2020年即將正式啟動個人資料保護法修法
國家發展委員會於近日舉行的「2019 年終記者會」中明確提出將於2020年啟動「個人資料保護法」修法作業,並成立「個人資料保護專責機構」,希望能在2020年獲得歐盟GDPR適足性認定,讓臺灣境內企業能自由與歐盟進行個人資料跨境傳輸,以降低企業的營運成本,更提高企業的競爭力。但「個人資料法」修法必須考慮許多議題,包括如何訂定公務機關與非公務機關一致性的規範、如何更加明確區分個資蒐集、處理與利用行為的定義,當然,個資侵害通知時效要求與通報機制等,都是相當大的挑戰,也因為「個人資料保護法」涉及的層面非常廣泛,對於政府機關、企業都將帶來一定的衝擊。
從國外實際案例解析主管機關公告隱私資訊仍須符合比例原則
2018年年底英國隱私保護主管機關(Information Commissioner’s Office, ICO)發現倫敦警察廳(Metropolitan Police Service, MPS)未以正確方式使用幫派份子資料,嚴重違反隱私保護相關法令。MPS在公布資料中,有部分的人員資訊與公布目的顯然不符,因此ICO在2019年4月因MPS「不公平且過量」的揭露部分幫派份子的隱私資料,裁罰MPS 14.5萬英鎊(約新臺幣580萬),並發出正式通知,要求MPS於限期內作出調整。ICO副主管James Dipple-Johnstone表示:
全國都擔憂暴力集團犯罪與其解決方案,執法單位在因應時也面臨挑戰,雖然適當的資訊分享可以發揮作用,但仍必須在合法前提下安全的進行。由這個案例中,可以了解未來在公務機關運用涉及個人資料之資訊時,務必特別謹慎,就算是依據法令必須公布,仍然必須事先確認公布內容的「正確性」、「必要性」及「合理性」。
國內主管機關現行網路公告通緝資訊查詢方式與顯示資訊比較
國內於網際網路提供一般民眾可以查詢涉及刑事案件或通緝的系統至少包括:「檢察機關重大刑案通緝犯資料查詢系統」與「查捕逃犯網路公告查詢」,前者提供檢察機關發布之特定類型重大刑案通緝犯資料;後者則範圍較廣,不限於重大刑案。但實際比較兩個系統之查詢介面發現,前者僅需輸入正確完整姓名或完整身分證號及正確的驗證碼即可進行查詢,若為同名同姓,則會同時顯示多筆;後者則必須輸入完整的姓名與身分證號碼,再加上正確的驗證碼才能查詢。再就兩個系統之查詢結果顯示方式發現,前者會顯示姓名、身分證字號(後四碼隱碼)、性別、通緝機關、通緝日期及案由;後者查詢到的資料只有通緝機關,但會顯示完整身分證號。由此可以發現查詢要求輸入條件與顯示資訊均有所不同,另兩套系統目前都沒有對查詢人進行任何的識別與鑑別,無法確認是否完全符合「個人資料保護法」法第6條要求公務機關執行法定職務,事前事後須有「適當安全維護措施」之規定。
隱私保護是國際潮流,更將成為未來的競爭基礎
除了歐盟的GDPR外,號稱美國最嚴格的個人資料隱私法規-加州消費者隱私保護法(The California Consumer Privacy Act, CCPA)也在2020年1月1日生效,美國也出現呼籲訂定聯邦隱私法的聲音,可見隱私保護已經是國際潮流,未來只會越來越嚴格,而隱私與消費息息相關,無論是IoT或是AI,只要涉及與消費者體驗或是直接接觸的應用,都必須考慮隱私保護的議題,隱私保護勢必影響未來的經濟發展與產業競爭。未來國內的「個人資料保護法」修法,預期也將朝擴大保護範圍、強化隱私保護等方向進行。目前個資法對於公務機關與非公務機關之要求不同,未來,無論是企業或是公務機關,都必須符合一致性的法規要求,合理的使用涉及隱私的資訊,而公務機關因施政需求,必須公告許多資訊,因此將面對更多的挑戰,必須謹慎應對,以與國際接軌,並創造優越的競爭環境與優勢。
本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部
邱述琛副總經理、李冠樟經理