還是回歸到企業。
- 當然,這次的修法,在執行的配套措施還是有很多需要觀察的,像是:
- 「適當安全措施」的標準?我們剛才有講到企業發生個資事故,沒做好適當安全措施,是會被罰的。個資法施行細則第12條有「例示」了幾項「得」建置的措施,像是資料/人員管理等,但去看法院判決會發現,很少有案件中法官能把這些項目加以討論的。因此執行的程度上,還是要看主管機關的態度。
- 更麻煩的是「委外管理」,我們知道其實實務上,企業將業務或工作外包是很常見的行為,個資法一樣有對於委外廠商的管理要求,但這規定及要求對於企業而言是很棘手的,到底要管理到什麼程度,其實見解也不明確。舉個例子來說,現在資料都「上雲」,如果以個資法規定,是要對這些資料處理服務的提供者,像是AWS, Google進行管理?但台灣有多少公司能和AWS簽署對等的契約去進行管理呢?
- 最後也需要觀察的是一次會被罰到1,500萬元嗎?這部份其實還是有情節等因素要個案判斷,大概不太容易第一次就這樣處罰。以及,是否會有團體訴訟?
- 建議:
- 企業應儘速建立「適當之安全措施」:建立優勢證據,且要及早作。在時程上,對照個資委員會進度,籌備處下半年出現,配合組織法,明年正式上路。企業應好好把握此半年時間,避免成為後續行政檢查被開鍘的犧牲品。
- 另外,請注意個資法規範的是企業「整個對於個資的合法使用行為」,並不只是消極要求企業「避免個資外洩」。本次修法中,有提及,如果個別產業的主管機關得有指定「非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」而企業沒有照著制定,也一樣會被直接裁罰,這反而是大家都忽略的地方。
- 特別提醒,像是網路零售業、平台、金管會所轄事業,還有近期的「綜合商品零售業」都有「檔案安全維護計畫」,裡面都有很多細緻的規範及要求,像是網路零售業的安全維護計畫,就有要求企業限時通報的義務。
- 最後,個資不只有外洩議題,從蒐集、處理、利用等行為都應該注意是否合規。簡單來說,個資及隱私權的議題,只會愈來愈被重視,企業應該予以高度注意。
