时论广场》个资法修正提案避重就轻 非不能也实不为也（李念祖）

公务机关执行《个资法》不力，现行法的规定，几近束手无策；敷衍宪法法庭关于检讨《个资法》的谕示，避重就轻的态度可议。图为宪法法庭。（本报资料照片）

行政院日前通过《个人资料保护法》修正案，其新闻稿指出，有鉴于近期个资外泄事件已造成社会大众高度关注，为了防堵诈骗，并期「符合宪法法庭111年第13号判决意旨、国家人权行动计划的规划及国际趋势」，乃修订3项条文，包括提高民众个资外泄事件的相关罚责，随即将函请立法院审议。

三项新的条文，一是设置新的委员会作为主管机关（第1条之1）；一是规定新规定的施行日期（第56条）；一是加重课加防范个资外泄的法律责任（第48条）。

施行日期条文暂可置之不论；设置新的独立主管机关，颇符合若干论者的期待，由于组织立法尚未出炉（依《中央行政机关组织基准法》，独立机关之组织应以法律定之），如何独立运作，运作效益如何，恐皆言之过早，尚待观察。值得讨论的主要就是加重民众及企业个资外泄的法律责任，以及还有什么该修正却未修正的地方？

先看所提到宪法法庭关于健保资料库的判决，它是这样说的：

主文：「由《个人资料保护法》或其他相关法律规定整体观察，欠缺个人资料保护之独立监督机制，对个人资讯隐私权之保障不足，而有违宪之虞，相关机关应自本判决宣示之日起3年内，制定或修正相关法律，建立相关法制，以完足宪法第22条对人民资讯隐私权之保障。」

理由：「就资讯隐私权之保障而言，除应以法律明确订定搜用个资之目的及要件外，应配合当代科技发展，运用足以确保资讯正确及安全之方式，并对所搜集之个资采取组织上与程序上必要之防护措施，以符宪法保障人民资讯隐私权之本旨。」

现在看到的修法，组织上的新办法暂不具论；所采取程序上的防护措施，就只有加强民众及企业个资外泄的法律责任而已。在独立机关的监督机制成形之前，以之作为主要的外泄防护手段，肯定不足。因为可能发生大规模个资外泄的单位必然不会只有私部门机构，政府机关也常是窃取个资者的重要下手对象。没有足够的规范对应于公务机关个资维护不周的法律责任，原就是《个资法》的重大欠缺。

尤其近年实际上发生的公务机关个资严重外泄，绝非孤立的事件；后续的调查或追究责任，多是讳莫如深。现在的修法草案却依然只是加重民间社会的外泄责任，却对公务机关防范外泄应该采取的必要程序，以及如何提升其防范不周招致外泄的注意责任，全无着墨；以此防堵诈骗，难道不是明察秋毫而不见舆薪？

严防私部门却宽纵公部门，在《个资法》条文中不是孤例。例如第25条规定，非公务机关违反规定时，可以公布非公务机关的违法情形，及其姓名或名称与负责人；公务机关违反规定时，就缺乏类似的规定。第12条规定，公务机或非公务机关违反规定致使个人资料被窃、泄漏、窜改或受侵害者，应查明后通知当事人，以便其有所防范。但对于违反外泄通知义务者，只对非公务机关订有罚则（论者尚以为罚则过轻，通知义务几乎只有装饰功能，犹其余事）；却对公务机关违反通知义务时无任何处置。

如此一来，通知义务成为训示规定，岂非具文？这样的防卫机制，不过是法条上的表面功夫罢了。公务机关执行《个资法》不力，如何惩前毖后？现行法的规定，几近束手无策；修法草案也完全无心切实检讨改进。

以如此简陋的修法草案，敷衍宪法法庭关于检讨《个资法》的谕示，避重就轻的态度可议，《个资法》品质堪虑，只能说提案部门非不能也，实不为也！

（作者为东吴大学法律研究所教授）