個資保護委會 政院拚8月成立

行政院會本月27日拍板《個資保護委員會組織法》草案，明定個資會等同中央三級獨立機關，採合議制運作，力拚8月成立；另外個資法也將配套修正，增訂公務機關應設置個資保護長，及落實個資事故機關通報義務。

此次修法是回應憲法法庭111年憲判字第13號（健保資料庫案）判決，旨在建立個資蒐用的獨立監督機制。草案中除設立可統籌協調跨機關個資業務的「個資會」為主管機關外，亦導入「個資保護長」制度，方向值得肯定。

根據草案，個資會為中央三級機關，委員人數為五至七人，包括主委、副主委及二位專任委員，由行政院長任命；另設一至三位兼任委員，由機關人員或學者、專家擔任，同黨籍委員不得超過總額二分之一。

草案也規定，個資會可聘用相關專業領域人員，總額不超過50人。委員會採合議制運作，並有任期保障及明確的利益迴避規範，以確保獨立行使職權。日後個資外洩事件將由個資會統一受理，以利迅速掌握事態。為強化公私部門個資控管，個資會也將訂定共通基礎版安全維護管理辦法，作為未來執法基準。

此外，公務機關將設置由機關首長指派兼任的個資保護長，以統籌規劃方式深化公部門的個資保護文化。考量初期監管資源有限，已有明確目的事業主管機關的業者將在個資會成立後六年內逐步移轉監理事權。

然而草案仍存有工具不足的缺陷，應加強個資會的監督與裁罰工具，否則難以有效應對公務機關浮濫的個資再利用政策與外洩事件。台權會特別提出以下建議，盼完善本次修法：

個資法應處罰機關，而非僅懲處人員，避免責任失衡

個資保護是制度性責任，但本次修正第21條之4僅允許個資會公布情節重大違法機關名稱，並以子法懲處所屬人員，究責機制明顯不足。事實上，勞動部依據勞基法即有裁罰違法機關並公開查詢的先例。建議將罰鍰納入最後手段，以更有效制止公務機關違法濫用個資。

個資保護長設置應避免利益衝突與角色混淆

內部監督機制須保持獨立性，因此不適合由從事資料蒐用之人員兼任個資保護長。參考歐盟2017年個資保護指引，執行長、行銷、財務、人資及IT主管等均屬可能利益衝突之職務。建議個資保護長明確排除與資料蒐用有直接關聯的人選，並將現行第18條規定之「個資管理人員」職務由個資保護長統籌。

此外，對私部門可依規模分級管理，規模較大者除設個資長外，更需加入外部稽核；次級者僅採用個資安全維護計畫即可。

明確區隔「通報」與「通知」條件，降低通報門檻

台灣過去的個資外洩事件，最大爭議常是未及時通知受害人，導致無法防範後續傷害。例如銓敘部、戶政及私部門平台個資外洩事件，都突顯此問題。此次修法卻將通報與通知綑綁，且門檻設於「重大危害」，易產生誤解，如認為「未產生金錢損失即無危害」或「不含姓名即無需通報」等，可能造成健康或位置資料等外洩難以有效掌握。建議適度降低通報門檻，區隔通報與個別通知條件，並由個資會彙整通報資料公告於單一網站，便於查詢。

此外，第12條規定之應變措施，也不應限於機關「知悉」有侵害事件後才行動，只要可能存在侵害風險，即應立即採取措施。同時，受託通報單位也應具備團隊成員不從事資料蒐用的資格，以避免利益衝突。

最後須重申，個資侵害不僅限於外洩、竄改等行為，超出必要性或未依特定目的蒐用資料，或阻礙當事人停止利用資料權利之行為，亦應視為個資侵害。因此私部門風險評估及違法樣態辨識，亦應納入修法的完整考量範圍。