近來陸續有公私部門資料外洩事件不斷發生,這些經媒體報導的都屬資料量龐大、受害人數眾多,然而還是有不少小眾、內部濫用的情形存在,這些都是個人資料保護的隱憂。個人資料外洩造成的損害,除了取得密碼,進行資產變動、移轉,還有更多是背景的掌握以進行其它民刑事的不法,絕對不會是像公私部門不斷呼籲的,要民眾定期修改密碼,勿將密碼等資料交予他人就可以阻止,這些都是已經發生資料外流,為避免造成個人更嚴重損害的補救手段。公私部門一旦取得民眾的資料,依法就必須對於資料的保管負起全責,直到資料存在的目的消失,透過將資料銷毀來解除對於個資保管的責任。
個人資料的保護會日漸受到重視,源於數位工具的綜整能力越來越強大,成為更有效的政府治理及企業獲利方式,大家也慢慢看懂網路巨頭提供免費服務換取會員背後的獲利模式--拿個資換服務,個人資料的價值受到前所未有的重視。早年個資的利用在公私部門間也沒有那麼嚴謹,只要取得個資,之後的處理、利用就變成資料控制者說了算,缺乏必要的法遵流程,資料主體無法掌握資料的去向,只知道常常收到莫名奇妙的推銷電話,這些都反映國內從公私部門到人民對於個資的保護意識淺薄。不過近年也發生過行政部門及法院在文書記載上的一堆圈圈,變成不知所云,嚴重阻礙了資料的利用,這些矯往過正的情形,其實都是個資保護發展的陣痛,反映的就是個資保護中一直很少被提及的法遵流程。
他山之石可以攻玉,其實在歐盟GDPR生效後,各國因應法令的必要,已經有法遵流程及做法,包含裁罰標準以及人民申訴方式都可以提供我國參考。個資保護與資安並不能完全劃上等號,資安強化使資料不受威脅侵擾以外,個資保護還要關注個資在蒐集、處理及利用整個過程中的法遵流程,使資料不被濫用,惟有二者兼及,才能健全個資保護的雙翼。在2020年時,台北市政府成立資料治理委員會就是為對應數位工具在政府治理中的快速發展情勢,發現一路往前踩油門的數位發展中,並未照顧到資料利用的法遵工作,顯然有違反政府良善治理的目標,可能會有侵害民眾個資主體權利的疑慮。因此,透過資料治理委員會去建立各種資料利用標準給機關,建立資料利用的SOP給機關遵循,從個資的蒐集開始,就有意識的控制資料範圍的必要及資料保管安全,以降低未來資料外洩的風險及影響,並且釐清造成損害時應有的賠償責任。
另外,在資料取得不如過往因難的情形下,保護個人資料不妨先從哪些資料可以取得管理起,在個資法的規定中,必須符合特定目的的必要範圍並且具正當合理關聯,在公私部門必須對資料的保管負完全責任的前提下,建議應該先從資料的蒐集訂立規範開始,同時為蒐集、處理、利用導入必要的法遵流程。不過度蒐集資料,除了是對民眾做為資料主體的尊重,也是為政府及企業在保管資料上的減壓,數位資料持有越多,越是機敏,在資安設備上的投資要求更高,因此,不論公私部門,面對數位資料都應改變貪多的心態。資料的不外洩,就是花錢以更好的技術來保護資料,公私部門皆責無旁貸,沒有托詞可言,一旦取巧,不願投資在提昇資安能力,造成資料外流,除了必要的賠償,衝擊的還有民眾對於政府或是企業的信任。數位時代,可能造成人民損害的不再只有馬路,網路更值得我們關注,當各方認清資料保護責任的分配,未來資料控制者將更難以是因為後端駭客的竊取行為以及詐騙行為造成資料主體損害,來免除或降低自己未善盡保管資料的責任。
