一、前言
依據The Data Governance Institute的定義,資料治理是一個資訊相關流程的決策權利與問責系統,依據事先約定的模式執行,該約定模式描述何人得對哪些資訊在何時、何種情況、透過何種方法、採取何種行動。」(”Data Governance is a system of decision rights and accountabilities for information-related processes, executed according to agreed-upon models which describe who can take what actions with what information, and when, under what circumstances, using what methods.”)[1]。若依前開定義,由企業層級的資料治理放大至國家層級的資料治理,除了與決策權利與問責相關的政府組織架構及權責設計之外,關鍵應在於「事先約定的模式(agree-upon models)」應如何形成,以及有哪些約定應該要事先約定(原則、政策、流程、操作規範等 ),此即牽涉到法律規範的設計。
國家通訊傳播委員會於111年6月底提出《網路中介服務法草案》[2],此一草案由資料治理的角度觀察,性質上屬於國家針對網路服務業者因經營所掌握之各種「資料」(包括:註冊資料、使用網路服務的資料、網路上流通的資訊及業者對這些資料的利用,諸如廣告或其他利用等),透過國家通訊傳播委員會進行法律規範的設計。然而,此一草案在為期60天徵求公眾意見的期間即將屆滿前,因業者及輿論反對聲浪過高而喊停。這樣的立法歷程無疑是一個有關國家層級資料治理「事先約定的模式」形成過程的極佳案例,適足以突顯國家通訊傳播委員會作為草案的起草機關,沒有採取適當的作為促成該法案的「共識(agree-upon)」,亦值得吾人觀察在暫停推動立法之後,國家通訊傳播委員會與新成立的數位發展部針對《網路中介服務法草案》如何再一次形成台灣社會可接受的「事先約定的模式」,作為國家資料治理的一環。
二、國家資料治理與《網路中介服務法草案》
由國家資料治理的角度來觀察,《網路中介服務法草案》是國家針對網路服務提供者對於透過其服務所蒐集、流通之資料,課予一定的作為義務,包括要求建立自律機制、保留及提供網路使用者資料、對於網路服務所得接取或儲存之資料依據行政機關或法院的要求採取一定作為,以及從消費者保護的角度,禁止網路服務提供者不當利用其所擁有大量個人資料、提供相關透明度報告等,甚至將近年台灣飽受「假訊息」困擾的議題,也企圖透過《網路中介服務法草案》所建立的機制處理。事實上,就是國家面對資料經濟的「現況」,已經意識到必須要採取一定的機制進行「資料治理」,確實有其必要性。然而,為何會引起社會輿論的反彈呢?筆者嘗試由「資料治理」的角度提出幾個可能的問題點供參。
(一) 何種量級的企業資料,需要納入法律規範?
這是在思考國家資料治理策略的第一步。《網路中介服務法草案》雖對於網路中介服務者採分級管理,但針對網路中介服務者普遍性的規範,僅擬排除微型企業(受雇人5人以下),幾乎將台灣所有大大小小的網路服務提供者皆含括在內,但歐盟則擬排除微小企業(依歐盟對中小企業的定義,小型企業指受雇人 50 人以下、年營業額 1000 萬歐元以下);而負有特別義務的指定線上平臺服務提供者,則預定以台灣地區人口總數1/10(230萬)[3]會員作為其門檻。然而,歐盟《數位服務法》所提出之1/10門檻是以歐盟總人口數為基準,約當4500萬人,230萬的使用者與4500萬的使用者在企業經營與資料管理上完全是不同量級。國家通訊傳播委員會作為負責起草之行政機關,對於透過法律介入企業資料的管理,忽略考量企業資料量級的議題,自然難以推動。
以個人資料保護的立法歷程來觀察,1995年通過的《電腦處理個人資料保護法》僅適用於以電腦處理大量個人資料的政府機關及特定企業[4],並非全面普及適用,甚至可以說絕大多數的中小企業及個人均不受該法規範,遲至2010年的《個人資料保護法》(2012年施行),才成為保護密度更強、一般性保護個人資料的法律。這樣的立法模式其實是值得政府機關在思考對於以法律介入企業資料管理時參考。
[1] 請參https://datagovernance.com/the-data-governance-basics/definitions-of-data-governance/, 2022/5/1 visited.
[2] 網路中介服務法草案總說明、條文全文及說明,可於下述網址取得:https://www.ncc.gov.tw/chinese/files/22062/5532_220629_1.pdf
[3] 草案第32條規定,「Ⅰ線上平臺服務提供者於中華民國領域內之有效使用者數量達二百三十萬人者,主管機關得公告為指定線上平臺服務提供者。Ⅱ主管機關應定期檢討前項指定線上平臺服務提供者之公告。Ⅲ第一項有效使用者之定義及其數量之計算標準、考量因素及前項檢視之程序及其他相關事項之辦法,由主管機關定之。」
[4] 依舊《電腦處理個人資料保護法》之定義,「公務機關:指依法行使公權力之中央或地方機關。」「七、非公務機關:指前款以外之左列事業、團體或個人:(一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。(二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。(三)其他經法務部會同中央目的事業主管機關指定之事業、團或個人。」僅公務機關與非公務機關須遵守《電腦處理個人資料保護法》之規範,非屬前開定義之「非公務機關」,無須遵守。
