公部門而言,持有人民的資料更全面,在個資法的規定,幾乎只要為執行法定職務履行法定義務,不用告知民眾也能取得資料,因此,管理重點應該放在各部門間的資料利用,嚴守每個機關間職掌及目的的不同,不讓資料任意流用,如有使用的必要,應該有一套標準,並且受到民意的監督,避免形成政府全面掌握個人,形成數位環境下監管的狀態。未來努力的方向,可以學習愛沙尼亞,將所有資料的調用,提供軌跡供民眾查詢、質問,以充分落實對民眾資料主體的尊重。
在私部門的領域,常常是透過當事人同意來取得資料,一個行業或是一個商業行為究竟要取得多少資料即足以供該行業或是商業行為運作,在歐盟有些國家是會透過商業團體或是個資保護機關來進行管理。因此,我國似乎也可以由此著手,在現行制度上,還是採取以各個目的事業主管機關為主,不妨先由目的事業主管機關邀請商業團體,先進行個資的蒐集範圍檢視,必要時由民間團體自行訂定標準,就個人資料的利用做法遵流程檢討,避免事情發生時,才進行亡羊補牢的動作。主管機關也可以考慮以短中長期擇定稽查對象,並事先輔導的方式,每年針對不同行業,來逐一改善各行各業對於個資的保護意識及能力,否則單單只是修法提高罰鍰,恐怕除了加重企業營運成本,未必能達保護個人資料以及建立信任的目標。
說到政府究竟應該提供一個如何的獨立機制,方能就我國的個人資料保護,達到資料的充分利用以及資料的安全保障,前者對於企業界面對競爭尤其重要,後者著眼於資料主體的人性尊嚴,因此如何在二者之間取得平衡,建立數位治理的信任,是不小的挑戰。一個權責更高的單位看來是必要的,數位時代的發展,會日漸改變政府原有的治理模式,只是快慢的問題,像是這幾年的新冠役情就加速了數位工具在民間社會的全方位滲入,也迫使政府有一些施政作為的調整。除了資安技術上的檢視及精進,協助各機關標準的訂定,另一方面針對個人資料蒐集、處理、利用的每個環節,有法律的介入,訂定標準協助公私部門遵行,畢竟以施政而言,處罰不是目的,必須達成資料能被依法保障及依法利用。最後,人民是資料的主體,對於資料的蒐集、處理、利用,如果有任何問題或權利主張,政府機關應該提供必要的行政單位,以供容納意見反映以及解決人民在個人資料上的問題,此舉也會有助於政府及早發現問題,而能及早處理。
*作者為執業律師、台北市政府法務局前局長
