如果以Google來講,那個數字是不得了,所以他們就會變成像這一種跨國的網路公司,他們一定會想辦法完全合規,在GDPR裡面的跨境傳輸,一定會做到合規。
以GDPR來講的話,明年不是針對加拿大,但加拿大企業只要蒐集歐盟的個資若違反GDPR,這個效果會非常嚴重的,他們現在罰到2%或4%的營業額,那個是不得了的。
對。他們現在是這樣子,我們先講新的GDPR,因為舊的他們明年就要失效了。
還有一種,他也沒有特別提,反正要傳到國外去,就跟A機關、C機關,反正不管兩個是同一個國家或者是不同國家都要一樣,我要傳到國外去跟在臺灣傳給另外一個公司都一樣,要件都一樣,比如要經過當事人的同意,要告訴當事人等等,也就是沒有特別區分跨境不跨境,反正跨境也當不跨境來處理,就是要遵守。
這個是臺灣的情形,也不是沒有別的國家跟我們一樣,像紐西蘭也是這樣的情形。
臺灣現在是採取這一種,原則上都可以,但我政府可以下行政命令禁止你某個行業不可以再傳輸,這個事情臺灣發生過,也就是東傳會,那一次的事件是這樣,也就是臺灣的電信業者跑到廈門去設客服中心,他們就可以查詢臺灣人的電信個資,後來被踢爆以後,NCC就立刻禁止,目前也是唯一一個禁止行政命令。
如果你沒有經過同意,像剛剛舉的例子,在澳門就開罰,你在澳門的子公司蒐集,然後傳給在美國的母公司,你沒有經過許可開罰,但其實你有申請也都會核准末。
再來,這一種是比較多的,但是跟臺灣不一樣,你只要資料要出境,你就要經過獨立機關的同意,大部分的國家是採這一種。
理論上有一種可能性是報備制,也就是報備就會對外傳輸,但我們也找不到有國家有採這個制度,雖然邏輯上沒有什麼不可以。
我們先談跨境傳輸,我們先講邏輯上會有這幾種可能,一個是都准,一律都准,這個是最寬鬆的,但目前沒有一個國家是這樣做的,這個是邏輯上會有這樣的可能性。
還有一種是,直接第三人就在境外蒐集,例如Google、FB儲存臺灣人的個資,這個是這一種狀態,所以這兩種不太一樣,我們個資法上講的跨境傳輸是屬於上面這種,而下面這一種狀態,我們講的其實就是資料要不要在地儲存的這一件事。
第二個問題是資料在地化,我們剛剛有提到,我先講這兩種的差別,原來RFP上寫的是這一種,比方臺灣某個連鎖的旅館是世界性的,在臺灣有分公司(A)蒐集了臺灣人旅客(B)的個資,傳給其母公司(C),這個是一種。
像那個也是有這樣的問題,當時幫他們設計的時候,也有考慮到錢從哪裡來,行政機關就會有一個收入要從哪裡來的問題,所以我覺得單純一點。
立法院都已經掛牌,還被廢止。
原本的技服不是要轉成行政法人,後來被……
對,如果超過一半預算是國家來的話,就必須要去立法院報告,我記得行政法人法有這樣的規定,因為我們事務所之前有參與那個規劃,後來被廢掉的那個,我現在想不起名字。
再來,行政法人感覺上都還帶有一點不能講營利,因為本來就不是營利的機關,但會有一種,也就是預算還是要想辦法自己滿足。
行政法人當然我們可以透過行政委託的理論,把一些公權力交給它執行,但我覺得還是不建議,我覺得人民對行政法人的信賴心跟對公務機關的信賴心還是不一樣。
但是我覺得他們是過渡,也就是在訂個別產業的時候,還是會跟他一起的,也就是一起制定的辦法,因為還是要尊重目的事業主管機關。
日本整個整合以後,原來各個中央事業目的主管機關直接援用,還是繼續地有效,也就是原來訂的那些辦法。
我想我們先停在這邊一下,就是有關於專責機關的部分。
香港好像就不一定有那麼大,但是人力的部分,我們目前還沒有結論,資料蒐集得還不夠。
對,他們幾十萬人,但有五十個人。
但像澳門,他們大概有五十個人,因為我上次有親自去問過,但我其實有點訝異,我覺得他們太多。
像通傳會這樣子,我們也覺得還不錯。但這個會有一個問題,我們其實跟人力也有關係,就是剛剛跟簡參議講的,其實有另外一個考量,也就是到底要多少人,這部分的資料我們現在還在蒐集,當然不是每一個國家都蒐集得很順。
這樣可以,公平會這樣是可以的。
我覺得他只是會去調查,會不會?
比較糟糕的是,你只有委員,但下面沒有兵,像公平會算不算?我覺得公平會其實沒有兵。
我覺得委員制也可以,委員制就是比方我們看通傳會這樣的執行效率是不是ok,但委員制下面還會有很多行政人員,像通傳會下面也是有一堆處。
我們看司法、立法及行政,世界各國還是放在行政,我覺得這個想法很好,不過我們倒是忘了可以從這一個角度來切,就是從權力分立的角度來觀察。
……不會廢掉嗎?
因為監察院別的國家沒有,所以我們就沒有考慮。而且監察院到底……
如果是在行政院裡面可能還沒那麼適合,所以我們建議二級或三級這兩個都可以。
考量指導性跟裁罰能力,我覺得目前這兩個會比較可行。就是類似行政院的環保署,或者類似法務部的廉政署,像這個是二級、那個是三級,當然邏輯上還有一些可能,比方說我也可以變成行政院的消保處,也就是變在行政院裡面,但我們還是覺得這樣子會比較好,因為行政院在臺灣,我們的定位像消保處還不執行,只負責政策。
這個是初步的建議,因為歐盟最新GDPR其實現在對於獨立性也有一些要求,他的要求像不能兼職,這個很好處理。人事獨立、預算獨立,這個也還好。不受他人的指示及影響自主性,其實只要把它成立為一個獨立的機關,就可以自己做他的行政函釋等等。
但是相異的地方是官方與半官方就有一些不同,但以目前公務機關形式成立還是主流,但任命有最高首長任命,但要向國會負責,有最高首長任命,但隸屬於行政機關,也有行政機關的首長,也就是部會首長任命,但隸屬於該行政機關,這個其實都有也就是我們要找一個最適合現在的狀態。
我們初步研究的結論是這樣,第一個結論我們剛剛講了,大概都會有專責獨立的機關,什麼叫做「獨立」?「獨立」一定有它的組織法、預算,而且有行政處分的能力,也就是可以作裁罰等等,這個是相同的地方。
再來,菲律賓就跟新加坡這邊比較像,還有馬來西亞,我們都有蒐集資料,但因為他們我覺得不具參考性,因為他們的個資法比較慢,而且法制也沒有那個。
對,所以我覺得他們的總統report line超多,這個可能不一定適合我們。新加坡目前看起來,(設置該機關的層級)算是比較低,相當於我們的三級機關,現在是被併入新加坡資訊通訊媒體發展局,這個「局」及上面是通信及新聞部,所以部下面的局,這個有一點像我們的智慧財產局裡面的一個委員會,所以像這個,說實在獨立性就不是非常夠。
再來是南韓,南韓比較有趣,真的就由總統任命並向總統負責,我覺得南韓就是這樣子,我覺得科技、網路這一種事或者是這一種比較新的議題,他們層級都會挑得很高。
再來是日本,日本是剛剛成立,比較像我們的二級機關,算是內閣輔外局,這個相當於臺灣哪一個部會?
再來是澳門,澳門跟香港很像,但它不一樣,它不是行政法人,真的是公務機關,這個就是我前年他們要求我去他們那邊演講,我有認識他,他們那個是高等法院的法官轉任,薪水大概新臺幣月薪50萬左右,我有問他,我說:「這個是你的個資,你可以不要告訴我。」他說:「我可以跟你講。」我們換算一下,大概是新臺幣50萬左右。不過因為整個澳門公務員薪水就是比我們高。
對。再來是香港,香港很有趣,它是行政法人,是由特首來任命的。
……不是行政首長任命。
再來,加拿大也很有趣,加拿大是總督任命,但國會要同意,臺灣目前好像沒有這樣的相對應層級……其實還是有,對國會負責,這個是沒有,但經過任命,像檢察總長、大法官等等,大對國會負責這一件事,臺灣好像目前沒有這樣子的事,也就是直接對國會,應不是對行政院。
這個有點好玩,我們先講我們團隊初步認為個資的專責機關不適合用行政法人,因為我們的行政法人是像中正紀念堂這種,可能不太適合。
這邊是簡單的整理,也就是讓政委瞭解一下,像英國的獨立機關叫ICO,他們做得非常好,我們看到非常多的文獻、規定及年會等等都辦得有聲有色,但其實不是我們傳統上認為的公務機關,比較像我們的行政法人。
第二個部分是資料在地化,這個部分是我們從RFP上來看比較像討論跨境傳輸的問題,但我後來團隊研究發現其實資料在地化還有另外一個內涵,這個我們等一下會再報告,像這邊談的是跨境傳輸的事情,但資料在地化其實還有另外一個內涵,也就是有無規定所有網路業者必須資料一定要在地儲存?這個其實目前是國外有點爭議性的問題,所以我們也打算延伸,雖然RFP沒有講到這一塊,但是我們還是希望提一下。
真的成立以後會有一些法規調適的問題。再來是這個機關要編多少人,職權、任務要如何設計,這個是比較細節的部分,我們也有提供建議。
再來就是我們如果要成立,我們在臺灣應該要設在什麼位階?像通傳會或者是國安會或者是像廉政署?到底在政府的位階是哪一個?
