監察委員賴鼎銘及及高涌誠指出,由普羅大眾日常上網都會遭遇的各種Cookies政策,包括預設使用者同意被蒐集、不同意就不給用,或是極不友善的的要求使用者自行設定等樣態,實為國內資訊隱私權法制環境落後之縮影。相較於歐盟及加州分別訂有「電子隱私指令」(EPD)及「加州消費者隱私權法案」(CCPA),我國個資法對此卻沒有明文規定,亦無主管機關,而個人資料保護委員會籌備處及目的事業主管機關對權責劃分亦無共識,形成無法規管的困境。
兩位監委解釋,以網站Cookies為例,單筆Cookies或許不足以構成個資法所謂「可直接或間接識別個人」,但以現今資料規模之大及技術之先進,剖繪目標族群或個人實屬輕而易舉,對資訊隱私權構成重大風險。監委也強調,依據甫於行政院會通過之「個人資料保護委員會組織法」草案第一條雖然明訂:「行政院為落實資訊隱私權保障,特設個人資料保護委員會」,但實際上卻欠缺適當的作用法來實現此一目標,無異於任憑國人網路行為資料受平台及資料業者宰制,行政院實應本於跨部會協調職責積極督同相關機關建構治理環境。
監察委員賴鼎銘及及高涌誠進一步指出,行政院基於歐盟為我第5大貿易夥伴及數位經濟發展考量,早在2018年第3601次院會即決議推動歐盟「一般資料保護規則(GDPR)」(2018年5月開始施行)適足性認定,但迄今已逾7年,連個資保護獨立機關都尚未成立;相較韓國僅花3年半即獲得歐盟適足性認定,益證行政院並未積極建構資訊隱私權治理環境,實應予以檢討。
