以上是第一階段的工作成果。我們後續會依照第一階段所蒐整的意見進一步研議要採行的妥適措施,明年度進入第二階段,我們會針對未涉及個資法修法的議題,修正施行細則或者是發布相關的指引跟函釋,也會持續觀察國際立法例的發展,研議未來個資法的修正方向,以上報告。
經蒐整意見後,有認為如果要採取強制的個資影響評估,必須要修正個資法,有建議採用修正施行細則的方式,明訂應採行個資衝擊影響評估,但不論是不是要修正個資法或是施行細則,大部分都建議要訂定指引、使產業瞭解衝擊影響評估的內容。
第六個議題,針對個資衝擊影響評估,現行個資法施行細則第 12 條第 2 項第 3 款,雖然可以採行個人資料風險評估與管理措施,但這是安全維護措施,不是強制性的,而且針對哪一些業務需要評估,該怎麼評估,都沒有相關的規定,所以要討論的是,如果要強制進行個資衝擊影響評估的話,施行細則是不是可以作為依據,是不是要搭配相關的指引來釐清範圍,或者是必須要在個資法上明文規定。
另外,也有建議可以在個資法上修正通知當事人時機等等的規定,針對通報主管機關的部分,因為現行法是沒有規定的,因此多數認為應該在個資法上增訂。
針對通知當事人門檻的部分,建議可以修正個資法的施行細則,針對個資外洩事故造成風險來作評估,需要作為通知當事人的門檻。
蒐整意見後,針對個資外洩事故的通知方式,認為可以不用透過修法的方式來處理,可以指引及加強教育宣導來落實。
針對通報主管機關的部分,因為現行個資法是沒有明文規定的,在授權主管機關訂定的辦法裡面,有要求發生個資外洩事故的時候,要通報主管機關。
另外,是不是無論侵害事件的大小都必須要通知當事人?這個會不會造成疲勞通知的狀況?
第五個部分是個資外洩通知,主要包含兩項,一個是通知當事人、一個是通報主管機關,針對通知當事人的部分,現行施行細則第 22 條,通知當事人的方式似乎不夠明確,例如現行法規定在需費過鉅的情況下,可以用網路的方式來通知當事人,這個意思不是很明確。而針對通知當事人的時機點的部分,個資法有提到「應查明後」通知當事人,但是查明後的時間點,也不明確。
另外,針對有效同意的要件,也有學者建議可以修正施行細則。
另外,也有學者建議可以透過設計動態同意的方式,讓當事人隨時查詢個資運用的情形。另外也有建議針對特定目的,經過去識別化到一定程度的情形,適度限制當事人撤回同意,來減輕企業的負擔,因為去識別化到一定程度,如果當事人要撤回同意的話,可能還必須要作回復、去識別當事人,反而會對當事人不利,或是實務執行上有一些困難。
另外,當事人可以撤回同意,是不是要在個資法上規定,如果有規定必要的話,撤回同意的時機跟要件,要作怎樣的規範?經過蒐整意見後,針對有效同意要件的部分,應該是不用修法,可以透過指引跟函釋來加強說明。
第四個部分是針對同意的部分,主要因為目前的同意有過於寬泛、流於形式,相關規定可能要更為明確,如果是要有效同意的話,當事人是要自主知情的同意,而且這個同意必須要具體跟明確,才是有效同意,這個要件是不是要在個資法明訂?
經蒐整意見後,認為針對自動化處理個資作成決定的部分,應該可以包含在現行個資法第 8 條、第 9 條蒐集時的告知事項,所以可以不用修法,透過指引、函釋的方式加強,但是針對目的外利用的告知部分,可能會涉及到修法。另外也有學者建議可以考量在特定情況下,用公告的方式進行告知。
第三個部分是針對告知的部分,主要討論的是,針對目的外利用及利用開放資料經過自動處理來做成決定的部分,應該要告知當事人。相關的告知是不是於子法上明訂?而告知的方式是不是必須要在個資法上明定?
經過蒐整意見之後,多數認為不需要透過修法的方式來處理,可以透過指引函釋或者是修正施行細則的方式來強化說明。另外,也有學者建議這個查閱權是當事人要行使其他權利的重要參考,所以也可以搭配動態同意、軌跡查詢等等的機制,協助當事人瞭解,即時行使權利。
第二個部分是查閱權,當事人查閱權的範圍應該要涵蓋當事人網路活動,因為現在個資法上已經有查詢權的相關規定了,但這個查詢權的範圍,是不是可以包含到當事人網路活動的紀錄,如果沒有辦法包含的話,個資法上是不是要增訂,如果可以包含的話,是不是需要透過指引或者是函釋來增加明確性?
經過蒐整相關意見後,拒絕行銷權的部分,因為個資法已經有相關的規定,將透過指引及函釋來加強說明,但是針對合法蒐集的個資,要賦予當事人拒絕權的話,可能會涉及到修法,因此可以參考外國立法例在個資法上增訂。
以下就針對承諾事項所包含的六項議題說明目前的辦理成果,首先是針對拒絕權的部分,我們個資法只有針對拒絕行銷權有明文規定,是不是要針對控管者合法蒐集的個資也要增訂當事人可以有拒絕權,還有是不是在個資法上增訂相關限制的規定。
另外一個是,針對承諾事項的議題,在 5、8 月召開兩次的研商會議,其中 8 月份的研商會議,我們邀請全體的委員出席,也請委員推薦一位非委員的人參與討論,共有九位民間委員跟三位推薦人員出席,以落實公私協力。
為了推動第一階段的相關工作,我們主要採用下列兩個方式來進行推動:第一個是辦理委託研究案,這個研究案會在今年底完成結案報告,所彙整的國際立法例相關資料也已經放在今天簡報的附件當中。
針對承諾事項,在三年半的期程當中,我們分為三個階段規劃、量化衡量指標,第一個階段是今年度要辦理的事項,主要是蒐集外國立法例跟學者專家的意見,第二個階段是明年度要辦理的事項,也就是針對今年度所蒐整的外國立法例跟學者專家意見,納入個資法的修正草案來進行研議。另外,針對沒有涉及到修法的部分,會以修正施行細則、發布指引或者是函釋的方式來處理。第三個階段是 113 年 5 月完成個資法的修正草案提報行政院。
本會承諾事項的議題,主要來源是民間建議修正個資法,有關告知同意等規範,以強化數位隱私的保護,所以我們據此研提了這個承諾事項的議題,主要可以分為兩大類,第一個部分是強化當事人個資保護,這部分會包含五項議題,分別是拒絕權、查閱權、告知、同意、個資外洩通知,後續在簡報第 6 頁以下會進行說明,另外一個議題是個資衝擊影響評估。
召集人、各位委員,國發會報告強化數位隱私與個資保護的推動進度,今天簡報主要分為五個部分,第一是針對本會承諾事項的議題說明,第二是承諾事項三個階段的量化指標,第三個部分是第一階段相關工作的推動歷程,第四個部分是目前的辦理成果,第五則說明後續工作的推動重點。
