行政院於114年3月27日公告「個人資料保護委員會組織法」草案及「個人資料保護法」部分條文修正草案,並稱這次的修法「完備獨立監督機制及執法權限,建立 AI 全面應用時代資料治理」。本次修法大概是個資法施行以來最大的一次變動,本文擬由修正條文的內容,比對外國法的相關規範,檢視目前的修法方向,並看看究竟所謂「AI 全面應用時代資料治理」是怎麼一回事。
修法核心及背景
本次修法的核心在於依照憲法法庭111年憲判字第13號判決對建立獨立監督機制的要求,建立個人資料保護的獨立監督機制,主要涉及個資會的組織定位、公務機關監理制度、個資事故通報機制,以及非公務機關的過渡性監理安排等面向。最大的修正部分主要在於針對事故通報機制要求的強化,及增訂第三章之一「行政監督」,首次建立對公務機關的完整監督機制。
修正草案對公務機關建立了多層次監督架構,包括機關內部的個資保護長制度、上級機關的督導稽核制度,以及個資會作為獨立機關的稽核與檢查權。公務機關須每年向上級機關或主管機關提出個資保護管理事項實施情形,並對所屬機關進行督導稽核;個資會則有權定期或不定期稽核公務機關,發現違法時可命令限期改正,必要時甚至可公布機關名稱及違法情形(比非公務機關好一點,非公務機關違法時負責人也會被公布 §25I(4))。
個人資料保護長(DPO)的角色
DPO的角色在外國立法例中屢見不鮮,歐盟、英國、泰國、韓國、新加坡等主要國家都有類似的規定。如歐盟的《一般資料保護規範》(GDPR)第37條即要求公共機構和某些非公務機關任命DPO,且規定DPO必須具備資料保護法律和實務的專業知識,其職責包括提供法規遵循建議、監控內部流程,並作為與監理機關的聯絡人(GDPR第39條),且上開各國的DPO不僅設置於公務機關,亦要求具有一定條件(比如核心業務涉及定期且系統性地大規模監控資料當事人、年營業額達到一定標準)的非公務機關也必需要設置DPO之職務。新加坡則規定所有的「機構」都必需要設置DPO此一職務[1]。
目前草案第18條第1項也要求我國各公務機關設置DPO,由「首長指派適當人員兼任」,以加強對個人資料保護的內部監督。個資保護長的職責包括推動和監督其機關及其下屬單位的資料保護實務,確保遵守個資法,進行內部評估,並與個資會就監理事務進行協調。立法意圖強調需要一個專職人員來彌合政策與執行之間的差距,確保公共機關負責任地處理個人資料。
個資保護長能否「外包」?
草案第18條第1項規定「公務機關應置個人資料保護長,由機關首長指派適當人員兼任」,那可否由外部人士兼任?類似的文字也出現在113年7月4日公告的「資通安全管理法修正草案」第12條「公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任」中。如果以文義解釋,「首長指派」就應該只能指派機關內的公務員兼任,而不能由外部專業人士兼任。
不過,參考各國立法例,歐盟、英國、泰國都允許公務機關和非公務機關均可將DPO工作外包,歐盟資料保護委員會(EDPB)前身—第29條工作小組在其指導文件中進一步闡明:「DPO 可由控管者或處理者內部人員(內部 DPO)擔任,也可通過服務合約由外部組織或個人(外部 DPO)擔任」,僅要求外部 DPO 需具備法律、資安或資料保護相關專業資格,且必須保持獨立性,避免利益衝突,例如不得同時擔任控管者的資安部門主管。新加坡也不限制DPO由機關內部人員或外部專家擔任,僅強調必須賦予DPO充分的權力以履行職責;韓國則明訂公務機關的DPO要由事務官擔任、非公務機關的DPO則要由企業代表人、董事或最高管理階層成員兼任。
歐盟等地之所以允許由外部人員擔任DPO,應是基於其DPO制度的設計在於監督,因此由外部人執行監督為適當且合理的制度設計方式。實務上,歐盟許多公部門採用外部 DPO 模式。如德國聯邦資料保護法(BDSG)第5條第4項明文規定可以透過服務合約由外部人擔任此一職務;法國國家資訊與自由委員會(CNIL)的指引也表示組織可以任意選擇內部或外部人擔任DPO,只要此DPO人選具備CNIL要求的專業能力[2]
依照前述的外國立法例,再考量草案中對於DPO的職務著重在監督機關內個人資料保護制度的執行、我國公部門資源配置不均、專業人才可能不足、內部個資長可能面臨人情與長官的壓力(修正草案第18條第3項特別規定「公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施」,顯然也預期會有長官的壓力)等實際情況,適度開放外部專業人士擔任DPO或允許不同機關共同指定同一人擔任DPO,以契約確保外部DPO的獨立性與專業性,例如不得同時承接該機關的其他業務以避免利益衝突,或許更具實務可行性,更能達到本次修法設置DPO的目的。
個資事故通報制度的重大變革
修正草案第12條對個資事故通報制度進行了實質性強化,這是此次修法的重要亮點。舊法僅規定公務機關或非公務機關在「違反本法規定」致個資遭洩漏等情形時,「應查明後以適當方式通知當事人」,但未明確規定通報主管機關的義務,且缺乏罰則作為未遵循法令的代價,導致實務上通報意願低落。畢竟不通報沒責任、通報卻可能面臨求償、處罰,除了大型、有制度的業者外,哪一個理性的人會依法進型事故通報?
新修正的第十二條不僅將通知當事人的觸發條件從「違反本法規定致個資被竊取」修改為「知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏」,明確規定「應」通知當事人,並於第二項新增通報義務,規定事故符合一定範圍時,公務機關須向主管機關及上級機關通報,非公務機關則須向主管機關通報。第三項進一步要求採取即時有效的應變措施並保存紀錄,第四項授權主管機關訂定相關辦法。
配合第四十八條第二項的新增罰則,非公務機關若違反通報義務、應變措施或紀錄保存規定,將直接面臨新臺幣二萬元以上二十萬元以下罰鍰,且無須先經限期改正程序。這種直接處罰機制顯著提高了違反通報義務的成本,有望改變以往傾向不通報的現狀(過去不通報無罰則,通報反而可能面臨行政處罰及當事人求償)。
從國際比較角度看,此次修法已接近國際標準,但仍有完善空間。GDPR 第33條明確規定,個資控管者須在知悉個資侵害後72小時內通報監督機關,除非該侵害不致造成自然人權利與自由風險;第34條則規定,當侵害可能造成自然人高度風險時,須通知當事人。違反通報義務,依 GDPR 第83條,最高可處以1000萬歐元或全球年營業額2%的罰款。相比之下,日本個資法2021年修訂版(2022年4月1日全面施行)第25條對行政機關及第66條對民間企業均規定了個資洩露通報義務,違反時可處以最高100萬日圓的罰金。韓國個資法第34條同樣要求個資洩露時通報主管機關並通知當事人,違反者可處3000萬韓元以下罰款。
我國修正草案雖建立了通報機制及罰則,但仍未如 GDPR 明確規定通報時限,也未依個資事故風險程度區分通報義務,且針對公務機關違反通報義務缺乏明確罰則。參考 GDPR 的72小時通報時限、日本「迅速」通報(通常不超過30天)及韓國5日內通報的規定,我國可考慮制定分級通報時限,例如高風險事故(如涉及特殊類別個資或大規模洩露)須在72小時內通報,低風險事故可延長至5日內。此外,目前罰鍰僅針對非公務機關,但公務機關持有大量且高度敏感的個人資料,應參考韓國模式,對公務機關違反通報義務增設罰則,例如處以新台幣5萬元至50萬元的行政罰鍰,以提升執行力。
對非公務機關的監理
修正草案第22條至第26條對非公務機關的監督機制進行了實質修改。第22條明確規定了主管機關對非公務機關的檢查權限,增加了發動檢查的明確要件,包括「有違反本法規定之虞」或「為檢視其落實本法情形而認有必要」,並授權主管機關訂定檢查作業相關辦法。第23條和第24條則規範了扣留或複製物的處置及當事人的異議機制。第25條賦予主管機關針對違法非公務機關的處分權,包括禁止蒐集處理利用個資、命令刪除檔案、沒入或令銷毀違法蒐集之個資,以及公布違法情形等。第26條則規定未發現違法時得公布檢查結果,因為過往個資法就有這些對非公務機關的監理規範,因此這些條文大多只是配合個資會的成立而做調整。
較特別的是,個資會成立後,究竟由「誰」對非公務機關執行監理?個資會是否有能力履行其職務、查核數量這麼龐大的公務機關與非公務機關?顯然因為非公務機關的數量龐大、業務複雜且多樣,現實上的可能性不高。故而,修正草案第51條之1保留了現行法由目的事業主管機關、縣(市)政府和個資會併同監理的配套措施,避免倉促變動監理權限導致衝擊過大,直到個資會成立滿6年後,非公務機關的管轄才由個資會統一管理。
說好的AI應用與資料治理在哪裡??????
行政院將AI應用與資料治理當作本次修法的標題,然而,實際檢視修正草案內容,將其與AI應用、資料治理的關聯性進行連結,似乎頗為牽強。
本次修法如前所述,核心應在於建立個資保護的監督機制,主要涉及個資會組織定位、公務機關監理制度、個資事故通報機制及非公務機關的過渡性監理安排等面向。從條文內容看,修正案幾乎完全聚焦於機構設置和傳統個資保護監理,其中並未直接針對AI應用的特殊性進行規範,也未包含AI資料治理的專門條款。
事實上,AI應用帶來的個資挑戰具有獨特性,如果本次修法確實是「AI全面應用時代資料治理」,至少應考慮以下幾個方面:
- 1. 針對自動化決策和人工智慧系統的特殊規範;
- 2. 演算法透明度和可解釋性要求;
- 3. AI訓練資料使用的合法基礎和限制;
- 4. 資料最小化與隱私設計原則在AI系統中的應用;
- 5. 資料治理框架和責任分配機制;
這些關於自動化決策、模型訓練中的個資使用、AI生成內容中的個資保護等,都適合也需要在個資法中做相應的規範。2018年的GDPR就有關於自動化決策的條款針對性規定;日本的《個人資料保護法》(個人情報の保護に関する法律)雖未直接提及AI,但其中也包含了對AI的發展具有重要影響。例如,資料內容的準確性確保(第20條)、關於個人資料去識別化的製作和提供(第36條、第37條),以及個人資料假名化的規定(第41條)等,為AI的開發和應用提供了資料來源,同時保護了個人隱私。這些條款對於AI系統的透明度、可信度至關重要,這些條文於本次的修法中都尚未見蹤影。
此外,本次修法內容對於近年備受關注的資料治理議題幾乎隻字未提。資料治理包含資料品質管理、資料生命週期管理、資料權責劃分等重要元素,是確保AI系統合規運作的基礎。然而,修正草案中對於公務機關及非公務機關的個資檔案安全維護事項雖有規定,但僅限於防護層面,缺乏積極的治理框架。
小結
雖然可以理解,行政院可能考量到修法的繁複程度、立法院的高度對立等因素,無法在一次的修法中將個資法十餘年間未大幅修正的缺漏一次補足,但是在新聞稿中將修法與AI時代資料治理掛鉤,卻顯然只是搭上AI熱潮的宣傳策略,而非基於修法實質內容的客觀描述。
事實上,本次修法僅是回應憲法法庭判決要求建立獨立監督機制的基礎工作,與AI應用、資料治理的深層連結尚付之闕如。 如果台灣真要為AI時代做好個資保護準備,未來仍需針對AI特性進行更具針對性的立法或修法,以填補目前的監理空白。畢竟,完善的個資監督機制只是第一步,如何將其應用於AI環境中的資料治理,才是真正的挑戰所在。
[1] 請參「我國引進個人資料保護官機制之法制研析委託研究案結案報告」,,第34頁以下。
[2] 請參 「PRACTICAL GUIDE GDPR – DATA PROTECTION OFFICERS」,第20頁以下,最後查詢日2025年4月7日。
