时论广场》个资法修正提案避重就轻 非不能也实不为也(李念祖)
公务机关执行《个资法》不力,现行法的规定,几近束手无策;敷衍宪法法庭关于检讨《个资法》的谕示,避重就轻的态度可议。图为宪法法庭。(本报资料照片)
行政院日前通过《个人资料保护法》修正案,其新闻稿指出,有鉴于近期个资外泄事件已造成社会大众高度关注,为了防堵诈骗,并期「符合宪法法庭111年第13号判决意旨、国家人权行动计划的规划及国际趋势」,乃修订3项条文,包括提高民众个资外泄事件的相关罚责,随即将函请立法院审议。
三项新的条文,一是设置新的委员会作为主管机关(第1条之1);一是规定新规定的施行日期(第56条);一是加重课加防范个资外泄的法律责任(第48条)。
施行日期条文暂可置之不论;设置新的独立主管机关,颇符合若干论者的期待,由于组织立法尚未出炉(依《中央行政机关组织基准法》,独立机关之组织应以法律定之),如何独立运作,运作效益如何,恐皆言之过早,尚待观察。值得讨论的主要就是加重民众及企业个资外泄的法律责任,以及还有什么该修正却未修正的地方?
先看所提到宪法法庭关于健保资料库的判决,它是这样说的:
主文:「由《个人资料保护法》或其他相关法律规定整体观察,欠缺个人资料保护之独立监督机制,对个人资讯隐私权之保障不足,而有违宪之虞,相关机关应自本判决宣示之日起3年内,制定或修正相关法律,建立相关法制,以完足宪法第22条对人民资讯隐私权之保障。」
理由:「就资讯隐私权之保障而言,除应以法律明确订定搜用个资之目的及要件外,应配合当代科技发展,运用足以确保资讯正确及安全之方式,并对所搜集之个资采取组织上与程序上必要之防护措施,以符宪法保障人民资讯隐私权之本旨。」
现在看到的修法,组织上的新办法暂不具论;所采取程序上的防护措施,就只有加强民众及企业个资外泄的法律责任而已。在独立机关的监督机制成形之前,以之作为主要的外泄防护手段,肯定不足。因为可能发生大规模个资外泄的单位必然不会只有私部门机构,政府机关也常是窃取个资者的重要下手对象。没有足够的规范对应于公务机关个资维护不周的法律责任,原就是《个资法》的重大欠缺。
尤其近年实际上发生的公务机关个资严重外泄,绝非孤立的事件;后续的调查或追究责任,多是讳莫如深。现在的修法草案却依然只是加重民间社会的外泄责任,却对公务机关防范外泄应该采取的必要程序,以及如何提升其防范不周招致外泄的注意责任,全无着墨;以此防堵诈骗,难道不是明察秋毫而不见舆薪?
严防私部门却宽纵公部门,在《个资法》条文中不是孤例。例如第25条规定,非公务机关违反规定时,可以公布非公务机关的违法情形,及其姓名或名称与负责人;公务机关违反规定时,就缺乏类似的规定。第12条规定,公务机或非公务机关违反规定致使个人资料被窃、泄漏、窜改或受侵害者,应查明后通知当事人,以便其有所防范。但对于违反外泄通知义务者,只对非公务机关订有罚则(论者尚以为罚则过轻,通知义务几乎只有装饰功能,犹其余事);却对公务机关违反通知义务时无任何处置。
如此一来,通知义务成为训示规定,岂非具文?这样的防卫机制,不过是法条上的表面功夫罢了。公务机关执行《个资法》不力,如何惩前毖后?现行法的规定,几近束手无策;修法草案也完全无心切实检讨改进。
以如此简陋的修法草案,敷衍宪法法庭关于检讨《个资法》的谕示,避重就轻的态度可议,《个资法》品质堪虑,只能说提案部门非不能也,实不为也!
(作者为东吴大学法律研究所教授)