2012-10-02  中國時報

    昨天是個人資料保護法正式施行的開始日。個資法上路，揭示保護個人資料之宏旨，也是我國步入資訊應用先進國家重要一步。在施行細則闡明下，個資法在國際比較上可謂進退有據；惟相關規定仍稱簡略、社會宣導仍稱不足，而相較於歐美日國家之發展仍難稱先進。本法未來發展依舊可能步履蹣跚，需社會支持與督促。

    首先，專責機構之闕如，是本法規範不清、制度無力以及推動低效之主因。法務部只是法制與協調機關；各部會才是業務主推單位。這種現行體制的無奈，造成民眾投問無門、實務難以開展。社會對本法之認知薄弱、偏差，甚至無端反對，其因在此。此一最攸關本法成敗之部會行政管理制度，其規畫至今難窺其貌。

    在此須再次予以釐清與強調者，個資法主旨在於數位環境下個人隱私的保護；亦即所謂資訊隱私權的追求。進一步言之，是機關的組織資安問題。本法從未有管制言論自由或限制學術研究之立法意旨。就未來可能發生的個人資料應用，只要求符合正當程序即可，絕無禁止之用意。所謂正當程序，其內涵主要為告知、同意與個資請求權之給予。細則中對此一程序要求，無論在實質上或作業上，已做大幅放寬；應可期待未來在成本與實務上與產業界達成更務實的方案。

    至於資訊安全管理，細則留有相當解釋空間與進一步發展之必要；各界允宜再加協調。而在個資合理利用、甚至積極利用（如倡議中之Open Data）議題上，個資法無本質上之排斥、甚至有技術上之支援能量，各界應再深入了解。整體而言，個人資料保護法用語抽象，而有賴在個資正當程序與資訊安全管理二項主旨上，民間與部會再做深度溝通。

    各界迄今較常出現之討論議題，如組織資安之規制模式不明與實務標準尚無依據、資安稽核與驗證制度規畫不足、公務機關之權責編制與作業內容未定、非公務機關之產業分類受轄不易、大眾傳播產業之受規制範疇不明、金融產業之個資法令遵循制度似乎嚴厲、醫療相關個資之定義有疑與制度不清、電信與資服產業之內控與委外業務之有效管理、電子商務產業之規範進一步與國際接軌問題…等等；以及最受重視的法律責任與訴訟制度至今難以預測之問題。諸般缺失，其原因層層相疊，短期難以解決。未有專責機構編制且各部會至今未能深入掌握相關業務應為主因。

    而部會未能掌握業務之主因，在於我國資訊安全管理法制之不全；資安法制不全之主因，在於權責機關之無法編制與賦權。凡此，皆有待領導高層在總體制的高度上予以積極擘畫。否則，新法施行後恐怕亂象叢生，比如最受詬病的濫訴現象，以及國際上並不少見之個資法頒佈後資安事件反而增加之反效果。

    個人資料保護法是廿一世紀國家從保護隱私、到保護資料、再到保護資源的必備法制。除了法制意旨外，尚有提升安全文化與強化資安產業之目標；安全議題涉及國家社會的最深層建構；系統思維則是我國最待補強的質素。尤有甚者，本法攸關進一步之資訊應用與新興產業之發展；凡此，行政院皆早有規畫，卻因本法推動過程中體制內與外部環境上的諸多因素而逐漸鬆放。近期因經濟景氣問題，民間湧現諸多「有感經濟」之聲音。針對個資法此一宏偉法案，我們除了「不能無感」之感性呼籲，更需「不能無為」之理性作為。（作者為中興大學法律系副教授）