但是我覺得他們是過渡,也就是在訂個別產業的時候,還是會跟他一起的,也就是一起制定的辦法,因為還是要尊重目的事業主管機關。
行政法人當然我們可以透過行政委託的理論,把一些公權力交給它執行,但我覺得還是不建議,我覺得人民對行政法人的信賴心跟對公務機關的信賴心還是不一樣。
再來,行政法人感覺上都還帶有一點不能講營利,因為本來就不是營利的機關,但會有一種,也就是預算還是要想辦法自己滿足。
對,如果超過一半預算是國家來的話,就必須要去立法院報告,我記得行政法人法有這樣的規定,因為我們事務所之前有參與那個規劃,後來被廢掉的那個,我現在想不起名字。
原本的技服不是要轉成行政法人,後來被……
立法院都已經掛牌,還被廢止。
像那個也是有這樣的問題,當時幫他們設計的時候,也有考慮到錢從哪裡來,行政機關就會有一個收入要從哪裡來的問題,所以我覺得單純一點。
第二個問題是資料在地化,我們剛剛有提到,我先講這兩種的差別,原來RFP上寫的是這一種,比方臺灣某個連鎖的旅館是世界性的,在臺灣有分公司(A)蒐集了臺灣人旅客(B)的個資,傳給其母公司(C),這個是一種。
還有一種是,直接第三人就在境外蒐集,例如Google、FB儲存臺灣人的個資,這個是這一種狀態,所以這兩種不太一樣,我們個資法上講的跨境傳輸是屬於上面這種,而下面這一種狀態,我們講的其實就是資料要不要在地儲存的這一件事。
我們先談跨境傳輸,我們先講邏輯上會有這幾種可能,一個是都准,一律都准,這個是最寬鬆的,但目前沒有一個國家是這樣做的,這個是邏輯上會有這樣的可能性。
理論上有一種可能性是報備制,也就是報備就會對外傳輸,但我們也找不到有國家有採這個制度,雖然邏輯上沒有什麼不可以。
再來,這一種是比較多的,但是跟臺灣不一樣,你只要資料要出境,你就要經過獨立機關的同意,大部分的國家是採這一種。
如果你沒有經過同意,像剛剛舉的例子,在澳門就開罰,你在澳門的子公司蒐集,然後傳給在美國的母公司,你沒有經過許可開罰,但其實你有申請也都會核准末。
臺灣現在是採取這一種,原則上都可以,但我政府可以下行政命令禁止你某個行業不可以再傳輸,這個事情臺灣發生過,也就是東傳會,那一次的事件是這樣,也就是臺灣的電信業者跑到廈門去設客服中心,他們就可以查詢臺灣人的電信個資,後來被踢爆以後,NCC就立刻禁止,目前也是唯一一個禁止行政命令。
這個是臺灣的情形,也不是沒有別的國家跟我們一樣,像紐西蘭也是這樣的情形。
還有一種,他也沒有特別提,反正要傳到國外去,就跟A機關、C機關,反正不管兩個是同一個國家或者是不同國家都要一樣,我要傳到國外去跟在臺灣傳給另外一個公司都一樣,要件都一樣,比如要經過當事人的同意,要告訴當事人等等,也就是沒有特別區分跨境不跨境,反正跨境也當不跨境來處理,就是要遵守。
對。他們現在是這樣子,我們先講新的GDPR,因為舊的他們明年就要失效了。
以GDPR來講的話,明年不是針對加拿大,但加拿大企業只要蒐集歐盟的個資若違反GDPR,這個效果會非常嚴重的,他們現在罰到2%或4%的營業額,那個是不得了的。
如果以Google來講,那個數字是不得了,所以他們就會變成像這一種跨國的網路公司,他們一定會想辦法完全合規,在GDPR裡面的跨境傳輸,一定會做到合規。
再來,其實剛才主任剛剛有點到一個議題,像Google一樣,這個也有可能。比方臺灣某個網路公司,這個是他的會員資料,放到Amazon的雲端去,那其實就在國外,也會牽涉到這一個問題,現在都不違法,但如果我們要改採許可制的話,那用所有Amazon雲端的AWS全部都要經過許可,這個沒有獨立機關是不可能做得到的。
這個要很多人力來審核。
現在沒有。
還好啦!金管會都還沒有管Google(笑)。
再來,我先講暫訂,我們覺得世界各國是往許可同意、例外允許會比較多,我說「暫時」是因為我自還沒有我自己心中百分之百的論述,去認為我們一定要這樣子改,或者是維持現狀就好了。
如果有獨立的機關,我先做一個假設,如果這個獨立機關假設編制五十個人,也許做這一件事的人力是夠的,大概是這樣。
要,三十個人是初期的規模,五十至七十個人是中長期的規模,因為他們還要出去做行政檢查,還要開罰、函釋及同意,所以可能就要這麼多人。
是。
再來這個是變形的,我們這個題目討論的是在地儲存的這一件事。
臺灣現在正在推數位通訊傳播法,好像送到立法院,我知道有報院了。
簡單來講不能以不合營業常規的方式來規避,也就是要把整個通訊傳播的過程、設施而繞過去,這個設施包含了儲存設備,所以這個反向的解釋會認為這個其實是資料在地化,而且在立法理由中就是這麼寫的。
他這樣做的理由中其實也有講,比方我跟Google起了爭議,證據都在國外,就是我跟國外的網路公司,不要講Google,這樣對我不利、對我消費者是不利的,我應該跟你有任何的紛爭、爭訟都應該要將證據保存在臺灣管轄的,像法院跟他調資料才要得到。
立法理由中是有這樣寫,其實這個東西雖然沒有明文寫「資料要在地儲存」,但其實應該就是。
對,所以如果像臉書我們就認為不合營業常規。Google不管怎麼講,在這邊有投資就算了,明年就符合了。像LINE一樣,LINE你現在跟他要任何的資料,他都說在日本,比方某人在散布一個什麼誹謗的訊息,連警察去調,現在也都不給。
我認為還是……對,所以這個很難,這個我們……
法律人叫做「不確定的法律概念」(笑)。
比方像Netflix其實在臺灣設個CDN,就租個CDN而已。
像CDN算不算?
所以至少在臺灣要……這個本來就有做了?
但是這邊有一個問題,這邊沒有直接寫,但這邊有一個問題,像NCC都說不是這一個的主管機關,他很強調,因為我也問過主委,她是說這個是他們很大的原則。
好像沒有。所以……我覺得會很有問題。
對,因為我自己也是林之晨那個協會的理事,我是政策委員會的,所以這一整個法案,我們也都花了很多時間在看,因為我們會員會有意見,但這條我們會員反而沒有什麼意見,因為即使連Yahoo早就在地化了,因為臺灣的Yahoo的伺服器根本都在臺灣。
對。
所以這一條業者是沒有太大的意見,業者比較有意見的反而是另外那一條,就是notice and take down。
對。這個是中國,中國規定要在境內。
中國的網路事業其實是沒有開放的,不管再大的公司,外國人只能拿到49%,而且中國很霸道,所以也沒有人敢違反這個。
都不能翻牆就對了?
基本上對中國來講,其實所有境內的網路事業都是國內事業,所以對他們來講,也沒有什麼太大的問題。
但是這個就有趣了,其實中國的規定會和TPP相反,TPP規定是不可以這樣規定的,好像我們現在也有在積極爭取這個。
好。那這個部分我們接下來就是下階段研究,能不能公布,還沒有完全地成熟,包含資料在地化的規範,我們會再看俄羅斯現在規定的東西,還有一些比較細部的部分,大概是這樣。
這個其實我們就寫了很多。
