法律意見|民間版《個人資料保護法》修正案
2025-5-27
民間司法改革基金於2025年5月29日,針對行政院2025年3月27日公布之「個人資料保護法法」草案,提出民間版個資保護法修正案,謹供各界參酌。
為建立我國個人資料保護獨立監督機制,並深化落實個人資料保護,我國行政院於2025年3月27日提出「個人資料保護委員會」組織法草案,以及「個人資料保護法」部分條文修正草案,擬將設置個人資料保護委員會作為獨立監督機關,並賦予該機關統一受理事故通報等必要監管職能,以符現行先進國家個人資料保護監管模式之國際趨勢。綜觀行政院本次提出之「個人資料保護法」部分條文修正草案,相較於現行法規雖已有進步,然內容似有應變效率不彰、保護當事人權益不周等缺失,茲說明如下:
一、 增修敏感資料類別:修正草案第6條,本會認為應增列「種族或民族背景」、「政治意向」、「宗教信仰」、「工會會員身份」四類資料,以強化對特定敏感類別個人資料之保護,且該等資料亦屬足以嚴重影響權益之敏感資料,應納入保護範疇。
二、個資侵害事件通報方式與對外公告:修正草案第12條,本會認為公務機關及非公務機關應「以適當方式即時」將個資侵害事件之「具體內容」通知受害主體,並通報主管機關,且主管機關於必要時,亦得要求該等機關「對外公告」個資侵害事件及其內容,以使各界得適時採取因應措施。
三、 修正草案第15條,本會認為應刪除第三款「對當事人權益無侵害」之規定,原因如下:
1.蓋該例外規定已與資訊流通多繁之今日相去甚遠,適用上不僅無從確認是否全無影響任何個人權益,且第一、二款規定,亦足以使公務機關完成個人資料之蒐集;
2.另外,保留此一例外規定,恐會使公務機關在非法蒐集或處理個人資料後,據此辯稱對當事人無侵害,進而造成人民隱私遭嚴重戕害。
四、修正草案第16條,本會認為應刪除第一項第六款「有利於當事人權益」之規定,理由同「三、」所述。
五、修正草案第18條,本會認為主管機關依第五項訂定相關辦法時,應包含個人資料保護長等人員之專業知識、經驗及應取得之資格認證門檻等,並明訂細節性之「資格取得、兼任及兼職等限制」,以制度保障該等人員行使職權之獨立性,並避免利益衝突。
六、修正草案第19條,本會認為應刪除第一項第八款「對當事人權益無侵害」之規定,理由同「三、」所述。
七、修正草案第20條,本會認為應刪除第一項第七款「有利於當事人權益」之規定,理由同「三、」所述。
八、修正草案第21-1條,因現行法規僅有上級機關對下級機關之內部稽核制度,故本會認為應增訂「外部稽核」條款,即主管機關應「定期委託外部獨立機構進行抽樣、查核」,並「建立公開揭露機制」,以確保稽核結果客觀中立,並避免產生內部形式稽核、輕忽風險等問題。
九、修正草案第21-2條,本會認為主管機關稽核公務機關實施個人資料保護管理事項之結果,應「至少每兩年主動公開」,以供各界檢視執行成效。
十、修正草案第21-4條,因現行法規僅針對非公務機關違反本法時有相關罰則,本會認為此部分應有缺漏,故增訂公務機關所屬人員未依本法規定辦理時,應依「主管機關訂定之懲處事項辦法」進行懲處,以明定相關懲處之法源依據。
十一、增訂第48-1條,本會認為本法長年未訂定公務機關違反本法相關規定時之明確罰則,應非妥適,爰比照非公務機關相關罰則規範,增訂公務機關違反其第21-4條時之罰則。
十二、修正草案第51-1條,目前給予主管機關長達六年之建置時間,然而本會認為對於個人資料保護已有相當實務經驗,在資訊爆炸之時代下,政府對於人民個人資料保護有即時保護之必要性,故應於主管機關成立之日起「二年內」,完成相關統一監理制度之建置,以符合社會期待。