《金融》名人聖誕黑禮VS.個資保護修法

【時報記者任珮云台北報導】仁寶 (2324) 副董事長陳瑞聰在今年聖誕節收到了一份「黑」禮物,「婚外情」成了網路消費熱點。然而在前一天(12月24日)國發會主委陳美伶才表示,台灣為申請成為歐盟GDPR的白名單,預告國發會2020年將啟動《個人資料保護法》修法,其中設立「獨立專責機關」研擬「個人資料保護專責機關」的組織法與「跨境傳輸」修正。新世代金融基金會指出,網路消費者基本權利的保護,除個人資料保護法外,消費者保護法也已明顯不能因應數位社會。法律的檢討需要有次序,這牽涉各行各業的發展利益、不同世代的文化價值及華人社會隱私權的重視程度等,須綜合考量整體社會的需要,才能了解那些值得保留,那些需要修改。

針對《個人資料保護法》修法,新世代金融基金會提出7項修法建言:

1.大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。世界各國的個資保護法,乃至歐盟GDPR,其實都不禁止個資蒐集、或無限制保護個資,而是尋求個資與大數據運用的均衡點。自由與安全需要妥協,群眾歡迎大數據帶來的便利,必須在某種程度上犧牲個資權益,但這些容忍、犧牲必須以法律方式,衡量社會不同需求、法益,做出決定。如何平衡「數位創新帶來的福祉」與「個人資料/隱私的保護」就成為嚴肅的話題。

2.特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第2條第1款的規定顯然不足,應修法研擬認定基準。又去識別化後可否回復原狀,也是值得探討的議題。為達個資的「匿名化」,降低「特定個人識別性」,在匿名性及利用價值間取得平衡,個人識別性的標準也需制定。另所謂無法輕易辨識個人之資訊,牽涉到De-identification(去識別化),建議應由第三方專業機構負責認證。

廣告

3.關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮。

4.現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。但當事人同意權,可思考資料蒐集時,同意權的拋棄程度或放棄,並限縮同意權在利用端及應告知如何使用個資,例如資料蒐集時,社會上如已認清事實很難要求每一筆蒐集都需經過同意,是否增訂同意權的拋棄程度,並將同意權移列到資料「利用」面,也應注意個人資料範圍的合理程度。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。

5.條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。

6.要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。擁有巨量個資的廠商更應思考Privacy by Design,也就是在個資蒐集利用的系統設計上,就預設最大限度的保護,例如不需要的個資不蒐集、不需保留的不保留、不該看到隱私資料的人不能看,應列為業務推展的優先基礎工作。

7.現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。