洩個資僅罰20萬太輕 立委擬修法嚴懲:業者根本不痛不癢
〔記者陳政宇/台北報導〕公私部門接連發生重大個資外洩案,「個人資料保護法」最高僅可罰新台幣20萬元,行政院將研擬修法提高罰則。對此,民進黨立委洪申翰評估,大型資料庫要做好資安維護、個資保護的成本,至少上看百萬元,現行罰則過輕,對業者而言根本不痛不癢;另,舉證責任和訴訟門檻太高,也完全沒辦法保障民眾。
現行「個資法」明定,違法蒐集、處理、利用或變造個資,造成他人損害,處2年以下有期徒刑、拘役或科或併科20萬元以下罰金;若意圖營利,處5年以下有期徒刑,得併科100萬元以下罰金。若公務員藉職務權力、機會或方法而犯法,加重其刑至二分之一。
除了研擬中的政院版草案,洪申翰預告,將邀集專家學者討論提出「個資法」修法版本。他受訪表示,現行20萬元罰金上限過低,是一個「很瞎」的數字,應該以一個企業保護個資或資安的所需成本作為參考,大型資料庫可能要花上百萬元,罰金的上限是否也要差不多水準?否則業者與其花大錢完備資安,倒不如繳納不痛不癢的罰金;另,現在數位服務應用廣泛,個資外洩動輒數十萬、數百萬筆,非常可觀,應該重新檢討罰金上限。
公部門方面,洪申翰認為,政府的資安問題或個資外洩,其原因究竟是疏失、被害、有意轉賣、還是敵對勢力滲透?需要盤點整個保護體系,包含「零信任」機制的具體做法,各部門應如實編列資安預算,而非僅要求資訊人員上課。
「不能再讓不守規定的政府部門與業者罰款後,就被輕輕放過」,洪申翰援引歐盟「一般資料保護規則」(GDPR)說明,有關行政裁罰的部分,若違反有關控管者及處理者的附隨義務、驗證機構之義務或監管機構之義務,最高是處以1000萬歐元行政罰鍰,如果是企業違反,罰鍰最高達前一會計年度全球年營業額的2%。
洪申翰續指,若違反個人資料處理基本原則、未確保資料主體之權利、非法將個資跨境傳輸,則是最高是處以2000萬歐元行政罰鍰,如果是企業違反,罰鍰最高達前一會計年度全球年營業額的4%。
留言 39