國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
166
用倫理的倡議,與自律規範的主動遵循,在立法政策層面,究竟該如何具體的因 應,筆者認為,考量我國個資法與一般資料保護規則、歐盟資料保護指令的架構 相似性,可參酌本次一般資料保護規則的部份立法成果,在此提出以下幾點具體 的法律政策修正建議,分別為:資料保護專責機構的設置、建立資料管理機制、
內部監督機制、賦予使用者自主權與資料可攜權,以下分別說明之:
第一款 盡速設置專責的資料保護監管機構
由於巨量資料與演算法的技術複雜性,一般人難以藉由程式碼的近用(access)
理解商業組織實際的決策依據。加上資料利用範圍、規模、型態、資料來源的動 態性與不可預測性,新型態的隱私侵害類型也會隨之浮現。因此,藉由設置獨立 行使職權的專責監管機構,不僅可協助「了解、檢視、監督政府公部門有關個人 資料保護的行為」,768亦可處理私部門的巨量資料監控所引發的個人資料保護及 資料利用事件的爭議,並積極推動公私部門的資料管理機制驗證,降低個人資料 保護的適用風險。
事實上,資料保護專責監管機構並不是新的呼籲,早在巨量資料時代來臨以 前,學界即以多次提出相關的建議,如司法院釋字 603 號中,由許宗力、曾有田 大法官所提出的協同意見書即說明:「國家有義務採取適當之組織與程序上保護 措施,使個人資訊隱私權免於遭受第三人之侵害。同時基於當代資訊科技發展之 開放性,國家並有義務不斷配合資訊科技發展的腳步,採取隨科技進步而升級之 動態性的權利保護措施,以有效保護人民之資訊隱私權。為確保此項目標之達成,
國家所採取組織保護措施並應包括設置獨立、專業之資訊保護官,以幫助在資訊 科技洪流中不具有自保能力之一般人民保護其個人資訊安全。」。769林子儀大法官 亦於該號解釋提出行政權對於個人資料使用的低度管制,是一重大警訊,他認為:
「如果行政機關能夠事先對資料庫建立法制、技術、組織及程序上的種種安全閥,
768 李震山,政府資訊公開法與資訊隱私權保障,研考雙月刊,第 31 卷 3 期,頁 57,2007 年 6 月。
769 請參閱司法院釋字第 603 號,許宗力、曾有田大法官共同提出之協同意見書。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
167
以確保所蒐集資料之安全與正當使用,例如建立行政上之獨立管制機關,代替缺 乏專業能力的一般民眾監督政府資料庫之運用情形,而非率爾大規模啟動強制性 的指紋資料蒐集,而對嗣後資訊保管與運用之管制草草帶過,則國家蒐集資訊之 正當性亦將隨之提高。」770。
而我國個資法在 2010 年訂定、2012 年施行至今,仍無設置專責的資料保護 監管機構,而仍由「中央目的事業主管機關」以及「直轄市、縣(市)政府」共 同作為對非公務機關進行個資管制之主體,771有論者認為現行法迴避設置專責的 監管機構,使得個資管制業務之「事權分散不利統合」,並且不利於個資料保護 觀念之教育、宣導等業務的推動。772釋字 603 號作成已逾十年,人類由資訊社會 邁入數位社會,隨著資料性質的變異、資料儲存成本的降低、以及巨量資料技術 的監控本質,公私部門藉由監控裝配,對於公民產生的知識生產與權力作用,使 得我們面臨截然不同的數位風險。為有效監督公私部門的資料利用行為,應盡速 設置專責的資料保護監管機構。參考世界多數先進國家,多半已設立資料保護監 管機構,並「協助建置完善的資料保護法制與政策方針」,773而除了主動排除資料 保護風險與爭議以外,也包括「受理隱私侵害個案申訴、推動資安管理科技或驗 證機制」等業務,774如日本的「個人情報保護委員會」(PPC)、香港的「個人資 料私隱專員公署」(PCPD)、澳門的「個人資料保護辦公室」(GPDP)等。
至於歐盟的一般資料保護規則,亦明定各會員國必須設置一個或多個監管機 構,775並且獨立行使職權,776不受外界直接或間接的影響,亦無須尋求或接受指
770 請參閱司法院釋字第 603 號,林子儀大法官提出之協同意見書。
771 邱文聰,人權災難的開始─論「個人資料保護法」之修正,台灣人權促進會季刊,頁 5,
2008 年 7 月。
772 同前註。
773 鍾孝宇,發展數位國家,應同時保障公民隱私權,火箭科技評論,2017 年 3 月 9 日,可取 得自:https://rocket.cafe/talks/82628.
774 同前註。
775 EU GDPR. art. 51, § 1.
776 EU GDPR. art. 52, § 1.
‧
https://udn.com/news/story/7339/2204810.
791 鍾孝宇,同上註 773。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
169
除此之外,在面臨商業組織與公民之間的個人資料爭議時,監管機構得以協 助不具資訊專業知識與資源的個人進行申訴,解決個人與商業組織之間權力不平 等的問題。規模龐大的巨量資料及其複雜難解且不透明的演算法模型,使得一般 人難以與商業組織抗衡,因此,透過設置專責的資料保護監管機構,藉由資訊專 業、獨立行使職權的資料保護官,可適度的解決個人與商業組織不對等的情形。