個資法修正避重就輕 非不能也實不為也

行政院日前通過《個人資料保護法》修正案，其新聞稿指出，有鑒於近期個資外洩事件已造成社會大眾高度關注，為了防堵詐騙，並期「符合憲法法庭111年第13號判決意旨、國家人權行動計畫的規劃及國際趨勢」，乃修訂3項條文，包括提高民眾個資外洩事件的相關罰責，隨即將函請立法院審議。

三項新的條文，一是設置新的委員會作為主管機關（第1條之1）；一是規定新規定的施行日期（第56條）；一是加重課加防範個資外洩的法律責任（第48條）。

施行日期條文暫可置之不論；設置新的獨立主管機關，頗符合若干論者的期待，由於組織立法尚未出爐（依《中央行政機關組織基準法》，獨立機關之組織應以法律定之），如何獨立運作，運作效益如何，恐皆言之過早，尚待觀察。值得討論的主要就是加重民眾及企業個資外洩的法律責任，以及還有什麼該修正卻未修正的地方？

先看所提到憲法法庭關於健保資料庫的判決，它是這樣說的：

主文：「由《個人資料保護法》或其他相關法律規定整體觀察，欠缺個人資料保護之獨立監督機制，對個人資訊隱私權之保障不足，而有違憲之虞，相關機關應自本判決宣示之日起3年內，制定或修正相關法律，建立相關法制，以完足憲法第22條對人民資訊隱私權之保障。」

理由：「就資訊隱私權之保障而言，除應以法律明確訂定蒐用個資之目的及要件外，應配合當代科技發展，運用足以確保資訊正確及安全之方式，並對所蒐集之個資採取組織上與程序上必要之防護措施，以符憲法保障人民資訊隱私權之本旨。」

現在看到的修法，組織上的新辦法暫不具論；所採取程序上的防護措施，就只有加強民眾及企業個資外洩的法律責任而已。在獨立機關的監督機制成形之前，以之作為主要的外洩防護手段，肯定不足。因為可能發生大規模個資外洩的單位必然不會只有私部門機構，政府機關也常是竊取個資者的重要下手對象。沒有足夠的規範對應於公務機關個資維護不周的法律責任，原就是《個資法》的重大欠缺。

尤其近年實際上發生的公務機關個資嚴重外洩，絕非孤立的事件；後續的調查或追究責任，多是諱莫如深。現在的修法草案卻依然只是加重民間社會的外洩責任，卻對公務機關防範外洩應該採取的必要程序，以及如何提升其防範不周招致外洩的注意責任，全無著墨；以此防堵詐騙，難道不是明察秋毫而不見輿薪？

嚴防私部門卻寬縱公部門，在《個資法》條文中不是孤例。例如第25條規定，非公務機關違反規定時，可以公布非公務機關的違法情形，及其姓名或名稱與負責人；公務機關違反規定時，就缺乏類似的規定。第12條規定，公務機或非公務機關違反規定致使個人資料被竊、洩漏、竄改或受侵害者，應查明後通知當事人，以便其有所防範。但對於違反外洩通知義務者，只對非公務機關訂有罰則（論者尚以為罰則過輕，通知義務幾乎只有裝飾功能，猶其餘事）；卻對公務機關違反通知義務時無任何處置。

如此一來，通知義務成為訓示規定，豈非具文？這樣的防衛機制，不過是法條上的表面功夫罷了。公務機關執行《個資法》不力，如何懲前毖後？現行法的規定，幾近束手無策；修法草案也完全無心切實檢討改進。

以如此簡陋的修法草案，敷衍憲法法庭關於檢討《個資法》的諭示，避重就輕的態度可議，《個資法》品質堪慮，只能說提案部門非不能也，實不為也！（作者為東吳大學法律研究所教授）