105.1.1 陳泉錫
綱要
一、緒論
二、個資法施行後,政府機關執行個資保護所面臨之困境
三、德國個資保護法與我國個資法立法思維之比較
四、我國政府與美國聯邦政府資訊委外暨人力配置之比較
五、降低政府隱私防護風險之對策建議
六、結論
綱要
一、緒論
二、個資法施行後,政府機關執行個資保護所面臨之困境
三、德國個資保護法與我國個資法立法思維之比較
四、我國政府與美國聯邦政府資訊委外暨人力配置之比較
五、降低政府隱私防護風險之對策建議
六、結論
摘要
個人資料保護法(以下簡稱個資法)於民國101年10月1日正式施行,由於個資新法在個資之蒐集、處理、利用均訂有嚴格規範,對於違誤者課以較舊法高出十倍之高額罰款,部分違法行為並科以刑事處罰,對於民眾隱私保護意識之提升確實到一定程度的效果。相對的,新法對於政府機關及民間企業亦形成嚴峻之壓力,公、私部門無不謹慎以對。
我國個資法雖訂有相較歐美更為嚴格之處罰規定,卻未於法規中比照歐美,明訂執行個資保護之必要資源,致使保有最多個資之公務部門在維護隱私工作上面臨極大之困難。本文探討個資法施行後,公務部門在隱私保護執行面之困境,並比較我國與德國等歐美國家在個資保護法規立法思維之差異。本文另就擔負政府機關個資保護主要責任之資訊部門人力配置與民間企業及美國聯邦政府做一比較,期有助於合理評估我國政府現行隱私保護存在之風險,並作為個資法修法方向及隱私保護所需合理資源配置之參考。
一、緒論
隱私權保護乃現今民主社會之普世價值,而個人資料保護屬隱私權保護的重要環節,以立法手段加以嚴謹保護,當屬必要。但是我國個人資料保護法(以下簡稱個資法)施行之問題核心在於履行法定義務之難度。現今個人資料處理與利用之型態有別於以往,多數以資訊科技處理,大量儲存於磁碟、固態硬碟、光碟等媒體,並透過網路傳遞。由於電子媒體輕薄短小,載量鉅大,管理與防護十分困難,另網際網路陷阱處處,駭客木馬攻擊手法日新月異,已非付出一般注意即可有效防範。
個資法於民國 99 年 05 月 26 日頒布,並於民國101年10月1日正式施行。個資新法在個資之蒐集、處理、利用均訂有嚴格規範,對於違法者課以較舊法高出十倍以上之高額罰款,部分違法行為並科以刑事處罰,對於政府機關及民間企業皆造成嚴峻之壓力,公、私部門無不謹慎以對。
政府機關乃是保有最大量隱私個資之處所,資料收集責任固然多數在業務部門,惟多數個資收集以紙本形式蒐集為主事後再行建立電腦檔案,偶有資料遺漏,多屬小量個案風險尚可管控。但是資料的處理與利用之主要場域則在資訊部門,所處理與管理個資數量龐大、集中,乃駭客或敵對團體覬覦之焦點,資訊安全風險極高,非有專責管理團隊,執行緊密監控,難竟保障民眾隱私之功。
資訊安全在民國八十年初期尚未受到政府各界普遍的重視,資訊委外所生之個資管理風險亦未受到應有之注意。然時至今日,情境迥然不同。駭客手法高明,甚至以網軍作戰型態進行計劃性、持續性攻擊,政府機關在政府大力推動委外政策後,高度仰仗委外廠商,在無法掌握技術主控能力之情境下,如何有效保護個資、維護隱私,令人憂心。個資新法施行後更使此一困境雪上加霜。
本文將探討個資新法施行後,公務部門在隱私保護執行面之困境,並比較我國與德國等歐美國家個資保護法規立法思維之差異。本文另就擔負政府機關個資保護主要責任之資訊部門的人力配置與民間企業及美國聯邦政府做一比較,作為個資法修法方向及隱私保護所需合理資源投之參考。
二、個資法施行後,政府機關執行個資保護所面臨之問題
個資法施行後對於公私部門隱私保護意識的提升確實發揮一定程度之效果,但由於法規罰則甚嚴,且部分規定解讀不一(例如何謂個資,何謂執行法定職務),致使公私部門基於降低觸法風險之考量,多數從嚴解釋,資料之使用明顯趨於保守。致使個人資料保護法立法目的所訂之兩個主要宗旨:“保護個人隱私”及“促進個人資料之合理利用”,兩者輕重明顯偏倚。政府部門多數只慮及有罰則之隱私保護一端,而忽略促進資料合理利用之另端。
而即使在保護個人隱私目的這一端上,亦由於部分關鍵條文(例如個資法第十八條)僅具宣示性意義而無配套之強制性罰則,致使實際施行成效並不如預期。以下就政府機關在執行個資法法定義務上所面臨問題之大者加以探討:
(一)、個資法立法著重個資洩漏之罰則,輕忽履行個資保護義務所需資源之配置要求。
個資法第六條、第十八條、及第二十七條皆規定機關為有效管理個資,須有“適當安全維護措施”。而所謂適當安全維護措施,依施行細則第十二條規定,幾乎涵蓋資訊部門所有資訊安全管理之活動。亦即政府機關要符合細則第十二條要求,須有規模合度之資訊安全監管組織、人力與必要之經費資源。事實上個資法在第十八條亦訂有:“公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏”之明文。個資法施行細則第十二條第二項亦規定”配置管理之人員及相當資源”。可見合理的個資安全管理團隊與資源配置,乃是落實執行個資法法定義務最重要的前提。
但由於第十八條規定並無罰則,僅具宣示性意義,人事部門乃至於機關首長對本條規定刻意忽略。或是提出”所謂專人並未明定一定要資訊人員”為由,拒為機關設置資訊專業人員。是以個資法施行至今的結果是:三四級機關仍依民國99年所頒組織改造規定:“三四級機關原則不設資訊單位”施行,完全無視新法優先於舊法,法律優先於行政規則之基本法律概念,對於101年新頒個資法及其細則之規定全然加以忽略。
政府三四級機關(署、局、處等)係政府治理之主要執行機關,乃是民眾隱私資料收集、處理與利用最主要的場域。機關在沒又資訊專業人員情境下,將機敏的民眾個資全倚仗委外廠商管理,其風險之高可以想見。由於我國並無部會層級資訊主管機關,可以為此嚴重問題發聲,關鍵資訊政策的最終決定者,不是資訊部門而是人事行政部門。此為我國執行個資保護所面臨之最大困境。
(二)、個資法對於公務機關首長之課責與民間企業相較顯有失衡。
個資法第50條規定: 非公務機關之代表人、管理人,因機關違反個資法規定而受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。以重罰勵其注意。但本條規定只處罰非公務機關代表人,對公務機首長並無處罰規定。自然會使機關首長及人事部門輕忽須配合個資法調度個資保護所需資源之責任。
(三)、個資合法使用之界定尚欠明確,宜提供實例說明,並使此例示性說明具備法律解釋之效果。
個資法第5、8,9條有關於個人資料收集、處理利用之規定固定有明文,例如:對於個人資料之蒐集、處理或利用,應尊重當事人之權益,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。或如:公務機關執行法定職務或非公務機關履行法定義務皆得蒐集處理利用。但如何判定有無逾越特定目的之必要範圍?何謂執行法定職務或法定義務?類此問題由於各方解釋各異,使個資管理義務人在資料收集或利用趨向嚴格,不利政府機關間資料之合理交流運用,以達便民服務目的。去(民國103)年教育部公布之大學指考榜單,上榜學生之姓名係以“陳OO”方式為之,顯然與榜示之意旨相違,甚值省思。建議為免個資合法使用之解讀各異,宜提供多種例示性實例加以說明,並使此例示性說明具備法律解釋之效果。使個資之合法或合理使用更趨明確,達到促進個資資料合理使用之立法意旨。
(四)、個資法之推動未設專責機關,欠缺有效監督管考機制。
我國個資法之法案擬定雖由法務部負責,但法務部並非個資法之主管機關,個資法主管機關係中央目的事業主管機關或直轄市、縣(市)政府。個資法施行成效有無落實,目前並無實體之監督管考機關。筆者認為有必要比照歐美成立個人資料保護專責機關(構),監督管理該法案之執行成效。以英國為例,英國設有內閣閣員層級之資訊監察官,由英國女皇親自任命。監察官下並設有一個配置352個人員規模之個資保護專責機關。加拿大亦設有個資監察官,其下亦有一個158個人員之個資保護專責機關。瑞典則設有個資保護檢察院,採委員制,設有五位委員。該院擁有43個全職幕僚人員(法務部法律事務司 2011 )。這些專責機構之組織與職權,甚值我國做為設立個資保護專責機關之參考
三、我國政府與美國聯邦政府資訊委外方式暨人力配置之比較
個資保護之關鍵成功要素在於人。本節謹就我國資訊人力與美國聯邦政府資訊人力之配置作一比較,以客觀數據說明我國政府機關在執行個資保護工作上之困境:
我國政府業務資訊化作業肇始於民國五十年代,由台糖、中油及賦改會(由劉大中博士主持,為財政部財稅資料中心之前身)等機關率先引進電腦進行政府業務自動化作業。當時設立之資訊部門皆有一定之規模,以財稅資料中心為例,員額達六百人,角色分工明確,部門間制衡機制嚴謹,使資料安全管理機制得以有效實踐。惟自民國八十七年起,政府參考美、澳作法,大力推動資訊委外政策,頒布“行政院所屬各機關資訊業務委外作業實施辦法”(行政院八十七年四月八日(87)台經字第一四六八七號令)。此政策頒行後,政府資訊部門(或單位)之設置受到極大的限制,資訊人員數量亦逐年遞減。近年來中央政府新成立機關,人事行政部門幾乎已不核給資訊人力,104年新成立之台南第二監獄及八德外役監獄即是一例。至於機關不設資訊人力,所擁有民眾隱私資料之安全維護如何落實執行,幾無高層決策者關心。但這些新機關的幕僚單位如會計、人事、政風則全數設置單位與人員。資訊部門是否設置顯非員額不足問題,而係價值判斷問題。
民國80年代帶動資訊整體委外風潮的美國,其在90年代晚期對整體委外策略實施成效的檢討,Ralph H. Sprague及 Robert Klepper,Wendell Jones等多數學者多採保留之看法,認為風險太高,容易失去企業的核心能力與主控性。而率先施行整體委外策略的美國柯達公司亦已從市場消失。美國雖是資訊委外策略的先驅,但美國聯邦政府資訊人力比(資訊員額/機關總員額)仍維持在3.1%(參見表一: 美國聯邦政府資訊人力 2012),但我國政府在大力推動委外政策後,依據國發會統計民國101年政府機關資訊人力9808人,資訊人力比僅剩1.5%(林上祚,2014),只有美國的二分之一。主計處98年電腦應用概況報告之數據1.49%相近(行政院主計處電子中心,2009)
表一: 美國聯邦政府資訊人力 (2012年)
取自美國聯邦人事局(WWW.OPM.GOV)網站, 2012年聯邦資訊人力(Information Technology Management 聯邦職務代號2010)共82438人,聯邦總公務員數2,700,533人,資訊人力比為3.05%。
Debbie Tesch, Timothy J Kloppenborg, Mark N Frolick 的研究發現: IT專案委外若缺乏適足之自有IT技術人員或缺乏對業務領域深入之人員或過度使用外部顧問將導致專案之風險。資訊委外將造成政府機關資訊人員對系統主控性逐步降低更形成了嚴重的潛在資安風險(Debbie Tesch,et,al.2007)。
四、德國個人資料保護法與我國個資法立法思維之比較
我國個資法立法旨趣著重在行為規範、責任交賦及民刑事處罰,較忽略執行個資法所須配置之人力(組織) 、職掌與資源。相對於我國個資法對於履行個資保護所需配套資源之忽略,德國個資法在其§4f(個資保護監察人), §4g(個資保護監察人之職責)兩條,對於履行法定職務所需人力與資源規定之詳盡與務實,令人印象深刻!謹摘述如下(德國聯邦法律公報,2003):
- 德國個資法規定政府或民間機構若收集個資之人數達20人以上必須設置個資保護監察人。§4f.(1)
- 個資保護監察人之任命資格須具備執行任務所需專業,且信用可靠為限。其專業程度依負責資料處理之範圍及資料應受保護程度決定之,並得設置輔佐人。§4f.(2)
- 個資保護監察人直屬於公務或非公務機關首長,其於資料保護監察之範圍執行職務時,不受其他指揮監督。§4f.(3)
- 為維持個資保護監察人之專業能力,機關應安排進修、訓練。
- 公務及非公務機關應協助個資保護監察人履行職務,在其職務必要範圍內,輔以人員、處所、設備、資源供其應用。§4f.(5)
- 用以處理個人資料之程式,應確保其運用符合法令規定。任何處理個人資料之規畫,須知會個資保護監察人。§4g.(1).
德國個資法除政府各機關須依規定設置個資保護監察人外,該國個資法第22-26條另規定須設置“聯邦個資保護與資訊自由監察人”,督導全國個資保護事宜。該職務係專責,連適用之薪資、職務等第皆於法中明定(§23)。聯邦個資保護與資訊自由監察人由聯邦政府提名,經國會(眾議院)同意而任命。五年一任,得連任一次,位階略同於我國政務委員。足見德國對個資保護之重視,及立法之周延。該國法律在課予行政部門責任之同時,也賦予執行職務所需之配套資源與職權。此一作法深值我國立法與行政部門參考與省思。
再以英國個資保護國家標準BS10012(Personal Information Management System,PIMS) 加以比較,PIMS 最重要的第4章,開宗明義即要求要:個資保護之執行須先任命經理人以負督導之責,並須設置日常維運個資保護之專責人員。此一英國國家標準指出之重點在於:專責人員乃是個資保護之基石。
五、降低政府隱私防護風險之對策建議
面對個資法施行後之風險與政府機關執行個資保護之人力與資源困境,作者雖無速效良方,但仍提出三項對策芻議供決策部門參考:
(一)、推動資訊基本法立法,設立部會層級之實體資訊主管機關,奠定隱私保護落實執行之基石。
目前政府除少數早年設立、組織健全(如財稅中心,警政署、移民署等)之資訊部門外,多數機關資訊人力嚴重不足,或根本未設資訊單位及人員。機關處理日常系統開發、維運業務已感到吃力,實難要求各機關再個別培植專業資安人力以應付常業型駭客或網軍型態之攻擊。筆者建議應透過立法手段,成立部會層級之資訊及資安主管機關,以策劃國家長程資訊發展策略,健全資訊運作組織,方能有效落實資訊安全管理,並帶動民間資訊產業發展。並建議在該機關下設立國家級大型資安防護專責機構,建立、維運一個供各政府資訊業務共用之基礎架構雲(IaaS),由資安專業團隊維護管理其網路面與系統架構面之安全。各部會資訊部門則專注於機關內之業務創新,流程合理化,應用系統開發維運、程式安全檢測及機關內使者及廠商等資安監督管理。如此可使人力短缺機關之資安風險問題獲得部分之舒緩,亦可使資訊人員生產力(效益)提升。惟此一作法須重新調整部會間資訊部門之組織與分工,但對於隱私及資安之防護意義深遠。
(二)、修正委外政策,核心業務宜自行發展,其他委外。
民國102年2月戶政系統上線,由於新系統測試未臻周全,上線過程不順,跨縣市服務功能無法運作,導致各界指責聲浪不斷,輿論連日撻伐。該系統係採最高規格之委外,從系統之規畫、開發乃至於開發品質之獨立驗證(IV&V)皆採委外模式執行,但結果卻未如人意。HONDA汽車美國廠因委外廠商之疏忽,造成該公司嚴重之個資外洩事件,商譽受影響甚鉅。殷鑑未遠,政府決策部門在資訊委外策略上宜再慎思。資訊委外係資訊發展策略之一,適度運用可提高系統開發效率。但委外有其原理原則,不能過度委外而失去主控性。Robert Klepper及 Wendell Jones在其OUTSOURCING”(1998)一書中即呼籲:“切勿將全部系統委外,將核心業務自行開發,其餘才委外”。資訊部門應找回技術自信,逐步掌握業務流程及系統主控性,避免只做委外之採購行政工作(William R. King, 2007.)。
(三)、個資法對於公務機關首長之課責與對民間企業要求明顯失衡,宜適度修正。
現行個資法雖在第十八條及施行細則第十二條均訂有應”配置管理之人員及相當資源”之要求,惟未訂罰則,僅具宣示性意義。人事部門乃至於機關首長均未能給予合度之重視。筆者建議,參考個資法第50條對於民間機構代表人之要求,修正第50條文為: “非公務機關之代表人、管理人,因…,應並受同一額度罰鍰之處罰。公務機關首長準用之”。 如此當可使現行履行個資保護義務資源配置不足之問題獲得一定程度之改善。
六、結論
個資法施行已近三年,該法課予政府機關極大的個資管理責任,但並未就執行個資保護所需之組織與資源做有效之配套規範,而政府在組改過程中亦未因應國家資訊發展及國際資安威脅情勢,參考競爭對手國家之策略,設立部會級資訊主管機關,致現行資訊安全之困境日益嚴重。筆者建議政府權責機關允宜參考德國立法模式,盡速調整補救,以降低政府個資維護資風險,提升整體資訊國力。
參考文獻
- 德國聯邦法律公報,卷1,p.2814, Jan.2003
- 法務部法律事務司,2011年公務機關辦理個人資料保護業務公開作業研習會講義資料http://www.moj.gov.tw/ct.asp?xItem=229254&ctNode=28007&mp=001
- 林上祚“ 政府業務電子化 人力當機” 聯合報2014.6.1,收錄於台灣科技化服務協會http://www.itsmf.org.tw/IT_Management_content.aspx?I_id=70
- 行政院主計處98年電腦應用概況報告,行政院主計處電子中心 2009. Sep.
Executive Yan, 2009. “Statistics of IT Spending, Public Sector v.s Private Sector, Survey of IT spending in Taiwan Area of Year 2007”, Executive Yan, Sep. - Benjamin B.M. Shao, Julie Smith David, 2007. “The impact of offshore outsourcing on IT worker in developed countries” Communication of the ACM, Vol.50, NO.2, p.89,
- Debbie Tesch & Timothy J Kloppenborg & Mark N Frolick,〝IT PROJECT RISK FACTORS: THE PROJECT MANAGEMENT PROFESSIONALS PERSPECTIVE〞,The Journal of Computer Information Systems. Stillwater: Summer 2007. Vol. 47, Iss. 4; p61-p69
- Robert Klepper,Wendell Jones, 1998. “Outsourcing Information Technology, System & Services” , p.79, Prentice Hall
- McFarlan & McKenny, 1992. “Corporate Information Systems Management: Text and Case” P.48, IRWIN Sydney, 3rd Edition
- William R. King, 2007. “The IS Organization of the Future: Impacts of Global Sourcing” Information Systems Management. Boston: Spring Vol. 24, Iss. 2; pg. 121, 7 pgs
沒有留言:
張貼留言