焦點評論:歐個資法上太空 台原地殺豬公(林鈺雄)

3725
出版時間:2018/05/28

2018年5月25日,已公告兩年且被喻為人類史上最嚴格的《歐盟個人資料保護基本規則》(EU General Data Protection Regulation,GDPR)正式上路。而難得西裝筆挺的臉書執行長薩克伯(Mark Zuckerberg),因劍橋分析(Cambridge Analytica)大規模外洩臉書個資醜聞,正在歐洲議會被議員質問。

他開宗明義就下昭罪己:「無論是假新聞、外國勢力干預大選、還是使用者個資遭濫用,我們都沒有對自己的責任有足夠的了解。這是錯誤,我很抱歉!」他也公開承諾臉書將推出完全遵循GDPR的新隱私控管措施,並且全球適用不以歐盟用戶為限。
事實上,不止臉書而已,其他如Twitter、Apple、Google、Dropbox等高科技公司,皆已經以GDPR的高規格而修改公司的個人隱私政策,以適應GDPR對全球市場及網際網路的衝擊。這些變遷與風潮所彰顯的意義,不只是GDPR嚴厲制裁的威力而已(違反者最高處2000萬歐元或全球年營業額4%的罰鍰,以高者為準,以臉書為例可罰到約新台幣500億元!),更重要的是,歐盟作為全球個資保護的領頭羊,其規範已有成為「國際共通規格」的趨勢,而未來GDPR更將成為全球個資領域的模範法典與教戰守則。

各國升級保護水準

反過來說,背離GDPR標準的各內國個資法規,將難與國際規格相容,漸行漸遠,國家及產業終將喪失打國際盃的資格,這也是全球各公、私部門都未雨綢繆、修法因應並嚴陣以待的原因。數位時代的資訊就是力量,也是金脈,但掌握資訊卻無法迴避如何保護個資的嚴肅課題,而歐盟在GDPR之前的舊個資保護規範,即1995年的《資料保護指令》(Data Protection Directive 95/46/EC),施行後就已成為國際上的重要參考。據報導指出,近10年來,全球已經有120多個國家參考歐盟法來修訂本國個資立法。至於兩年前公告且規範等級高於指令的GDPR,歐盟國家如德國、英國遑論,非歐盟的工業先進國家如日本、加拿大,也都陸續公布了依照GDPR標準而制訂的新版個資立法,以升級內國個資保護水準並提升國家整體競爭力。
反觀我國,在全球產業及各國立法隨著歐盟GDPR個資保護而爭相「上太空」之際,不但一派輕鬆,置身事外,甚至於反其道而行,連首都主政者都還在高分貝「殺豬公」,竟然擬議要廣設「智慧路燈」來辨識並儲存人臉資訊(按:此乃可資識別個人生物特徵之個資)!地方首長的格局與觀念雖令人不敢領教,但中央政府呢?全面執政兩年以來,可有因應GDPR衝擊的整體對策或專責機構?這大哉問,說來話長,只提兩項箭在弦上的基本工程。
其一、跟上國際規格的「立法升級工程」。我國目前《個資法》與歐盟GDPR扞格不入之處,多不勝數。例如蒐集的同意方式(不得概括、推定同意)、撤回同意機制、資料可攜權與刪除權、外洩立即通知義務、跨境傳輸禁止原則與例外、企業與機構的內稽內控要求、企業資料保護長(DPO)及個資保護衝擊評估(Data Protection Impact Assessment, DPIA)等,這些關鍵問題,我國法都要大幅翻新立法原則才能符合GDPR設立的國際規格。
其二、設立個資專責機構的「組織改造工程」。專責機關的重要性不在話下,日本為因應GDPR亦是如此調整其政府組織,但我國現有作法卻背道而馳,目前《個資法》是採分散管理,散落在22個主管機關,法務部僅是「法規」主管而非業務主管機關,機關彼此間欠缺統合關係且亦無專責監管機構。

應設專責機構統籌

當務之急,應在行政院下設立專責、獨立的監管機關,並組成一個專業團隊來因應內外變局。若短期內做不到,退而求其次至少要由具有跨部會性質且也負責部分資安業務的國發會來統籌管理,並將《個資法》法規主管機關從法務部移轉到國發會以收事權統一之效果。
最後只強調一點,GDPR就如同洗錢防制的國際規格,很可能在全球產生洗牌效果,我們若不迎頭趕上,遲早要被洗出去。別再瞎忙「殺豬公」了,個資保護應急起直追,跟著「上太空」吧!

台灣大學法律學院教授、科技部大數據與個資法跨領域計畫總主持人



有話要說 投稿「即時論壇」
更多

《要聞》

新聞