◎廖緯民(作者為中興大學法律系副教授)
昨天是個人資料保護法正式施行的開始日。個資法上路,揭示保護個人資料之宏旨,也是我國步入資訊應用先進國家重要一步。在施行細則闡明下,個資法在國際比較上可謂進退有據;惟相關規定仍稱簡略、社會宣導仍稱不足,而相較於歐美日國家之發展仍難稱先進。本法未來發展依舊可能步履蹣跚,需社會支持與督促。
首先,專責機構之闕如,是本法規範不清、制度無力以及推動低效之主因。法務部只是法制與協調機關;各部會才是業務主推單位。這種現行體制的無奈,造成民眾投問無門、實務難以開展。社會對本法之認知薄弱、偏差,甚至無端反對,其因在此。此一最攸關本法成敗之部會行政管理制度,其規畫至今難窺其貌。
在此須再次予以釐清與強調者,個資法主旨在於數位環境下個人隱私的保護;亦即所謂資訊隱私權的追求。進一步言之,是機關的組織資安問題。本法從未有管制言論自由或限制學術研究之立法意旨。就未來可能發生的個人資料應用,只要求符合正當程序即可,絕無禁止之用意。所謂正當程序,其內涵主要為告知、同意與個資請求權之給予。細則中對此一程序要求,無論在實質上或作業上,已做大幅放寬;應可期待未來在成本與實務上與產業界達成更務實的方案。
至於資訊安全管理,細則留有相當解釋空間與進一步發展之必要;各界允宜再加協調。而在個資合理利用、甚至積極利用(如倡議中之 Open Data)議題上,個資法無本質上之排斥、甚至有技術上之支援能量,各界應再深入了解。整體而言,個人資料保護法用語抽象,而有賴在個資正當程序與資訊安全管理二項主旨上,民間與部會再做深度溝通。
各界迄今較常出現之討論議題,如組織資安之規制模式不明與實務標準尚無依據、資安稽核與驗證制度規畫不足、公務機關之權責編制與作業內容未定、非公務機關之產業分類受轄不易、大眾傳播產業之受規制範疇不明、金融產業之個資法令遵循制度似乎嚴厲、醫療相關個資之定義有疑與制度不清、電信與資服產業之內控與委外業務之有效管理、電子商務產業之規範進一步與國際接軌問題…等等;以及最受重視的法律責任與訴訟制度至今難以預測之問題。諸般缺失,其原因層層相疊,短期難以解決。未有專責機構編制且各部會至今未能深入掌握相關業務應為主因。
而部會未能掌握業務之主因,在於我國資訊安全管理法制之不全;資安法制不全之主因,在於權責機關之無法編制與賦權。凡此,皆有待領導高層在總體制的高度上予以積極擘畫。否則,新法施行後恐怕亂象叢生,比如最受詬病的濫訴現象,以及國際上並不少見之個資法頒佈後資安事件反而增加之反效果。
個人資料保護法是廿一世紀國家從保護隱私、到保護資料、再到保護資源的必備法制。除了法制意旨外,尚有提升安全文化與強化資安產業之目標;安全議題涉及國家社會的最深層建構;系統思維則是我國最待補強的質素。尤有甚者,本法攸關進一步之資訊應用與新興產業之發展;凡此,行政院皆早有規畫,卻因本法推動過程中體制內與外部環境上的諸多因素而逐漸鬆放。近期因經濟景氣問題,民間湧現諸多「有感經濟」之聲音。針對個資法此一宏偉法案,我們除了「不能無感」之感性呼籲,更需「不能無為」之理性作為。