資料治理

《個資法》修訂應有的格局

個人資料保護議題是近幾年政府政策經常受到質疑的面向,也是許多民間企業與研究機構在運作上困擾的問題,主因是台灣制定《個人資料保護法》之時,並未設立專責機關,是交由各目的事業主管機關負責不同領域部門之個資保護事宜。各目的事業主管機關不懂個資保護法規與技術,造成規範標準不明等問題。據報導行政院將提出《個資法》的修法,並設立個資保護審議委員會,這是正確的方向。然而個資保護專責機關將來如何發揮功能,也跟整體政策是否有配套設計息息相關,為此本文從資料治理的角度做些提醒。

善用資料做好公共治理

我國制訂《個資法》是為配合歐盟的規範,而隨著歐盟《一般資料保護規範》(GDPR)在2018年正式生效也造成我國必須修法的壓力,以尋求獲得歐盟適足性認定。但我國看待GDPR的認知普遍狹隘,此時修訂《個資法》恐會形成災難。GDPR固然具有加強網路時代個資保護的「人權意涵」,同時亦有建構歐盟資料治理策略的「政策意涵」,後者在台灣較少受到討論。
 

要理解GDPR作為資料治理策略一環,應該要讀歐盟今年2月發布的《資料策略報告》(European Strategy for Data)。該報告揭示的重要原則是,歐盟必須善用資料驅動型的創新與決策,才能在未來滿足環境政策、高齡社會等眾多社會轉型挑戰,為此必須先建立完整的資料治理機制。所謂資料治理,一般人理解就是加強保護個資,但這只是第一面意義,其第二面意義是善用資料才能做好公共治理。這兩面意義有矛盾關係,過度強調第一面向會導致嚴格限制資料流通,損及第二面向所需的資料蒐集利用途徑。
 

歐盟希望解決此種矛盾關係,除了制訂GDPR來建立歐盟統一的資料法制外(法制單一化則個資在歐盟境內流通無虞),配套推出的資料策略報告提出更完整的願景與措施。在此僅針對和GDPR有關的部分簡述。
 

歐盟在數位產業落後美國,境內數位服務都被美國公司獨佔,所謂強化個資保護規範,表面上是要對付這些美國公司,但其實法規對大企業的影響是有限的。只要法規夠明確則對大企業就只是法遵成本提高而已,反而是中小企業會因為個資保護造成的法遵成本而更加困難,此反造成對歐盟自身企業不利的結果。要解決此問題,歐盟一方面強調非個人資料的部分應建立共享機制,把資料看成像水電一樣的基礎設施,打破資源壟斷;另方面對於個人資料的部分,歐盟則要建立更便利的同意機制,讓當事人有好的技術工具獲得個人賦權(empowering individuals)。
 

目前在網路活動中我們沒有多少選擇權,也無法控制個資流向。若不開發出好的技術工具,即使《個資法》訂得更嚴格,我們一樣會因為網路使用需求而同意大型網路公司所提出的廣泛個資蒐集與利用要求,最後大公司因服務較多元完整且免費,他們會掌握的個資一定比中小企業多。偏偏個人資料很難要求採用共享機制去開放利用,因此只能透過給予當事人更方便的個資管理機制來解決。在我國就類似健康存摺的My Data模式,讓當事人很容易取用自己的個資,並對於提供健康管理服務業者進行授權利用,將來我國也應在其他個資領域發展類似的技術工具,此對於避免我國數位經濟被大企業壟斷具有重要策略意義。
 

修法搭配資料治理政策

除促進企業競爭外,在公共政策的治理方面如何善用資料分析也是重要課題,這無法以個別當事人的同意機制來解決,必須由主管機關基於公益目的而超越當事人同意機制加以利用,以我國為例就是健保資料庫該如何善加利用以提升健保制度合理性、公衛預防政策的有效性等問題。目前公衛學界及人工智慧科技等領域都有很好的技術可強化公共政策治理,唯獨在大數據資料利用上被不明確的法規所局限,將來要發展精準健康平台也會面臨同樣問題。
 

個資保護專責機關所能發揮的功能,就是從公益目的之把關來維護上述資料治理兩面意義的價值平衡。總之,政府在修訂《個資法》時若看到GDPR背後更大的歐盟資料策略,就該同時提出總體的資料治理政策,將來新的《個資法》才不會造成產業發展與公共治理更大的法規障礙。


原文刊載於《蘋果日報》論壇版──《個資法》修訂應有的格局
Image by Darwin Laganzon from Pixabay