去年8月「民間公投」,政府無視終院判辭,翻箱倒籠找法律指控活動「違法」,好為警方拉人封艇提供「理據」。當日個資辦一再聲稱,民間公投管理委員會是「非法收集個人資料」、收集「不具正當性」,6名負責人和義工被控加重違令罪。一年後,個資辦又用今日的我打倒昨日的我,改用歐盟條文指控管委會用外地的電腦伺服器,涉嫌非法「轉移資料」。
管委會負責人周庭希今日召開記者會,反駁個資辦的指控是荒謬、斷章取義,除了政府部門和大型商業機構,大部分中小企、社團使用的網站伺服器都在外地。他強調,管委會當日已聲明,參與民間公投市民的個人資料會做足加密措施,無其他人能夠獲得資料,即使雲端服務供應商也一樣。根據個資辦引用的歐盟條文,必須是「故意轉移」及「允許接收者接觸資料」才算是非法轉移個人資料。顯然「民間公投」並沒有涉及上述行為。
「鑑於報名者的個人資料除交由雲端服務供應商作技術處理外,未見被投訴人將資料轉交予其他機構或人士,又或資料遭到外洩之情況,故在沒有進一步確實證據下,本辦公室將本案暫作歸檔」。
一年前,個資辦無視民間質疑,堅稱市民你情我願提供資料參與「民間公投」不妥,指控主辦方「非法收集個人資料」。但現在又對合法性作出新的解釋:
個資辦來函有以下陳述:「一般來說,貴團體是在投票人明確同意的情況下收集其個人資料,符合 《個人資料保護法》第6條的規定。… 按現有資料,不能否定年滿 16 歲者其所作的同意。」
周庭希又指,個資辦在聽證書面答辯程序中有意拖延,大玩「依法辦事」,到答辯期限前一天才提供辯方所需的補充資料,損害答辯方的權益,對此表示非常遺憾。一旦行政違法成立,民間公投委員會可能被罰款最多八萬元。
個資辦回覆事件查詢時就指:
1. 個資辦在處理任何個案卷宗時,均會按每項要件進行分析,當中包括分析是否具處理資料的正當性問題。個資辦向該團體發出書面聽證公函,其中提及如團體是在當事人明確同意的情況下收集其個人資料,則“符合《個人資料保護法》第6條的規定”。必須指出,按當時資料顯示,如屬資料當事人主動提供個人資料的情況,則未見有人在被脅迫情況下提供個人資料,故此書面聽證公函所指有關情況“符合《個人資料保護法》第6條規定”,僅表示符合《個人資料保護法》第6條個人資料處理的正當性條件,並不能因此推論相關活動所收集及處理的個人資料完全符合《個人資料保護法》規定。
2. 有關公函之標的為依法通知行為人就違反《個人資料保護法》而可被個資辦科處罰款一事,按《行政程序法典》相關規定就有關涉嫌違法行為以書面方式表明意見,並非個資辦之最終決定。由於上述個案的調查程序仍在進行中,現正處於聽證階段,故個資辦不宜作進一步評論。
3. 個資辦會一如既往,依法辦事,負起監察、協調《個人資料保護法》的遵守和執行工作。