| 0 |
邱委員議瑩:(9時39分)謝謝主席,我請一下李主任。 |
| 1 |
主席:請李主任。 |
| 2 |
李主任世德:委員早。 |
| 3 |
邱委員議瑩:主任早。主任,我想我們今天在討論個資法,我們曾經在2023年5月的時候,當時是本席在當召委,我們就通過了要增加個資保護委員會這樣的一個單位,所以您今天是以籌備處主任的身分來。我還是想要再更深一步的請教,到底這個個資保護委員會,你們只是形式上有這樣的一個組織,還是能夠實體上進行?我們大概舉了兩個例子,這個也讓您看一下,這個是2023年1月在華航有一些會員資料外洩的狀態,華航並沒有證實這個是從它的資料庫來,但是我們可以看得出來,其實像這一些大型公司會員資料外洩,很顯然他們在對於個資保護加密整體的防制工作並沒有做得特別好,但因為沒有罰則,也沒有通報裁處的任何機關,所以這件事情可能也就這樣子不了了之喔!第二個,有很多學校校務系統透過資訊業者被駭客入侵,所以有大量學生的個資外洩,個資外洩的程度,基本上因為在法令也不完備之下,而且學校的校務系統缺乏資安的稽核,所以也是不了了之喔! |
| 4 |
而您剛剛的幾個報告裡面,我其實想要進一步的請教,在我們修正草案第十二條裡頭有說「符合一定通報範圍」,請問什麼叫做一定通報範圍?它的範圍涵蓋有多廣?第二,所謂的資訊長,我們現在要求各部會、各單位都必須要設立資訊長,這些資訊長的設立,現在有哪一些公務機關已經設立了?這些資訊長依照現行的法令規定是兼任,如果資訊長的職務是兼任的話,他到底對於資安、對於個資的保護能夠執行到什麼樣的程度?主任,我請您就這幾個問題先回答。 |
| 5 |
李主任世德:謝謝委員指教。我先回答剛剛委員所提到未來這個機關是一個形式的,還是實質的?我們現在當然是朝向它是實質的,它監管的權限以我們剛剛所舉的這兩個例子,然後扣除掉剛剛已經有報告我們會設計一個6年權限回收的機制,理論上,我假設以後全部都回收的情況之下,這些實質的監管當然是沒問題,但還在分管的時候,我們還是會跟現有的中央目的事業主管機關去做協作。 |
| 6 |
委員剛才請教我們有關於第十二條所謂的「一定通報範圍」,本質上通報的義務未來在這個新法的要求是一定都要有,所有的這些…… |
| 7 |
邱委員議瑩:所有東西都要通報? |
| 8 |
李主任世德:而且是直接通報到我們這邊來,但是…… |
| 9 |
邱委員議瑩:不分大小,一律都是要通報到你們這裡? |
| 10 |
李主任世德:這邊可能就要去…… |
| 11 |
邱委員議瑩:你們的工作量能可以銜接涵蓋這麼多的範圍嗎?不論大小,因為法條寫的是「一定通報範圍」,但是你現在講不論大小都要報到你們這裡來。 |
| 12 |
李主任世德:就是在我們所規制的範疇跟範圍,當然這個在子法的時候還會再做一次討論是哪類的東西…… |
| 13 |
邱委員議瑩:所以你們的子法還在作業當中?子法還沒有增訂完成? |
| 14 |
李主任世德:對,母法是先規定在一定範圍的話,當然就是適用對象全部都要通報到個人資料保護委員會。 |
| 15 |
邱委員議瑩:好,我在想因為你們有6年所謂的過渡期,當然你還是必須要有很多的資訊蒐集,至於公務單位資訊長的設立這件事情,您剛還沒有回答我,這些資訊長的設立,包括它的定義跟人員的編列,每一個公家機關裡頭會設立一個資訊長,他底下會有多少人員的編制,這個也是在你們的子法訂定的範圍之內嗎? |
| 16 |
李主任世德:是,沒有錯。 |
| 17 |
邱委員議瑩:現在各機關裡頭,在你的子法還沒有明訂出來前,你的子法什麼時候可以訂出來? |
| 18 |
李主任世德:因為這個法條通過的話,後面會有一個行政院指定施行日期,所以會有一個準備期,這段時間…… |
| 19 |
邱委員議瑩:你可以預估一下大概多久嗎? |
| 20 |
李主任世德:假設以一般還要包含組織去籌設,應該至少還有半年的時間吧! |
| 21 |
邱委員議瑩:還要再多半年的時間嘛! |
| 22 |
李主任世德:是。 |
| 23 |
邱委員議瑩:半年內的空窗期,個資如何保護? |
| 24 |
李主任世德:它不會變成…… |
| 25 |
邱委員議瑩:你在整個範疇之內,會不會有人說:哎呀,那我就等所謂個資保護長出來以後我們再來處理,等那個單位設立以後我們再來處理啊!很多東西,會不會有空窗的部分?會不會? |
| 26 |
李主任世德:跟委員報告,不會有空窗,因為現行的規定像剛剛說公務機關…… |
| 27 |
邱委員議瑩:你就用現行的法條、現行的規定去做? |
| 28 |
李主任世德:是。 |
| 29 |
邱委員議瑩:可以無縫接軌? |
| 30 |
李主任世德:是,沒有錯。 |
| 31 |
邱委員議瑩:您可以保證是無縫接軌? |
| 32 |
李主任世德:因為行政院現在對於非公務機關已經有成立一個協調聯繫會議,加強監管現有非公務機關相關資料的審查。 |
| 33 |
邱委員議瑩:我想公務跟非公務機關,其實這些機關團體非常的多啦! |
| 34 |
李主任世德:是。 |
| 35 |
邱委員議瑩:未來整個個資保護委員會看起來業務應該也會相當的繁雜。 |
| 36 |
李主任世德:是的,沒錯。 |
| 37 |
邱委員議瑩:如果子法訂定的時程可以加快的話,我期待……其實也應該要加快。 |
| 38 |
李主任世德:是,謝謝委員指導。 |
| 39 |
邱委員議瑩:另外,跟您再請教一個比較專業的問題,現在大家一直在講AI,我們講的個資保護在生成式AI風行之後,很多跨境資料的風險,其實會變成是個資保護委員會在個資監管很重要的一個步驟。現在我們一直在懷疑,包括很多的這一些app、很多的社群媒體social media,它們裡頭存取我們這些資料,我們要download很多的app或者要使用,都必須要輸入一些個人的資料,但是這個資料有訊息來源說它是跨境回傳到某一些地方,因為它的伺服器server是在境外的某些地方。 |
| 40 |
李主任世德:是。 |
| 41 |
邱委員議瑩:這個變成我們管不到,未來在這樣的個資監管,我想在這AI時代下,生成式AI的個資監管變成是很重要的一環,我不曉得在個資保護委員會或者在籌備處,你們針對這個部分有沒有什麼比較具體的想法?跟具體未來可能可以在法令上推動的這些方針及政策,有沒有? |
| 42 |
李主任世德:跟委員報告,這個就會涉及到我們剛剛提到的第二階段要全面修正個資法的內容裡面就會包含這一點,尤其是…… |
| 43 |
邱委員議瑩:你這個還要再等到第二階段,我覺得整個AI跨境資料的傳輸,其實它已經是到一個高風險的階段。 |
| 44 |
李主任世德:了解。 |
| 45 |
邱委員議瑩:你的二階段不知道還要再等多久?搞不好這一屆還不一定能夠完成。 |
| 46 |
李主任世德:這一屆一定會讓它完成。 |
| 47 |
邱委員議瑩:你確定這一屆能夠讓它完成? |
| 48 |
李主任世德:是。 |
| 49 |
邱委員議瑩:但你可不可以透露一下,在這一個生成式AI盛行的時代,這些跨境的個資傳輸或者是有沒有可能透過我們政府跟這些社群媒體的溝通,讓這些個資能夠留在臺灣接受臺灣的個資保護? |
| 50 |
李主任世德:是,假如說…… |
| 51 |
邱委員議瑩:有沒有這樣的想法跟這樣的作為? |
| 52 |
李主任世德:跟委員報告,因為這個問題,當然現行我們在分管的時候,其實也是會面臨到。有關於這類所謂的社群平臺裡,或許有些權責會在中央目的事業主管機關的角色下來做,剛剛我是說未來要處理另外一個議題,就是所謂的管轄權要如何把它擴大,包含要指定你落地…… |
| 53 |
邱委員議瑩:對。 |
| 54 |
李主任世德:確實現在是沒有規定指定落地,只是這種比較明確的機制,在下一階段當然最好像詐防條例,可以指定落地…… |
| 55 |
邱委員議瑩:所以這個會變成你們下一階段很重要的議題,是不是這樣? |
| 56 |
李主任世德:對,就是指定你業者落地,這樣才有對話的機制。但是現行假如中央目的事業主管機關,在它自己所能夠掌握的這些所謂的跨境平臺業者,當然我們還是期許中央目的事業主管機關針對現有這樣的議題能夠注意一點。 |
| 57 |
邱委員議瑩:因為時間已經到了,我不耽誤大家時間,但我還是要建議一下,這個部分應該列為你們下一個階段很重要個資保護的重點。 |
| 58 |
李主任世德:沒錯。 |
| 59 |
邱委員議瑩:這個是要特別提醒的地方,謝謝。 |
| 60 |
李主任世德:感謝委員。 |
| 61 |
主席:謝謝邱議瑩委員。 |
| 62 |
下一位請陳亭妃委員發言。 |