全民資料庫2／獨立監管機關「個資會」將成軍　制度框架藏三大風險

憲法法庭於111年憲判字第13號判決中，要求政府三年內完成修法，除規範健保資料蒐用規範，也要求補強《個資法》及相關法律缺乏的獨立監督機制。立院今（2025）年10月17日三讀通過《個人資料保護法》部分修正案，成立「個資保護委員會」（個資會），並要求各機關設置「個資保護長」，盼從結構上強化資料治理。不過，由於個資會僅為三級機關、個資保護長也由各政府機關自行指派，加上對公部門違法未設明確制裁機制，監管成效仍遭質疑。

政府此次修《個資法》，除了成立個資委員會，也規定公務機關全面設置「個人資料保護長」，並將其納入個資會的檢查範圍；另設置六年過渡期，讓無主管機關的業者優先納管，有主管機關者暫由原機關監理。修法雖被視為台灣個資保護制度邁向更實質的管理，但外界對其實際成效仍存疑慮。

依《個人資料保護委員會組織法》草案，個資會定位為中央三級獨立機關，委員可由各部會官員兼任。台灣人權促進會秘書長周冠汝指出，個資會肩負監督其他機關的責任，卻是三級機關，恐出現權限與層級不對等、「下級監督上級」的問題。民團原建議提高首長職層級或補強職權，但均未納入修法；此外，若委員由部會官員兼任，可能形成利益衝突，易複製過去「多頭權責」、「缺乏統一窗口」的問題。

至於主管機關或非公部門違法，周冠汝也指出落差，修法對私部門設有具體罰緩及強制性處罰，然轉向公部門違法，卻沒有相同的制裁制度，僅規定「可要求機關定期召開會議」，實際監督力道似乎有限。

在個資法領域深耕多年的律師林鴻文則指出，政府機關在個資蒐集與使用上，最大的問題來自「法律定位不明確」。多數機關雖有「設置法」與「行為法」，但兩者在職權、目的與界線上並未被真正釐清，使得各機關的法定職務與資料使用範圍至今仍有模糊空間。

他提到，多數人常混淆「資訊安全」與「個資保護」兩個概念。資訊安全僅是避免資料外洩，而個資保護還包括蒐集的正當目的、比例原則，以及後續利用是否符合原先特定目的。儘管修法已通過，但相關細則、作業規範及配套仍未建立，使得各機關未來如何落實查核仍不明朗。過去政府對個資查核本就力度不足，如今即便設立新機關，若沒有充足的預算與人力，恐難以期待真正落實。

對於外界質疑個資會層級不足，林鴻文坦言，雖然法律明文保障公務員執行監督不受不利益處分，但現實中「下屬糾正上司」仍不容易。若受監督機關不願配合，委員會即便擁有權限也難查出問題，形同「空有制度、難以落地」。他以會計師查帳為例，「若企業不提供資料，再高明的查核也無從著手。」

不過，他認為，制度尚未正式上路，外界不宜過早斷言它一定無效。真正關鍵字在於政府高層是否願意賦予個資會充分權限、以及各部會是否願意配合。如果沒有足夠人力與預算的監督機關，再好的制度也可能淪為「宣示性存在」，難以改善公部門長期的個資外洩與管理問題。