——那它要怠惰失職,那你要罰的還是機關,你罰不到產業啊。
機關如果最小限度地提了一個不痛不癢的機制,那就這樣了。也不會有太多的好處或壞處。
因為現在的問題就是說,當你不告知資料集內容、不採用一致性的資料結構、也沒有什麼方法自動化存取、然後也沒有什麼安全性跟穩定性,那這個情況下也沒有人想要用這個資料。
也就是說,因為這個通常是在建議資料提供方的嘛。提供方有一些成本,所以我們希望主管機關或者相關機關去用一些政策來促進它、來抵消一些成本,有點類似像是《產創條例》。
那但是現在問題就是說,業者如果不這樣子做,代表說它做這樣子的成本高過你給的優惠嘛。現在拘束政府機關說你「應」給這個優惠,還是沒有用啊,產業還是可以不做。就是說你只是說那這個每個機關你賣這個東西都要打九折、打八折、打七折——對,那但是我可以不買單吧?我是產業我還是不買單。那這個時候你這個「應」也沒有效果。
唯一有強制效果的,就是對業者處罰——業者不共享資料的話,我罰那個業者,這樣才有用。
對啊。不然你如果要訂在這裡的話,你就要搭便車,說因為數位發展部剛好是某些平臺的主管機關,所以我們也可以有一個合訂本——把各部會所管產業的罰則,都訂在這裡,當然這是比較特別的做法。
也不是,就是合訂本嘛。就是你訂個《資創條例》,裡面對某些特別壟斷資料的產業給予罰則。那這也不是沒有先例,我們那時候推出的《詐防條例》草案,就是長這個樣子。
不會啊,《詐防條例》就是一個合訂本。它的第一節金融防詐那部分是金管會去罰;電信防詐那部分是 NCC 去罰;數位經濟防詐那部分是數位發展部去罰。所以它真的就是合訂本的進路。
可以。這個要放在「促進」條例,是有點特別,但立法技術上並非不能這樣做。那就要看這個草案本來想做什麼事。
以我的理解,就如果要有罰則的話,因為《資創條例》並沒有想要針對高度規管產業。就是我們當時並沒有想說要求「醫療資訊你不共享我們就罰你」,因為這個馬上就跟新成立的個資會的範圍就完全衝突。
可能有一種令人擔心的情況——就是我們提了一個看起來很 OK 的《資創條例》,但是之後出於某種原因,有些很希望個人醫療資料能夠快速自動處理的朋友,就在裡面加碼,然後說醫院不分享的話要定罰則。而且《資創條例》在這件事情上說不定又為特別法,所以可以排除《個資法》之適用。這個是我最不想發生的情況。所以我才會希望說要跟著新版《個資法》後面,最多是同一天通過。
這我就不評論。
就是醫療、然後電信、然後金融。其實理論上還有一些別的特種個資,像犯罪前科。但早餐店大概不太會說「出示更生人憑證打五折」⋯⋯
它們自己都會去參照國外立法例、自己設一個指引、條例。通常只要有需要時,它們都會跑在前面。
它們自己就立特別法了。像健保資料庫就是這樣。
因為大家都覺得需要一個專法嘛。所以就有了《全民健康保險資料管理條例》,去年已經三讀了。
以我的理解,它在它規定的事項上,是《個資法》的特別法。
如果它的每一項都比《個資法》嚴格呢?
嗯⋯⋯你有什麼更好的想法嗎?我也很想聽聽看。
對。但是你如果是衛福部,你有什麼選項呢?因為你不能不受《111 年憲判字第 13 號判決》拘束。你在被拘束、但是個資會又還無法實質做這件事的情況下,你如果不提出這個法案,那你就是忽視憲法法庭判決,這聽說是很嚴重的事情。
這些都是新的個資會的任務——檢討法規,在這兩年間都可以收回來。
《電信管理法》。
你的意思是哪裡不同?
歐盟確實有一些跨境傳輸的適足性門檻。
但是我們的金融、通訊、醫療也各有特別規定?
那如果個資主管機關認為,接受國的個資保護密度不足——
像你剛剛說的那個洗個資的,它就是寫在第 21 條裡啊。所以你一旦開始洗個資,你就可以被禁止了。它 literally 的意思就是:你一旦開始以迂迴方式向第三國傳輸個人資料、規避本法,主管機關得限制之。
沒有啊,這條很久了。這應該是劉靜怡老師那時候《電腦處理個人資料保護法》就有的。
你可以去個資會籌備處網站,它們現在有一個資料庫了。這個還蠻好用的,我們可以去找。還有一個相關解釋資料庫。
你找國際傳輸、跨境傳輸應該就會找出來。確實,真的有一個完整的簡報——個資會籌備處看起來預算還蠻充足,沒有真的被砍到一塊錢。
「公務機關在我國領域外蒐集我國人民之個人資料是否適法」⋯⋯然後「跨境傳輸限制」 ⋯⋯我看到衛福部也有——但這個是你剛剛講的嘛,它本來就是三個特規之一。
是,但是這裡有個很弔詭的——就是它還沒有完全收回執行權。它現在只收回了解釋權。
就是它現在是在日出階段。所以它的解釋是又回到各機關回去使用。但是各機關使用的時候又必須要理解到現在狀況是這樣。
所以在法令這邊,你就會看到各式《個人資料檔案安全維護管理辦法》還是寫在各個主管機關裡面。你如果去看法令、去看執行措施的法令的話,確實是還在收的過程裡。
但是我的 point 是:如果現在個資會突然間認為出現新的迂迴方法,或者是它認定另外一個接受國它對個資保護沒有完善之法規,或者是它突然認定了某種國家重大利益⋯⋯在以前因為它是國發會裡面的一個辦公室,所以它就是能靠國發會主委幫它協調,或是請行政院資訊長去發函。
而我們當時是在這個聯繫會議裡面——當時因為我是裡面的協同召集人——就是可能是法務政委當召集人,然後數位發展部長也就是院資訊長當協同召集人,然後可能國發會主委作為政委扮演第三個協同召集人。
那在這個情況下,任何時候個資會籌備處一旦想要做任何像你剛剛講的跨境傳輸的限制,就可以提到這個聯繫會議裡面。然後呢,由三位共同召集人一起做成決定。那做成決定之後,因為它是院級的會議,會議紀錄到院長簽字,就拘束所有的行政機關。
所以呢,你就常常看到它會開完會之後,所有機關的維護管理辦法,在一兩個月內全部都要改,而且每個字樣都一樣。
對。所以回答你的問題——我們的法制雖然看起來像是除了那三個特種個資的相關的資料之外,好像都是很鬆散的、分散式的、二十幾個主管機關分別管理。但是實務上面其實不是這樣。當時國發會的個資辦公室——現在的個資會籌備處——只要能夠說服兩位政委跟一位院資訊長,那它就有相當於院長核定的那個權力。
為什麼是三件事情?
好的。
也很合理啊。
我覺得我們剛剛講到一個三角形嘛。就是說在部本部,它的目的是全民參與——就是大家都有參與權——比較像 universal service。那不只是 broadband as human rights,就是不只是寬頻人權,也是 broad listening——就是廣泛的參與也是人權嘛。這是部本部的理念。
那但是如果你去問數位產業署,那它就一定會跟你說你要清除創新的障礙。你要確保說當創新發生的時候,我們可以一下子就看到受到創新影響的人,然後確實上面有辦法把意見蒐集起來。好比像說我們就要推廣告實名制啦,然後就把這個紅線畫起來。但是意思就是說紅線的裡面你就隨便走——那這樣子產業有所依歸嘛,就有確定性。
對。那但是你如果去問資通安全署,那它就會告訴你說在接下來的幾年——就是 AI 攻擊的能力高過 AI 防禦的能力——所以我們陷入所謂的 offense-dominant window,就是攻方佔優的這個狀況。所以呢,你要儘可能地去揚棄掉以前那種一堵長城防禦性的那個概念,要儘可能分散、然後儘可能用韌性的概念。就是說你每個地方一定都會被打破,但是你要做到你打破之後不能橫向移動。
那所以像皮夾——你攻破了一支手機,你絕對沒有辦法透過這個跑去別人的手機。所以它就是最能夠防止橫向移動的。
所以就是:全民的參與、給產業確定性以確保創新、以及透過韌性分散式的設計來減少必然發生的資安攻擊——這三個價值在施政時,不管是做法律、做預算、做公共建設,基本上就是要拒絕在這三個中間取捨。因為一旦做了取捨,破口就在那邊——水就淹進來了。你一定要三個兼顧。所以維護到這三件事情——就是 participation、innovation、safety 的兼顧——我覺得是最重要的。
給創新者一個確定性。
創新者,innovators。
