國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
163
第五章 結論 - 現行法制之反思與建議
第一節 個人資料保護再加強
第一項 位置資料適用個資保護範疇
我國「個人資料保護法」第2 條第 1 項明列個人資料之範疇,包含自然人之 姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、
教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財 務情況、社會活動,以及其他得以直接或間接方式識別該個人之資料,雖未明確 將智慧運輸系統所蒐集之個人位置資料納入個資保護之定義範疇,惟透過主管部 會之函釋,或以間接方式識別該個人之資料,仍得有「個人資料保護法」適用之 空間。
對於智慧型運輸系統適用個資法最主要部分,當屬個人位置資訊之蒐集,事 實上智慧運輸系統所蒐集的即時交通資料大多是落在可個人辨識位置資訊及非 個人辨識位置資訊之間。雖然公部門在蒐集時,通常會儘可能將可連結個人資料 特徵之欄位予以匿名化,然而,在重新辨識技術愈來愈精良之下,顯著的侵蝕了 可辨識與不可辨識之間的距離,以前被認為是匿名資訊的內容,現在藉由其他資 料的連結或大數據的分析,似已具備辨識特定個人的可能性328。
2018 年 5 月生效之歐盟「個人資料保護規則」,除將位置資料明列於個人資 料定義範圍之外,亦將個資蒐集的同意方式與撤回同意的機制、資料可攜權、被 遺忘權、刪除權、不受形塑權、解釋權、外洩立即通知義務、跨境傳輸禁止原則、
竊業與機構的內稽內控要求、企業資料保護長、資料保護影響評估等等之規定,
328 See Thomas Garry, Frank Douma & Stephen Simon, supra note 3, at 107-108.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
164
無論是哪個國家的個人或企業,只要涉及歐盟人民之個資權利侵害,即可能受到 極高的罰鍰329。
為檢視並因應歐盟個人資料保護規則可能對我國產生之影響,行政院國家發 展委員會曾依據行政院於2018 年 5 月 24 日第 3601 次院會之決議,於 2018 年 7 月4 日成立「個人資料保護專案辦公室」,除加強跨部會因應 GDPR 事宜之協調 整合外,並負責統籌各部會向歐盟申請適足性認定事宜330。
其中在交通運輸方面,交通部除依據個資法第18 條規定,於 2010 年 11 月 30 日訂定發布「交通部個人資料保護管理要點」,並於 2012 年 10 月 30 日訂定 發布「交通部個人資料檔案安全維護計畫」外,部屬機關包含觀光局於2014 年 1 月 3 日訂定發布「觀光旅館業個人資料檔案安全維護計畫辦法」並自同年 4 月 1 日施行、於 2015 年 5 月 5 日訂定發布「旅行業個人資料檔案安全維護計畫及 處理辦法」並自即日施行,以及於2015 年 12 月 23 日訂定發布「觀光遊樂業個 人資料檔案安全維護計畫辦法」並自即日施行;民航局於2014 年 10 月 16 日訂 定發布「民用航空運輸業個人資料檔案安全維護計畫及處理辦法」並於隔(2015) 年1 月 1 日施行;航港局於 2015 年 4 月 17 日訂定發布「船舶運送業個人資料檔 案安全維護計畫及處理辦法」並自該年7 月 1 日施行;路政司於 2015 年 9 月 24 日訂定發布「停車場經營業個人資料檔案安全維護計畫及處理辦法」並自 2016 年1 月 1 日施行331。然而,相較交通相關領域依據「個人資料保護法」完成相關 資料之處理辦法,中央目的事業主管機關對於智慧型運輸系統在資料保護上,似 尚未著手訂定相關辦法,而形成個人資料保護最為欠缺的一環。
329 劉靜怡,同前註 161,頁 6。
330 參見國家發展委員會網站,https://www.ndc.gov.tw/Content_List.aspx?n=726A44EA5D724473, Last visited: May 24 2020.
331 參見國家發展委員會網站,
https://www.ndc.gov.tw/Content_List.aspx?n=1DE9FB38844DDC8D, Last visited: May 24 2020.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
165
利用數位軌跡識別特定當事人之位置資料,進而將其資料分析、彙整及預測,
並將其所得之資訊分享予他人,以達到完全資訊的交通環境,是下一世代先進國 家所追求的目標,而其中最主要之技術核心即是對於個人位置資料的掌握,如對 於智慧型運輸系統在資料之蒐集與處理能給予更明確之規範,避免相關蒐集資料 行為遭外界疑慮有侵害隱私之疑慮,將有助於智慧型運輸系統之研發、推動與建 置。
第二項 設立個資保護專責機關
對照我國於2010 年將電腦處理個人資料保護法改為目前個人資料保護法時,
即在該法第22 條之立法理由明言「…基於落實保護個人資料隱私權益之立法意 旨,自宜設立專責機關為主管機關,但在未設立專責機關之前,由何機關為本法 之主管機關,在認定與權責劃分上,實有窒礙之處,…。」可知立法者於立法之 時已然知悉設立專責機關方符合本法之立法意旨及強化有效保障之可能性332。然 就其立法目的接續敘明:「…與該事業之經營關係密切,應屬該事業之附屬業務,
自宜由原各該主管機關,一併監督管理與其業務相關之個人資料保護事項,較為 妥適。因此,本修正條文不作有關『本法之主管機關』定義性規定,至於原條文 規定『目的事業主管機關』應辦理之事項,於各條文中,直接修正由『中央目的 事業主管機關或直轄市政府、縣市)政府』辦理,以資明確,避免爭議。」而形 成分散式管理制度,由各中央目的事業主管機關執行檢查、糾正,甚至裁罰的情 況。
第一款 國外發展經驗
參酌歐盟ITS 指令(Directive 2010/40/EU)於立法理由敘明關於 ITS 應用程序 和服務建置領域中與資料保護及隱私有關的議題,應酌情諮詢歐洲資料保護監管
332 翁逸泓,資訊委員的時代角色-以 GDPR 及英國 2018 年資料保護法為中心,月旦法學雜誌
(No. 286),元照出版,頁 40,108 年 3 月。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
166
機構,而歐盟「個人資料保護規則」第51 條第 1 項亦要求各會員國應設立一個 或多個獨立機關,賦予調查權、輔助權、許可權及諮詢權,以確保歐盟公民之基 本權利及自由。
有論者就APEC 經濟體指定隱私執法機構(PEA),歸納出三種主要方式,包 含多個部會共同擔任、設立隱私專責機關,或是指定既有機關擔任333:
一、多個部會共同擔任
不論該國是否有訂定隱私專法,相關個人資料之應處規範仍可由多個部會依 權管同時監督,藉由其分屬不同部會之彈性作法,以因應各業別或各方面之需求,
因此,整個政府體系無須調整組織架構為其優點。然囿於各部會並非均有隱私保 護之專業同仁,倘該制缺乏部會間之溝通管道,則易造成各部會各自為政而導致 執行標準或解釋不一致之窘境。
二、設立隱私專責機構
多數個人資料保護法制進步的國家,如加拿大、歐盟等,藉由隱私專法之訂 定,授權成立獨立之隱私專責機構,以保護該國公民隱私。此機制之優點在於由 專業化之機構,負責隱私規範的執行與申訴處理,便利消費者申請救濟,也可避 免多頭馬車而有解釋標準不一致的情事。然而也囿於單一專責之故,可能無法滿 足特各業別或特定專業之需求之外,亦可能造成與各業管部會之業務重疊,而致 彼此權責劃分之議題。
三、指定暨有機關
以美國為代表,美國雖無隱私專法或法定之隱私主管之專責機關,然美國於 1990 年代指定美國聯邦貿易委員會(Federal Trade Commission, FTC)為美國於 CBPRs 下的隱私執法機關,並代表參與 APEC 之跨境隱私合作協議(CPEA)。美
333 李旺達、劉新國,同前註 156,頁 8。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
167
國聯邦貿易委員會職權原在於保障消費者免於不公正或欺騙行為,而被指定為隱 私執法機關後,主要仍在於企業隱私保護之相關作為,包含企業不當行為之禁止、
企業隱私政策之變更、消費者之救濟等。
相較於多個部會共同擔任或是設立隱私專責機構,指定暨有機關乃採較折衷 的方式,惟指定合適之機關作為隱私主管機關,仍需多方考量,且在指定過程中,
仍會遭遇人才及預算短缺的過渡期。
第二款 國內專責機關與資料在地化
行政院國家發展委員會曾就個人資料保護是否成立專責機構進行研究,提出 包含英國資訊委員辦公室(Information Commissioner's Office, ICO)、加拿大隱私 委員辦公室(Office of the Privacy Commissioner of Canada, OPC)、香港個人資料 私隱專員公署、澳門個人資料保護辦公室、南韓個人資訊保護委員會(Personal Information Protection Committee, PIPC)等均為獨立機關或獨立工作。我國如欲 成立個資保護專責機關,應以歐盟GDPR 之標準設立個資保護專責機關,並提出 成立專責機關應具備之要件,包含:個資保護應有專責性、個資保護應有獨立性,
以及個資保護專責機關之地位等建議334。
交通主管機關在辦理智慧型運輸系統之相關計畫,對於如何利用最新科技截 取即時位置資料,並藉以分析、使用,進而使其資料之效益達到最大化之目標,
應為該機關之主要專業,但就如何保護所取得之相關個人資料,並確保當事人權 利不受侵害,甚至在當事人權益受侵害時之救濟方式等,是否同樣具有專業,不 無疑問外,在使用資料與保護資料的機關均屬同一機關,或同屬一個上級機關,
在其外觀上,亦容易產生有球員兼裁判之嫌。
334 參見國發會網頁,
https://www.ndc.gov.tw/News_Content.aspx?n=B7C121049B631A78&s=8993768D9334F6C4, Last visited: May 25.2020.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
168
在實務的操作上,交通主管機關對於個人資料保護之疑義,多以函請國家發 展委員會或法務部尋求法律上的專業回復,然國發會等單位於回覆內容,是否確 實瞭解主辦機關的核心技術,進而給予確實符合主辦機關需求之回覆,不無疑問。
此外,伴隨資通訊技術的發展,自動駕駛車輛於道路上行駛之日,可預期將 於不久的未來實際發生。然而享受交通科技所帶來便利的同時,其用路人的活動 足跡也可能併同行車軌跡紀錄並回傳至車廠的伺服器,倘該車廠伺服器設置於國 外,則國人之資訊隱私將有流傳至第三國之虞。而為規範國人個資流傳至第三國
此外,伴隨資通訊技術的發展,自動駕駛車輛於道路上行駛之日,可預期將 於不久的未來實際發生。然而享受交通科技所帶來便利的同時,其用路人的活動 足跡也可能併同行車軌跡紀錄並回傳至車廠的伺服器,倘該車廠伺服器設置於國 外,則國人之資訊隱私將有流傳至第三國之虞。而為規範國人個資流傳至第三國