本院院長及林志潔特聘教授,受邀參加立法院司法及法制委員會,對於個資專責機關組織法之公聽會提出立法建言。
相關建言如下:
個資和許多其他社會重大議題間有高度連動性,比如詐欺。個資的洩漏和被濫用,不僅只是對人權的侵害,也助長了犯罪行為。在此提出為個人資料保護委員會組織籌備及相關配套措施之建議。
第一、委員會能落實管轄的範圍?跨國集團和目前掌有最多個資的企業,可能為外國科技公司,本委員會的管轄應如何落實,個人很擔心最後受到最嚴格管理的反而是國內的中小型企業,中小型企業能做到的個資保護程度與大型企業差異很大,能力越大責任越大,應分級處理。
第二、由於私部門也在規範範圍,但許多私部門可能屬於特許事業,未來的檢查和裁罰將有許多競合發生。以衛福部和金管會為例,對於病患資料和金融消費者資料,我們的要求都很嚴格。依照行政罰法第24條和第31條:一行為違反數個行政法上義務規定而為罰鍰者,依照法定罰鍰額最高之規定。一行為違反同一行政法上義務,數機關均有管轄權者,由處理在先者管轄,不能分別處理之先後者,由各該機關協議定之。一行為違反數個行政法上義務而應罰鍰,數機關均有管轄權,由法定罰鍰最高之主管機關管轄。依照目前的各機關執掌,金管會很可能還是最高主管機關。衛福部也非常有可能。如何統合裁罰?受裁罰者如何救濟?在修法時應明訂清楚。
第三、組織法和母法的調適。除了用語的一致性,一般在需要及時更新的領域,如果需要大量主管機關函示做彈性調整者,法律會容留給監理機關較大的空間,法條不會太細膩,以避免不斷修法更動,但中間又必須注意有法律明確性的要求。個資法過去因為沒有委員會,許多立法模式和設計會因為委員會的成立,而有需要調整。
第四、金融消費爭議有評議中心,健保爭議有健保爭審委員會。聯合國工商企業與人權指導原則指出國家應保護人權、企業應尊重人權,如遇到有紛爭,應提供訴訟資源與訴訟外解決紛爭的制度。個人資料如遭到違法使用蒐集,請問個資保護委員會是否要提供除了訴訟之外的其他救濟管道?此管道要設置於委員會或以一個中介的機構例如金融消費評議中心來處理?
第五、數據和資訊產生的方式如果有公益性,例如個人的健保資料,使用的密度、方式和開放性應予考慮。在保護個資時,也必須兼顧數據使用為科技發展不可或缺的現實。