大開個資後門? 近八成中央機關未評估國外個資保護
▲時代力量立委林昶佐召開「政府未把關,民衆個資安全何在」記者會。(圖/林昶佐國會辦公室提供)
時代力量立委林昶佐17日召開記者會指出,依法目前國內的公司要將其業務上所持有的個資傳輸到其他國家時,若該國對於個資保護不周,中央目的事業主管機關可以禁止。不過,竟有將近8成以上的中央政府機關,卻未評估過國外對於個資保護的程度,讓《個資保護法》形同具文。
林昶佐指出,根據《個資保護法》第21條規定,國內的非公務機關若要將其業務持有的個人資料傳輸到國外,「接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞」,中央目的事業主管機關得限制之。主因每個國家對於個資的保護程度皆不同,如果將個人資料傳輸到保護不佳的國家,產生損害民衆權利的情況,跨國主張權利較爲困難,對於民衆反而更爲不利。
經林昶佐調查指出,目前對於世界各國個資保護的評估,僅有國家通訊傳播委員會曾在2012年公告「限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至大陸地區」。他批評,包含經濟部在內的14個部會,對於各國的個資保護情況,完全沒有任何評估,既然沒有評估又如何知道是否有「有損當事人權益之虞」?
林昶佐表示,如果沒有完整的個資保護評估,等於是大開個資後門。他說,歐盟去年最新立法通過的「一般資料保護規範(GDPR)」,採取的是必須符合特定條件纔可以國際傳輸,目前國內只有金管會對於金融機構所蒐集的個人資料,如要委託至境外處理,需事前得到金管會覈准。
時代力量臺北市議會黨團科技長蕭新晟表示,有些網路服務可能原本雲端建置在國外,尤其現在兩岸科技產業交流頻繁,是不是有業者爲了方便,將雲端資料就設在中國,但民衆事前完全不知情。他建議,應修法強制揭露個資的儲存國別或地區於網站及產品或服務之使用說明,才符合公開透明的原則。
國發會個人資料保護辦公室參事李世德則說,目前的確只有NCC有依據個資法第21條限制國際傳輸。之後會依照委員的意見,針對臺灣經常交流往來的國家,今年會先針對包括日本、韓國等,蒐集與研究相關個資保護的規定。同時,國發會也會在今年與各部會的個資教育訓練中,針對委員提到的問題,與各個部會分享資訊。
林昶佐也要求,國發會短期內應邀集各個目的事業主管機關,針對包含中國在內的重點國家,評估個資的保護程度並定期更新,作爲準許國際傳輸與否的依據。他目前也已在參考歐盟的立法經驗研擬修正個人資料保護法,加強保障國際傳輸,同時強制揭露雲端資料庫的儲存國別或地區。