由下而上建立值得人民信賴的司法

聲明|司改會針對行政院2025年12月版《個人資料保護法》修正草案之意見

在我國當前貧瘠的數位權利環境下,《個人資料保護法》(下稱《個資法》)是這個權利荒漠中的微小綠洲,雖然打擊範圍顯不足以處理如今多重的數位人權議題,但仍是台灣人民在司法途徑上僅有的「窄廊」。對於現行個資法之缺失和改善方向,民間與學界已討論多年,現今因憲法法庭111年度憲判字第13號判決(簡稱「憲法判決」)要求行政院做出具體立法修正,尤其要求建置外部監督機關來監管公私部門之個資蒐用,我國《個資法》才終於有機會往更好的方向邁進。

然而,行政院於2024年12月20日公布的《個資法》修正草案,卻是讓民間期盼多年的希望再次落空。對此,民間司法改革基金會(下稱司改會)提出聲明如下:

草案未依憲法判決意旨建立對公務機關之有效課責機制,無法實際預防與處理政府個資事故

長期以來,我國《個資法》的重大缺失即在於沒有對公務機關建構具體的課責機制。亦即,現行《個資法》的問題,除了在於組織法上是否存在獨立監管機關之外,同時也在於法制上是否存在可操作而有效的究責機制。而這也正是民間團體集眾人之力進行策略訴訟,一路走來終於獲得有利憲法判決之宗旨之一。憲法判決主文第2項所課與行政院修法之義務與方向,絕非只是要求成立一個貌似獨立機關的空殼,而是要求成立一個「有牙齒」、有具體究責機制的獨立機關。1若草案不能滿足這一項基本要求,恐怕就是依然違憲。

自憲法判決作成以來,又發生多起政府機關之個資外洩事件,尤其如「全民中獎」之2022年全國2,300多萬筆戶政資料外洩事件,對於人民隱私權利構成系統性的嚴重侵害,著實殷鑑不遠,亟需完善法治。司改會於2023年5月行政院前一次修法草案釋出時,即已指出行政院草案「寬以待己,政府未扛起官方資料庫外洩個資的責任」的根本問題,孰料此次行政院的《個資法》修正草案仍然未能拿出足夠的誠意與魄力來補足我國《個資法》未能對於公務機關有效課責的嚴重缺漏,未能痛定思痛正視獨立機關有效課責之必要性。

本次修法草案中,名義上,行政院增訂「第三章之一 行政監督」,並在立法理由中也承認了憲法判決要求修法加強對政府蒐用個資之合法性與可信度之監督。2然而,草案條文之設計,卻是不論在概念上,或作用上,似乎都距離人民與憲法法庭所希望看到的課責機制十分遙遠。

具體來說,所謂的「第三章之一 行政監督」實際上僅有4條,前3條全部都只是書寫出來公務體系本來就應該有的、最基本的管理流程(例如公務體系內部稽核;有缺失的要交改善報告;可要求受監管機關做說明或調整;有違法之虞者可要求資料或說明或實地檢查)。3另外,整部草案全文,竟只有一條(草案第21條之4)稍有觸及政府機構違反個資法時可能遭受到的不利後果(第1項公布機關名稱與違法情形,以違法「情節重大者」為限;第2項按情節輕重懲戒或懲處公務機關所屬人員)。如此低密度的規範,難以想像已經達到憲法判決要求行政院「加強」對公務機關蒐用個資之合法性與可信度。

以「重大危害之虞」作為通知當事人及通報主管機關之前提,有損人民權利保障

草案第12條第2項增加「事故對於當事人權益有重大危害之虞」為「通知當事人」與「通報主管機關」義務發生之前提。此種前提設定,首先,「危害之重大與否」係高度不確性之法律概念,將任由通報及通知義務人自行認定該事故並無重大危害而不予通報及通知。再者,在個資洩漏事件發生時,事故機關在當事人求償以及主管機關處罰的雙重負面後果下,顯然有高度動機盡可能不通報及通知。這種「球員兼裁判」的草案設計,將使通報及通知義務規定形同虛設。

雖立法理由稱此前提規範係參考日本、韓國的個資法規定,因此增加「事故對於當事人權益有重大危害之虞」為通報前提云云。但事實上,日本與韓國法制皆未曾以侵害權益之重大程度作為通報及通知義務門檻。

立法理由雖說明「一律要求事故機關進行通報,可能對真正重大且急迫之事故產生排擠」,然而,「通知當事人」與「通報主管機關」兩者本為不同意義與功能之法定義務。通知當事人為事故機關最基本的告知義務,使人民得以清楚知悉自身整體之個資與隱私風險;4而通報主管機關則是使主管機關得以檢視事件發生的緣由,並於必要時要求事故機關做出補救或整改方案,甚至向其他機構提出警告。對於當事人通知所耗費的行政量能,應遠低於與主管機關通報,單以行政量能作為一律採取以較高的開啟義務門檻,將人民得知自身個資發生事故之基本權益也受限,恐非合理。至於「通報主管機關」之法定義務,亦有諸多法制設計之方法,行政院如欲就須向主管機關通報的事故類型加以規定,並應就事故類型賦予更明確的定義。目前草案僅以「重大危害之虞」作為通報要件,實為不妥。

期盼行政院懸崖勒馬,讓個資法真正保障人民權利

雖憲法判決給予行政院3年的充分時間修法,行政院仍遲至2024年12月20日才釋出草案版本,且逕大幅縮短法定60日公告期,僅定21日開放陳述意見(若扣除國定假日僅有14日),程序上有嚴重瑕疵,也讓關心個資保護的公眾與公民團體沒有足夠時間充分審視草案、表示意見。

司改會近年積極關注公私部門在快速數位化的過程中,對人民權利、公權力界線等權力結構之改變。綜觀我國當前之數位法治環境,嚴重欠缺具有系統性、全面性的立法,尤其缺乏具實際可操作性的法律與治理機制,使公民具備最基礎的權利主張,得以透過法治架構對於政府或私部門的侵害予以事前的預防與事後的救濟。(註:關於此類全面性立法草案,請參司改會邀集法律與資訊科技專家共擬之《數位權利法案》草案,致力於確立數位環境下公民之權利與政府義務、公權力之界線與政府限制人民權利之正當法律程序及救濟機制。)

本會期勉行政院及時正視憲法判決所課予的憲政義務,切勿放任違憲的狀態持續,也避免對於人民權利保障、究責之機制持續真空。


1 「前述組織上與程序上必要之防護措施中,個資保護之獨立監督機制為重要之關鍵制度。此一獨立監督機制之目的,在於確保個資蒐用者對於個資之蒐用,均符合相關法令之規定,以增強個資蒐用之合法性與可信度,尤其個人健保資料業已逸脫個人控制範圍,如何避免其不受濫用或不當洩漏,更有賴獨立機制之監督。」
2第三章之一立法理由「鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督,…,並於第一節增訂對公務機關監督之相關規定。」
3 這3條之中,其中有2條還是幾乎從也尚未通過的行政院版《資通安全管理法》修正草案複製貼上,僅在語意上做微幅調整。(第21之1條即政院資安法草案第14~16條;第21之2條即政院資安法草案第21之1條第3~5項)。
4在個資洩漏事件中,即時通知當事人可給予當事人機會迅速做出相對應的損害控管處置,例如當事人可變更密碼、刪除網頁中儲存之敏感資訊(例如得以辨識人別的身分證明文件資料、出生年月日、電話號碼或財務訊息如信用卡資訊)。

聯絡人

民間司法改革基金會 國際事務暨暨數位人權專案經理 黃律師
信箱:[email protected]