工商社论》避企业国内外踩雷 政府应速修个资法

工商社论》

近期国内企业陆续发生重大个资外泄事件，对新上台的陈建仁内阁而言，个资保护已成为必须面对的优先议题。行政院目前已定调，短期会先以强化机制为主，一年内有可能成立个资第三级独立机关，但更值得正视的还是台湾个资法的修法，以除了保障国人个资权利，企业个资保护是否可与国际接轨，以免日后企业在海外踩红线而被重罚。

从近一年多台湾企业个资频传外泄，显示不论资安还是个资保护，台湾都必须再加把劲。对此，行政院已提出要就「事前防护、事后处理」两面向落实资安法及个资法，也提出可能着手修正个资法提高罚则，以及最快本会期提出专责机构组织法送立法院审议，预计一到两年内可成立。

个资法的方面，新版个人资料保护法（原名电脑处理个人资料保护法）2012年10月施行以来，距今已逾十年未修正，期间更经历号称史上最严个资法的欧盟一般资料保护规定（GDPR）上路，日本也在2021年修正个资法，南韩则是在2020年1月由国会通过新修正的「个人情报保护法」、「信用情报法」及「情报通信网法」，并于2020年8月5日施行，台湾的修法进度明显落后国际。

针对个资法修法，政府应思考的方向至少有三。首先是对「个资」的定义，以及对于特定个资（敏感性个资）的处理限制及运用规定；第二是设置国家个人资料保护机关（即专责机构）、且该机关是否具有实际裁量和处罚权；第三则是现有罚则如刑罚或罚金的调整。

目前在台湾如违反个资，民事部分每人每一事件可求偿金额500元至2万元，同一事件最高可求偿2亿元；刑事部分最高可处2年以下有期徒刑、拘役或并科新台币20万元以下罚金，但若意图营利可加重求处5年以下徒刑或并科新台币100万元以下罚金；行政处罚部分则是最高处新台币5万元以上、50万元以下罚锾，并令限期改正，届期未改正者可按次处罚。

日本过去对违反个资的罚金和台湾一样偏低，仅介于30万日圆至50万日圆，但2021年修法后，对非法提供资料库或违反主管机关（个人情报保护委员会）者，最高可对法人裁罚1亿日圆。欧盟GDPR的罚则更高达2,000万欧元或企业全球营业额4％的罚锾。至于南韩同样大幅提高罚金，2022年南韩个人情报保护委员会便曾对Meta和Google开出1,000亿韩元的罚单。

各国竞相提高对企业违反个资保护罚则已成大势所趋，政府未来修法时，除了提高罚度以宣示对个资保护的重视和示警企业，更重要的是用重罚提高企业对个资保护的意识，以免企业在海外误踩个资地雷，面临难以负担的罚金。

毕竟在国际化的潮流下，台湾企业不可能关着门做生意，以欧盟GDPR来说，包括网路零售业（跨境电商、连锁商店、旅游服务如订房网站等）、航运输业，以及金融业者跨境传输客户资讯时，都有可能曝露在GDPR的风险下，也因此政府修法逻辑不能仅限国内，更重要的是要和国际接轨。

同样地，对于个资的定义，以及如何算是触犯个资保护，同样不是台湾政府自己说了算数，必须更深入的参酌国际标准。像是GDPR定义的个资内容，除了个人身分和生物特征，还包括线上定位资料如Cookie、IP位置、行动装置ID和社群网站的活动纪录等。

最后则是所谓专责机构。以日、韩为例，目前都设有类似个人情报保护委员会的机构，但主要功能在解释与修正个人资料保护法，以及审议、决议各行政机关个人资料保护政策，至于各营利事业的个资保护处罚和消费者申诉还是回归事业主管机关。

以南韩来说，个人资料保护委员会是设在总统之下，由委员会整合调整各中央行政机关，再由各中央行政机关对其所属机关进行监督，可以说仍是「分散整合型」构造，并非集解释、监督、纠正、裁罚、申诉等功能于一身。台湾目前看来架构是在行政院之下，类似运安会，但职权范围，实际运行方式和其它部会如何分工，都尚不明确，政府必须先有明确蓝图，而非仅为成立而成立。

蔡英文政府就任以来，多次强调「资安即国安」。目前除了行政院有资安会报、数位部有资安署、近日更有被行政院副院长郑文灿形容是「集武林高手之大成」的资安院挂牌，显示政府并非没有意识到资安的重要。

然而，我们还是要提醒政府，资安并非仅有防止政府或企业网站被骇客入侵，更重要的是提高个人资料保护，特别是教育企业重视客户个资保护和强化相关个资的安全性，政府应更积极推动修正个人资料保护法，正视此问题。