近年來,隨著新興科技發展,智慧行動裝置日漸普及,加上5G、AI以及IoT相關應用技術趨於成熟,如何有效運用及分析各種資料,促使智慧化服務進一步提升,已成為各方注意的焦點。諸如現今由數位政委唐鳳所提的「簡訊實聯制」抑或由疾病管制署所提出的「台灣社交距離」app,即是善用智慧行動載具、網通技術以及個人資料的提供,才促成如此方便又快速的服務,成為全民防疫的一大利器。
然而,在這股資料開放的浪潮下,各界對於「個人資料」應否開放及如何「善」用進行幾番論戰。後來,歐盟於2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR),並於2018年5月25日正式執行。該法雖以「保護以及加強歐盟各國人民的資料隱私,以及重塑整個區域內的組織處理資料隱私」為主要目標,但因其注入許多新觀念,諸如「被遺忘權」(right to be forgotten)、「資料可攜權」(Right to data portability)以及個人資料自動化決策中的「拒絕權」(Right to object)等,使得GDPR儼然成為全球個人資料保護相關法令的準則及參考標的。
歐盟更於2020年2月19日發布「歐洲資料戰略」(A European strategy for data),希冀建構歐洲的資料空間及資料單一市場,並將「資料」視為數位轉型的核心,開放至今尚未被使用的資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有的公私部門以及公民都可存取資料及運用。此後,歐盟為建立新的歐洲資料治理方式,於2020年11月25日提出「歐洲資料治理法案」(Proposal for a Regulation on European data governance, Data Governance Act),藉以促進跨部門和歐盟各國間的「資料共享」,藉此為社會創造財富,提供及強化公民對資料的控制權,並為利用資料提供服務的業者,建立對「資料共享中介」(data-sharing intermediary)機制的信任。
我國隨著歐盟GDPR的上路,也成立「個人資料保護專案辦公室」,並將個人資料保護法的主政機關移至國家發展委員會,藉以完成歐盟GDPR適足性評估報告及相關談判工作,以獲得歐盟適足性認定。然而,在今年3月底,歐盟執委會與韓國個人情報保護委員會(The Personal Information Protection Committee)發布聯合聲明,歐盟初步認定韓國之個資保護水準與歐盟GDPR相當。因此韓國有望搶先我國成為繼日本之後,東亞第二個通過歐盟適足性認定的國家。探究日本及韓國可以獲得歐盟適足性認定的主因,乃在於日韓兩國皆有「個人資料保護」的專責單位,同時具有獨立監督個人資料色彩,藉此達到GDPR對於個資監管機關獨立性之要求,相比之下我國的「個人資料保護專案辦公室」,似乎僅是專案性質存在的臨時機構,對於個人資料保護上,毫無約束性可言。對此,吾人認為政府有必要在成立數位發展部之時,至少要將個資保護的權責與義務移至該部底下的資料治理司,並將該司正名為「個人資料保護暨資料治理司」,或許有人認為這會導致「數位集權」、「數位東廠」,妨礙個人資安,甚至有裁判兼球員的疑慮。但若從「治理」角度觀之,提供良善的環境跟制度,是有助於促進個資保護與資料加值應用間的平衡,甚至在促進公共利益的目標上,帶動整體數位產業發展及生態系統的完整性。
尤其在新興科技產業大聲疾呼政府「資料共享」、「資料開放」的前提下,個資保護似乎成為最大緊箍咒,事實上當善用個資創造價值時,也應當瞭解個資保護更是重要價值,兩者之間並不衝突。或許政府可以參照日本MyData資料自主模式,成立一個可信任的中介機構如「資料銀行」(Data Bank)的資料信託機制(Data Trust),讓民眾自己決定個資的使用方法和使用權,甚至是銷售;抑或也可效法新加坡推動「資料共享安排」機制(Data Sharing Arrangements, DSAs)與「可信任資料共享框架」(Trusted Data Sharing Framework),建構資料共享環境,以適時調適個資保護規範與應用間的衝突,進而帶動我國數位經濟的發展。
誠如歐盟GDPR對個資的保護,係維繫隱私權的基礎,為了使個人不受操弄與差別對待,得以「自主」做出選擇外,同時也為透過一定法規鬆綁讓資料利用最大化以創造產業創新價值,並在主管機關要求的保護措施,使消費者信賴個人資料不會遭受不當使用或侵害。對此,吾人真摯的建議政府相關部門,將個資保護法的相關權責及義務納入數位發展部,並成立「資料信託」機制,以利持續推動公私部門及跨域間的資料串連與分享應用,同時確保個人資料的自主權。
*作者為淡江大學歐洲研究所博士班
