法規制定是所有資安工作中的首要項目,也最為業界所期待。 近年來網購引發頻繁的ATM詐騙事件終於讓立法機關正視個人資料保護的重要性。在國民黨掌握國會多數席次下,據悉目前已完成一讀的個資法,除有部份
保留條文仍待協商之外,在本會期可望通過審查。
懸宕已久的個資法修正案,終於有機會在本會期通過審查。這部自民國84年就完成立法的「電腦處理個人資料保護法」,其修正案修訂範圍影響深且廣,格外引起關注。法務部負責修訂此法的法律事務司編審李世德表示,要推動個人資料的保護不能光靠一部個資法(亦即他律),而需在他律與自律間取得平衡。
李世德進一步舉日本為例,日本關於非公務機關的「個人情報保護法」於2005年頒佈,在那之前就已訂定一套隱私權標章(P-Mark)制度,朝業者自律來發展,類似國內食品安全CIS標章。以標章來發展除了能使民眾辨識業者優劣外,也可協助業者遵循法律。李世德打比方,標章就像救生艇,能協助中小企業進入個資法的大海。此外,開發中國家面臨爭取委外生意的機會也十分重視個資,例如祕魯,以及中國大連市為了接日本生意也自行發展P-Mark機制。這些都是在他律之外積極發展自律的例子。
李世德表示,法律只是概要、原則性的法案,施行細節應該另外制定。例如日本他律的上半部是法律規定,下半部則是各個目的事業主管機關去發佈各產業的行政指導,以各產業的角度來解釋並舉例如何進行個人資料保護工作。至今,日本已發展出20幾種行業領域的行政指導。而台灣現行個資法所規範的八大行業或被指定適用的行業卻沒有積極的行政指導。
李世德進一步指出,當初在呈送個資修正草案時,原本討論要效法歐洲設立隱私個資單一專責主管機關,或在各行政部門設立個人資料保護局,或像日本由各個目的事業主管機關訂定,但由於當時未取得結論,所以現階段關於產業別的實行辦法仍然是三不管地帶。
至於目前個資法仍待協商的重點,包括罰金上下限、立委質詢免責權與基因等問題。關於總額上限問題,目前已有共識要設定賠償上限,但司法院提上限10億元,而法務部版本則是5,000萬元。反倒是一般業者希望降低每筆賠償金額至500元,而目前版本是5,000元。李世德指出,歐洲法律沒有設定損害賠償上限,而德國也只對公務機關做上限,他們的作法是搭配隱私保險制度進來,例如AIG集團在日本即承保個資外洩險。
百廢待舉,期待個資法通過後能凝聚更多社會共識。在亞太經合會議(APEC)中已多次討論隱私保護議題,APEC企圖將各國自律架構串聯起來相互承認,並建立認驗證機制。他們希望2010年能制定跨國界隱私保護規則。可見,國際間已經有個資保護的氛圍,希望台灣不要落後太多。
P-Mark簡介
日本推行P – M a r k 機制(PrivacyMark)至今已10年,目前累積有1萬家企業通過認證。取得認證後需每2年檢驗1次。不限行業別皆可提出申請。申請費用約台幣5~6萬元,不含其他維護認證費用。 |
立法委員賴士葆強調:
在詐騙頻傳的此刻,個資法儘速通過十分重要,在立法院此一會期相當有機會通過審查。然而保留條款當中目前協商的爭議會是在第9條立委質詢免責權的部份,目前立委取得個資的管道包括正式行文各機關與透過私下管道。若以質詢之名將此列入排除條款,意味鼓勵爆料文化,法律該如何拿捏以取得平衡仍會是討論重點。此外,個資法通過之後如何向下規範到各行業的問題,透過單一專責主管機關來制定各行業規範會較為可行,例如法務部。而施行細則在個資法通過後不久應該就會有具體版本。 |
|
產業聲音 立法篇
|
關貿網路總經理陳振楠:
現行修訂中的個資法雖然有以個人隱私權層面來談討,但很可惜未將民法、刑法相關條文一併修正。此外,法案過了之後,接下來應該由統一的主管機關去規範各產業別如何落實,以及制定稽核的標準等配套措施。
英國標準協會(BSi)台灣分公司教育訓練部協理蒲樹盛:
法案審議已久,要順利通過我認為可能還會有許多阻礙;然而為了全民隱私安全的法律,法務部應堅持立法態度。
中華數位總經理劉孟達:
立法通過才有辦法改善資安環境,並進而帶動產業發展。
台灣微軟伺服器平台事業部 資深產品行銷經理羅廷儀:
政府應確實落實風險管理相關的條款與稽核。
趨勢科技台灣區總經理 洪偉淦:
罰金10億似乎過高,畢竟法規的目的不是懲罰出紕漏的人而是什麼都沒做的。所以應該設定排除條款,若能用Log舉證有做,那就減輕刑責。而若擁有很多個資卻什麼都沒做的企業,責任應該被加重。
中華龍網總經理蔡銘桔:
個資法或採購法都很重要,政府必須以安全為第一優先。像美國聯邦法官禁止MIT學生公開示範破解地鐵的票卡系統,我認為台灣政府必須有這樣的魄力。此外,法令不足企業便缺乏資安責任,資料被盜或網站掛馬都無所謂,資安防護可有可無,必須負責的大概只剩金融業。 |