考量指導性跟裁罰能力,我覺得目前這兩個會比較可行。就是類似行政院的環保署,或者類似法務部的廉政署,像這個是二級、那個是三級,當然邏輯上還有一些可能,比方說我也可以變成行政院的消保處,也就是變在行政院裡面,但我們還是覺得這樣子會比較好,因為行政院在臺灣,我們的定位像消保處還不執行,只負責政策。
如果是在行政院裡面可能還沒那麼適合,所以我們建議二級或三級這兩個都可以。
因為監察院別的國家沒有,所以我們就沒有考慮。而且監察院到底……
……不會廢掉嗎?
我們看司法、立法及行政,世界各國還是放在行政,我覺得這個想法很好,不過我們倒是忘了可以從這一個角度來切,就是從權力分立的角度來觀察。
我覺得委員制也可以,委員制就是比方我們看通傳會這樣的執行效率是不是ok,但委員制下面還會有很多行政人員,像通傳會下面也是有一堆處。
比較糟糕的是,你只有委員,但下面沒有兵,像公平會算不算?我覺得公平會其實沒有兵。
我覺得他只是會去調查,會不會?
這樣可以,公平會這樣是可以的。
像通傳會這樣子,我們也覺得還不錯。但這個會有一個問題,我們其實跟人力也有關係,就是剛剛跟簡參議講的,其實有另外一個考量,也就是到底要多少人,這部分的資料我們現在還在蒐集,當然不是每一個國家都蒐集得很順。
但像澳門,他們大概有五十個人,因為我上次有親自去問過,但我其實有點訝異,我覺得他們太多。
對,他們幾十萬人,但有五十個人。
香港好像就不一定有那麼大,但是人力的部分,我們目前還沒有結論,資料蒐集得還不夠。
我想我們先停在這邊一下,就是有關於專責機關的部分。
日本整個整合以後,原來各個中央事業目的主管機關直接援用,還是繼續地有效,也就是原來訂的那些辦法。
但是我覺得他們是過渡,也就是在訂個別產業的時候,還是會跟他一起的,也就是一起制定的辦法,因為還是要尊重目的事業主管機關。
行政法人當然我們可以透過行政委託的理論,把一些公權力交給它執行,但我覺得還是不建議,我覺得人民對行政法人的信賴心跟對公務機關的信賴心還是不一樣。
再來,行政法人感覺上都還帶有一點不能講營利,因為本來就不是營利的機關,但會有一種,也就是預算還是要想辦法自己滿足。
對,如果超過一半預算是國家來的話,就必須要去立法院報告,我記得行政法人法有這樣的規定,因為我們事務所之前有參與那個規劃,後來被廢掉的那個,我現在想不起名字。
原本的技服不是要轉成行政法人,後來被……
立法院都已經掛牌,還被廢止。
像那個也是有這樣的問題,當時幫他們設計的時候,也有考慮到錢從哪裡來,行政機關就會有一個收入要從哪裡來的問題,所以我覺得單純一點。
第二個問題是資料在地化,我們剛剛有提到,我先講這兩種的差別,原來RFP上寫的是這一種,比方臺灣某個連鎖的旅館是世界性的,在臺灣有分公司(A)蒐集了臺灣人旅客(B)的個資,傳給其母公司(C),這個是一種。
還有一種是,直接第三人就在境外蒐集,例如Google、FB儲存臺灣人的個資,這個是這一種狀態,所以這兩種不太一樣,我們個資法上講的跨境傳輸是屬於上面這種,而下面這一種狀態,我們講的其實就是資料要不要在地儲存的這一件事。
我們先談跨境傳輸,我們先講邏輯上會有這幾種可能,一個是都准,一律都准,這個是最寬鬆的,但目前沒有一個國家是這樣做的,這個是邏輯上會有這樣的可能性。
理論上有一種可能性是報備制,也就是報備就會對外傳輸,但我們也找不到有國家有採這個制度,雖然邏輯上沒有什麼不可以。
再來,這一種是比較多的,但是跟臺灣不一樣,你只要資料要出境,你就要經過獨立機關的同意,大部分的國家是採這一種。
如果你沒有經過同意,像剛剛舉的例子,在澳門就開罰,你在澳門的子公司蒐集,然後傳給在美國的母公司,你沒有經過許可開罰,但其實你有申請也都會核准末。
臺灣現在是採取這一種,原則上都可以,但我政府可以下行政命令禁止你某個行業不可以再傳輸,這個事情臺灣發生過,也就是東傳會,那一次的事件是這樣,也就是臺灣的電信業者跑到廈門去設客服中心,他們就可以查詢臺灣人的電信個資,後來被踢爆以後,NCC就立刻禁止,目前也是唯一一個禁止行政命令。
這個是臺灣的情形,也不是沒有別的國家跟我們一樣,像紐西蘭也是這樣的情形。
還有一種,他也沒有特別提,反正要傳到國外去,就跟A機關、C機關,反正不管兩個是同一個國家或者是不同國家都要一樣,我要傳到國外去跟在臺灣傳給另外一個公司都一樣,要件都一樣,比如要經過當事人的同意,要告訴當事人等等,也就是沒有特別區分跨境不跨境,反正跨境也當不跨境來處理,就是要遵守。
對。他們現在是這樣子,我們先講新的GDPR,因為舊的他們明年就要失效了。
以GDPR來講的話,明年不是針對加拿大,但加拿大企業只要蒐集歐盟的個資若違反GDPR,這個效果會非常嚴重的,他們現在罰到2%或4%的營業額,那個是不得了的。
如果以Google來講,那個數字是不得了,所以他們就會變成像這一種跨國的網路公司,他們一定會想辦法完全合規,在GDPR裡面的跨境傳輸,一定會做到合規。
再來,其實剛才主任剛剛有點到一個議題,像Google一樣,這個也有可能。比方臺灣某個網路公司,這個是他的會員資料,放到Amazon的雲端去,那其實就在國外,也會牽涉到這一個問題,現在都不違法,但如果我們要改採許可制的話,那用所有Amazon雲端的AWS全部都要經過許可,這個沒有獨立機關是不可能做得到的。
這個要很多人力來審核。
現在沒有。
還好啦!金管會都還沒有管Google(笑)。
再來,我先講暫訂,我們覺得世界各國是往許可同意、例外允許會比較多,我說「暫時」是因為我自還沒有我自己心中百分之百的論述,去認為我們一定要這樣子改,或者是維持現狀就好了。
如果有獨立的機關,我先做一個假設,如果這個獨立機關假設編制五十個人,也許做這一件事的人力是夠的,大概是這樣。
要,三十個人是初期的規模,五十至七十個人是中長期的規模,因為他們還要出去做行政檢查,還要開罰、函釋及同意,所以可能就要這麼多人。
是。
再來這個是變形的,我們這個題目討論的是在地儲存的這一件事。
臺灣現在正在推數位通訊傳播法,好像送到立法院,我知道有報院了。
簡單來講不能以不合營業常規的方式來規避,也就是要把整個通訊傳播的過程、設施而繞過去,這個設施包含了儲存設備,所以這個反向的解釋會認為這個其實是資料在地化,而且在立法理由中就是這麼寫的。
他這樣做的理由中其實也有講,比方我跟Google起了爭議,證據都在國外,就是我跟國外的網路公司,不要講Google,這樣對我不利、對我消費者是不利的,我應該跟你有任何的紛爭、爭訟都應該要將證據保存在臺灣管轄的,像法院跟他調資料才要得到。
立法理由中是有這樣寫,其實這個東西雖然沒有明文寫「資料要在地儲存」,但其實應該就是。
對,所以如果像臉書我們就認為不合營業常規。Google不管怎麼講,在這邊有投資就算了,明年就符合了。像LINE一樣,LINE你現在跟他要任何的資料,他都說在日本,比方某人在散布一個什麼誹謗的訊息,連警察去調,現在也都不給。
我認為還是……對,所以這個很難,這個我們……
法律人叫做「不確定的法律概念」(笑)。
