日前媒體報導,屏東縣政府的縣立殯葬專區開發計畫環境影響說明書,附件含有100多人的身分證字號、電話、地址等個資,未經去識別化就上傳到環保署網站供人查詢瀏覽。屏東縣縣長、民政處長、環保局長等三人被屏東縣環保團體控告違反個人資料保護法,並求償新台幣兩百萬元。
屏東縣環保局長接受媒體採訪時表示,環保局是依據民政處所提供的資料公告,環保局無權刪改。而民政處則表示,民眾意見及資料依規定須呈現在環境影響說明書中,當初101年8月送交環保署時個資法尚未實施,因此出現漏洞。
(各地方環保局可上傳環境影響報告書於環保署網站上供查詢)
環保署第四科接受本刊電訪時則表示,環評書只要忠實呈現民眾反映的意見,沒有任何規定指出必需將民眾的個資全部呈現,應該是承辦人不小心疏失。由於個資法除了民事賠償責任外,也有刑事責任。益思科技法律事務所賴文智律師認為關鍵在於是否有「故意」,若環境影響評估報告書製作單位已經認知該報告書會上網公告,而未在提供前採取適當措施處理該個人資料,那麼報告書製作單位將負較大責任。(註:法律上間接故意即為「預見其發生而其發生並不違背其本意者」,請見「個資法合理商業標準」一文)此外公務機關早已適用電腦處理個人資料保護法,足見公務機關仍有相當大改善空間。
資安顧問謝持恆提出兩點建議,第一、個資保護應以個資的流程來思考,從蒐集、處理、利用、傳輸、儲存、銷毀都要一併考量,不應只以單一表單或檔案來判斷,因此個資蒐集單位應以最小蒐集原則,不應沿習過去慣例全部蒐集,而個資利用單位也不應抱持來函照登的心態,即便有公告的需要也應事先做去識別化的處理。第二,個資法上路後,公務機關應盡速將相關法源加以釐清,在個資的交互利用或便民作業之間,不應將個案當作通則來處理,否則會淪為過度保護以致正常作業無法運作(如交通隊不提供車禍當事人彼此資料以便商談和解),或違反個資法事件不斷發生。