▲韓劇《非常律師禹英禑》最後兩集,設計的法律案例是南韓的《個人資料保護法》。(圖/翻攝自Netflix)
● 楊智傑/國立雲林科技大學科技法律所教授
近期熱播韓劇《非常律師禹英禑》最後兩集,設計的法律案例是南韓的《個人資料保護法》。從高達3,000億韓元的罰鍰,到可能高達3兆元的集體求償,讓我們上了一堂南韓的個資法律課。除了看到南韓對個人資料保護的重視,也不得不汗顏台灣個資保護法制的落後。
劇情中,南韓最大網路購物公司羅溫,因為駭客以木馬程式入侵電腦,竊取了4,000萬人的個人資料。因而,主管機關決定依照最新的法規,處罰3,000億韓元。劇情中的法庭辯論與攻防,圍繞著一個關鍵,就是該案被竊取個資的時間,剛好發生新舊法的修法適用問題。
南韓資訊通訊服務提供者的個資保護義務
查詢南韓的個人資料保護法制,對於大型網路公司,2001年確實有一個《促進資訊通信網絡利用和資訊保護法》,規範所謂的「資訊通訊服務提供者」,主管機關為「韓國通信委員會」。該法第四章為「保護個人資訊」,共有35個條文。
該法28條就有規定各種資安措施要求。該法76條規定,未採取第28條第1項規定的技術和管理措施,可處3,000萬元以下罰鍰,並非劇中所說最高可處1億元。
南韓《個人資訊保護法》可處罰全年營收3%
南韓在2011年制定《個人資訊保護法》,在2020年大幅修正時,將上述特別法第4章對「資訊通訊服務提供者」的相關規定,全數刪除,全部移列到《個人資訊保護法》中。
▲南韓新修訂的個資法律中,對違反資安事件的公司,可處全球營收3%的罰鍰。(圖/翻攝自Netflix)
南韓新修正《個人資訊保護法》中,一般企業的罰則,最高為5,000萬罰鍰;但若是「資訊通訊服務提供者」違反相關規定,則有特別處罰規定,最高可處與違反規定有關活動之一年營收的3%以下。此明顯是參考歐盟GDPR的83條,企業違反相關規定時,可處全球營業額2%或4%。
劇中與現實狀況不同之處在於,該新法生效日為2020年8月5日,而非劇中所述的2022年1月18日。當然,法條條號、內容也有若干改編。
台灣欠缺中央統籌性個資保護委員會
還有一個不同,南韓新法的主管機關,是統一的「個人資訊保護委員會」。故劇中對網路公司進行裁罰的,是個資保護委員會,不是韓國通信委員會。不管處罰的是哪個主管機關,回頭看台灣,台灣可能沒有任何一個主管機關會跳出來處罰。
我國個人資料保護法制的落後點之一,在於沒有中央的統籌性主管機關,而採取分散式的各行政主管機關。此種分散設計導致,各行政主管機關很少主動發動違反個資的調查、蒐證、處罰等,失之過鬆。現實運作上,最強力的個資執法者,反而是檢察官、法官,且採用刑事責任威嚇,又失之過嚴。
最近憲法法庭做出廣受關注的「健保資料庫案」判決。判決主文第2點強調,台灣的個資法制「欠缺個人資料保護之獨立監督機制」,且這個欠缺已經嚴重到「違憲」程度。故憲法法庭要求相關機關應自判決宣示之日起3年內,制定或修正相關法律,建立相關法制。
判決中提到:「監督機制如何設置,例如設置一個統籌性之獨立監管機制,或於各相關法律設置依各該專業領域設計之獨立監督機制,屬立法形成自由」,但判決唯一註腳,也提示我們歐盟各國多設統籌性的獨立監管機關。除了歐盟,南韓也有統籌的「個人資訊保護委員會」,台灣怎能不汗顏!
台灣與南韓的個資法制差距
▲在個資法制上,台灣不像歐盟或南韓,未有統籌性的獨立監管機關。(圖/Pixabay)
《非常律師禹英禑》劇中發生的違反資安措施、資安外洩事件,若發生在台灣,可處多少罰鍰?根據台灣《個人資料保護法》第48條,違反第27條第1項之「應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,可處2萬元以上20萬元以下罰鍰。若涉及《資通安全法》下的關鍵基礎設施提供者,最高可處100萬罰鍰。
南韓對違反資安事件,可處一公司全球營收3%,可能高達3,000億韓元(換算為約67億8,550萬台幣);而台灣則是處20萬,且台灣的分散式主管機關大概根本不會調查處罰。兩者的罰鍰金額差距,某程度就是個資保護法制上,台灣與南韓、歐洲國家的差距。
熱門點閱》
● 以上言論不代表本網立場。歡迎投書《雲論》讓優質好文被更多人看見,請寄editor88@ettoday.net或點此投稿,本網保有文字刪修權。
我們想讓你知道…在個資法制上,歐盟各國多設統籌性的獨立監管機關,南韓也有統籌的「個人資訊保護委員會」。欠缺個人資料保護之獨立監督機制,且達「違憲」程度的台灣怎能不汗顏!