由於近年詐騙事件頻傳,要求修正「電腦處理個人資料保護法」的呼聲不斷。在個資法修法過程中,民間社團也不斷提出修法意見,但幾乎都沒有被行政院所採納,2010年5月26日立法院新通過的「個人資料保護法」,完全是依行政院版本所通過。當時法務部的立場是先求有、再求好。但立法院通過修法至今,行政院卻遲不公布新法施行日期,主要原因是有部分業者反應新法第六條(規範敏感性個資)及第五十四條(過去未告知當事人所蒐集之個資,須補告知),窒礙難行。行政院這種作法不但嚴重侵害三權分立原則,也造成了全民個資保障的空窗期問題。
因此,今天除了台灣人權促進會及民間監督健保聯盟等民間社團,也邀請了跨黨派(民進黨、親民黨、國民黨)的立法委員及法務部代表,共同來正視這個嚴重的問題。
特定目的範圍不明確,造成監督與賠償機制的缺口
新法第五十六條第二項明文刪除舊法中規範非公務機關的相關條文及子法﹙第 19 條至22 條、第 43 條﹚,且自公佈之日起生效。原本非公務機關在開始蒐集個人資料前,應先將蒐集個人資料的特定目、類別,以及利用範圍向主管機關登記的清清楚楚,以便於主管機關監督,民眾查詢,同時在訴訟上成為法院判斷有無違法的基礎。
如今在新法刪除舊法要求非公務機關登記制的相關規定,新法又尚未完全施行生效上路的情況下,不僅是舊法下所規範的特定八大行業,其他新法所欲規範的主體,包括所有的團體、法人、自然人,在蒐集個人資料前,無庸再清楚說明蒐集個人資料的目的、類別、及利用範圍,不僅造成主管機關在監督上的困難,法院也難以判斷業者蒐集與利用是不是超過特定目的,使得救濟與懲罰均難以落實。
新法不生效,個資保障漏洞危及全民
為了彌補舊法保護不足的缺失,新修之「個人資料保護法」,擴張保護客體,將紙本處理的個資,其他毛髮、血液、檢體等形式的實體個人資料,均納入保護範疇之中。並打破「行業別」立法模式的限制,讓任何有蒐集、處理個人資料需求的團體、機關、法人、行業都受到「個人資料保護法」的規範。在求償制度上,除了將損害賠償的額度提高至兩億外並增加團體訴訟制度與告知義務,亦即當個人資料外洩時不論公務機關與非公務機關均應主動查明事實與告知當事人,以利當事人進一步索賠。
近幾年大筆個資外洩事件層出不窮,在新法尚未生效之前,當個資外洩時,資料持有者並沒有義務主動通知客戶,受害民眾非旦無從得知個資外洩的情況,難以評估後續可能遇到的風險與處理方式,也難以求償。更無法藉由賠償及懲罰機制課予業者充分落實資安維護的義務。「個人資料保護法」自 2010 年 4 月立法院三讀通過後,至今已逾兩年未施行的空窗下,保障全國民眾個人資料的法律機制蕩然無存。
因此,我們強烈要求行政院及法務部:
一、必須對於個資法修法所造成的空窗期問題,提出具體的解決之道及時程表。
二、若要重新修法,應整部個資法重修,而非僅放寬第六條及第五十四條。
三、相關部會首長應就個資保障空窗期問題,向全國人民說明及道歉,並負起政治責任。
近年大筆個資外洩案例
2011/12/24 警方查獲詐騙集團,電腦中發現台新銀行兩萬筆客戶現金卡、存摺個資
2011/8/22 永信房屋因內部員工操作疏失將5000筆求職者個資郵寄外洩
2011/6/14 國稅局辦抽獎將500名中獎人詳細個資公佈於網路上
2010/12/10 玉山銀行未落實資安控管,一萬六千筆客戶資料遭駭
2010/8/11 遠東銀行將客戶的車貸資料,洩漏給合作車商,聯徵中心停止查詢權
2010/6/20 台灣銀行未將客戶個資妥善保管,千筆開戶資料散落於西濱快速道路上
2009/6/15 台新國際商業銀行股份有限公司未能妥善保管客戶資料一再發生客戶資料外洩情事,經金管會核處罰鍰新台幣400萬元