共享運具業者個資外洩罰太輕 北市擬修法最重可廢止營業許可

知名共享汽車公司外洩40萬筆用戶個資，但依《台北市共享運具營業管理自治條例》僅能裁罰9萬，為增加業者強化資安的動機，北市議員提案修正條例，如有業者因故意或過失，導致消費者個資外洩，情節重大，交通局得撤銷或廢止營運許可，北市議會法規會今審查通過此案，將送大會二、三讀。

該公司外洩40萬筆用戶個資被交通部認定情節重大，依違反《個人資料保護法》裁處最高罰鍰20萬元，北市交通局則依《台北市共享運具經營業管理自治條例》裁罰最高9萬元罰鍰，另外新北市及桃園市政府各開罰9萬元。

台北市議員苗博雅提案修正該條例，在交通局得撤銷或廢止營運許可的事由中，增列業者故意或過失，致消費者個資外洩，情節重大，台北市議會法規委員會今審查該案。

她解釋，中央及縣市政府依現行法規針對共享運具經營業者個資外洩，能開出的總罰鍰最高只到50萬，換言之，平均外洩1筆個資，僅須繳交1.1元罰鍰，難怪業者個資保護如此漫不經心，為保護台北市使用者，並強化業者做好資安的動機與誘因而提案。

苗博雅強調，營運許可是「得」，而非「應」撤銷或廢止，給予交通局裁量空間，且業者是過失或故意致個資外洩情節重大，才能成為廢止營運許可的原因，此次修正不至於苛刻業者。

北市交通局長謝銘鴻表示，在條例新增個資保護條文，交通局尊重、支持，但考量到個資法今年5月修正，將成立個資保護委員會並成為個資法主管機關，因此建議改由個資法主管機關認定情節重大。

苗博雅指出，個資保護委員會是負責規畫個資保護監督機制，職權不包括審查全國各式個資外洩案是否屬情節重大，照交通局建議修法，未來發生類似個資外洩案，很可能找不到機關認定。

議員秦慧珠則詢問，在中央成立個資保護委員會之前，發生個資外洩事件，由誰認定是否為重大個資外洩案？認定程序為何？法務局長連堂凱表示，主管機關為交通局；謝銘鴻補充，案件發生後，交通局會先收集事實資料，如有必要，會與專家、學者開會認定個資外洩是否為情節重大。

秦慧珠認為，可先照苗博雅提案內容修法，等中央真的成立個資保護委員會，再修改條文；議員洪健益也說，如果委員會成立之後，地方政府需要成立相關仲裁單位是未來的事，但他仍認為條文裡的「得」可以改成「應」。

經討論，台北市議會法規委員會決議通過苗博雅提案，將送大會二、三讀。