文 / 楊春吉
壹、行政院會通過個資法修正草案,非公務機關洩個資最高罰千萬 (請參閱同名文 https://www.lawtw.com/archives/1128082)
按111 年憲判字第13號判決 https://cons.judicial.gov.tw/docdata.aspx?fid=38&id=309956 謂「……案由:聲請人因個人資料保護法事件,認最高行政法院 106 年度判字第 54 號判決,所適用之個人資料保護法第 6 條第 1 項但書第 4 款規定等,有違憲疑義,聲請解釋憲法。
主文:一、個人資料保護法第 6 條第 1 項但書第 4 款規定:「有關病歷、醫療、基因……健康檢查……之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:……四、公務機關或學術研究機構基於醫療、衛生……之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」與法律明確性原則、比例原則尚屬無違,不牴觸憲法第 22 條保障人民資訊隱私權之意旨。
二、由個人資料保護法或其他相關法律規定整體觀察,欠缺個人資料保護之獨立監督機制,對個人資訊隱私權之保障不足,而有違憲之虞,相關機關應自本判決宣示之日起 3 年內,制定或修正相關法律,建立相關法制,以完足憲法第 22 條對人民資訊隱私權之保障。
三、就個人健康保險資料得由衛生福利部中央健康保險署以資料庫儲存、處理、對外傳輸及對外提供利用之主體、目的、要件、範圍及方式暨相關組織上及程序上之監督防護機制等重要事項,於全民健康保險法第 79 條、第 80 條及其他相關法律中,均欠缺明確規定,於此範圍內,不符憲法第 23 條法律保留原則之要求,違反憲法第 22 條保障人民資訊隱私權之意旨。相關機關應自本判決宣示之日起 3 年內,修正全民健康保險法或其他相關法律,或制定專法明定之。
四、衛生福利部中央健康保險署就個人健康保險資料之提供公務機關或學術研究機構於原始蒐集目的外利用,由相關法制整體觀察,欠缺當事人得請求停止利用之相關規定;於此範圍內,違反憲法第 22 條保障人民資訊隱私權之意旨。相關機關應自本判決宣示之日起 3 年內制定或修正相關法律,明定請求停止及例外不許停止之主體、事由、程序、效果等事項。逾期未制定或修正相關法律者,當事人得請求停止上開目的外利用。
五、其餘聲請部分,不受理。……」。
又個人資料保護法第48條 https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=I0050021&flno=48 所定罰鍰,確實過低,大部分與其所獲利益不成正比,爰觸犯本條者雖遭罰緩,但仍是屢犯之,為有效遏止或減少此非法行為,自應在符合比例原則、法律保留原則等憲法上法律原則之要求下,依中央法規標準法第20條等相關規定,修正本條規定,提高罰則。
爰本新聞報導 https://tw.news.yahoo.com/%E8%A1%8C%E6%94%BF%E9%99%A2%E9%80%9A%E9%81%8E-%E5%80%8B%E8%B3%87%E6%B3%95-%E4%BF%AE%E6%AD%A3%E8%8D%89%E6%A1%88-%E9%9D%9E%E5%85%AC%E5%8B%99%E6%A9%9F%E9%97%9C%E6%B4%A9%E5%80%8B%E8%B3%87%E6%9C%80%E9%AB%98%E7%BD%B0%E5%8D%83%E8%90%AC-044606263.html 內所言:「
一、為了符合去年(111年)8月12號憲法法庭宣示第13號判決,要求相關機關應於3年內完成個資保護獨立監督機制,並為了解決目前個資法分散式管理下實務監管問題,且與歐、日、韓等國際趨勢接軌,加上近期非公務機關保有個人資料外洩事件,引發社會大眾高度關注,外洩的個人資料也容易遭到不法集團不當使用,甚至精準地針對個人資料當事人進行詐騙,因此進行修法。
本次修正草案增訂第1條之1,明定個資法主管機關為個人資料保護委員會,自這委員會成立之日起,屬中央目的事業主管機關、地方政府等權責事項,改由此委員會管轄。
二、另由於現行《個資法》罰鍰規範,各界普遍反映罰責過低,另為了提升業界對於個資保護的重視,修正第48條,明定非公務機關違反安全維護義務者,處新台幣2萬元以上、200萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新台幣10萬元以上、1,000萬元以下罰鍰;情節重大者,處新台幣10萬元以上、1,000萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰。」。
本文原則上,予以贊同。但依111年度憲判字第13號判決之意旨,尚有全民健康保險法等相關法令須在期限内修正之,也須注意。
貳、資安人士三點建議及就其之看法與建議 (請參閱同名文 https://www.lawtw.com/archives/1128165)
至於開放文化基金會董事長李柏鋒點出五個草案不足之處 https://tw.news.yahoo.com/%E9%99%A2%E7%89%88%E5%80%8B%E8%B3%87%E6%B3%95%E4%BF%AE%E6%AD%A3%E8%8D%89%E6%A1%88%E5%87%BA%E7%88%90-%E8%B3%87%E5%AE%89%E7%95%8C-%E8%A6%8F%E9%81%BF%E6%94%BF%E5%BA%9C%E8%B2%AC%E4%BB%BB-072317947.html,包括:「不願意降低訴訟門檻」、「不願意定義匿名化、 假名化是否為個資」、「不願加進個資蒐集最小化 (eg: 不要隨便蒐集身份證字號)」 、「獨立專責機構為三級機關,層級太低」、「沒有處理內政部外洩個資問題」。
並期望,草案進到立院後,各政黨應該替民眾把關,期望能做到包括:一、降低集體訴訟門檻。現行機制底下,要有20個受害人集結,再依第32條本章規定提起訴訟之財團法人或公益社團法人代為提起訴訟,且財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人、保護個人資料事項於其章程所定目的範圍內、許可設立三年以上。
二、禁止商店、企業隨便收集身分證號,要有特殊條件才能蒐集身分證號(李柏鋒認為,國發會應該擬出指引,然後發文給各事業目的主管機關,以監督個私人企業的資料蒐集要以最小化為原則[不能隨便蒐集身分證號 ]。讓民眾可以去消保官及主管機關申訴企業過度蒐集資料,例如上網買書如果被蒐集身分證字號,可依此方法去申訴,要求商店禁止蒐集)。
三、長期目標,李柏鋒呼籲應該廢除身分證終生一號制度,讓人民可以更換身分證號。」部分。
本文認為在「適度降低訴訟門檻」部分,得有效消除訴訟障礙,有助於更加保障人民之訴訟權,本文是贊同的。
又禁止企業、商店隨便蒐集「身分證字號」,只有在特殊條件下蒐集,對於企業及商店之限制,並非均完全涵蓋所有個資,僅在「身分證字號」等重要個資,尚係輕微,但確對人民的重要個資,達到「較高」之保障,仍符比例原則,也予以贊同。
但「廢除身分證終生一號制度」,恐生不少社會問題,徒生不少杜會成本,雖得討論,但須多方討論且慎重評估。
另外,公務機關洩個資行為之罰則,個資法並未明文,是否一併討論及增訂,也須思考。
參、個資法修正草案,三讀通過
根據2023年5月17日之報載 https://tw.news.yahoo.com/%E7%AB%8B%E9%99%A2%E4%B8%89%E8%AE%80%E9%80%9A%E9%81%8E-%E5%80%8B%E8%B3%87%E6%B3%95-%E4%BF%AE%E6%AD%A3%E6%A1%88-%E9%9D%9E%E5%85%AC%E5%8B%99%E6%A9%9F%E9%97%9C-%E6%9C%80%E9%87%8D%E5%8F%AF%E7%BD%B01500%E8%90%AC-030803758.html,個人資料保護法修正草案已三讀通過。
而修正後條款內容,僅止於提高「非公務機關洩密之罰則」及設置「個人資料保護委員會」之相關規定,尚不意外。但「公務機關洩密之罰則」「適度降低訴訟門檻」及「禁止商家、企業随便蒐集身分證字號」仍缺漏,殊為可惜,而且個人資料保護委員會之層級太低,也是易生「得否有效保障人民個人資料等隱私權?此疑慮」之處。
| 作者簡介 |
|
楊春吉 |
