別讓個資網上「裸奔」！ 誰能看到你的資料 立委呼籲明確揭露

〔記者楊丞彧／台北報導〕個資外洩問題頻傳，從政府機關的健保、戶政資料，到民間企業的華航、iRent、格上等，造成民眾權益受損、人心惶惶。民眾黨立法院黨團今（10）日召開記者會，呼籲中央儘速增設獨立性專責個資保護機關。立委陳琬惠呼籲，在網路商務方面，因個資處理業務常遭層層外包，因此必須建立明確揭露原則，讓民眾清楚知道誰獲得授權。立委吳欣盈呼籲，我國應努力成為亞洲繼日韓後，第三個導入歐盟整套「一般資料保護規則」（GDPR）之國家。

立委賴香伶表示，在政府部門個資管理方面，民眾常因法治建制不足及政府內控不當造成權益受損，然而在現行法規上卻苦無法源對行政機關進行行政裁罰。以iRent事件來說，公路總局沒有負起資安監理責任，而上級機關交通部在現行法規上卻無法對其進行開罰，顯有疏漏。而憲法法庭去年做出判字13號也要求我國應建立資安監理機制或機構，因此民眾黨團本週提出《個人資料保護委員會組織法》草案，盼行政院儘速提出相對應的草案。

請繼續往下閱讀...

賴香伶也批評，中央對資安問題動作緩慢且不積極，放任個資外洩的問題蔓延，出事就推給刑事調查或民間部門資安設定、不願面對。數位發展部去年成立，國家資通安全研究院今天掛牌；然而，政府砸了兩百多億元成立數位部，卻對健保資訊外洩一事推得一乾二淨，將責任丟給各機關。她點名國發會應儘速針對成立個資保護機關的專責機制及時程向國會報告。

剛成為新手媽媽的吳欣盈透過視訊強調，在個資保護上應做到「官民一把尺」，企業對於個資外洩事件個別通知客戶，但政府機關外洩個資卻完全沒對民眾交代。儘管她才到立院幾個月，就深感各部會對此常互踢皮球，《個資法》也完全沒落實。

吳比較我國《個資法》與國外GDPR指出，從投訴、行政救濟、當事人損害及集體訴訟上的做法有許多差異。此外，台灣個資法規定的個人求償上限僅兩萬元，與繁冗的司法流程完全不成比例。她呼籲我國能成為日本與南韓之後，亞洲第三個全面導入歐盟GDPR的國家，並提高相關罰則。

陳琬惠說，從近期iRent數十萬筆用戶個資外洩來看，無論政府與民間企業皆仍輕忽個資管理安全。在網路商務實務上，個資使用方式各有不同，許多業者在會員資料搜集與儲存等功能上，並非自行建立雲端或物理伺服器，而是透過業務外包方式進行。對此，她呼籲必須明確揭露授權資訊，讓使用者與消費者清楚知道自己的個資授權給誰使用，並使後台及外包廠商訊息透明化，並要求非公務機關也提出安全維護計畫、建立定型化契約。

其次，陳琬惠建議政府應參考美國作法，採取「永不信任，一律驗證」的零信任架構，並善用其他種強化網路安全性的方法，讓網路環境更為安全。而數位部及部長唐鳳應更務實地提出更務實的資訊發展路徑及策略，而不要只會做大外宣跟大內宣。