April 2026
台湾个人资料保护委员会筹备处预告个人资料保护法施行细则等修正草案
配合个人资料保护法于114年11月11日修正公布(下称「个资法修正条文」),个人资料保护委员会筹备处(下称「个资会筹备处」)于115年1月起,预告修正「个人资料保护法施行细则」部分条文,另依据个资法修正条文之授权,密集预告一系列配套子法草案,包含「个人资料事故通知通报及应变办法」、「个人资料档案安全维护管理办法」、「个人资料保护长及相关人员执掌职能条件及训练办法」、「个人资料保护政策推进会议运作办法」、「检查非公务机关落实个人资料保护法情形作业办法」、「公务机关个人资料保护管理事项实施情形稽核办法」等,以利我国个资监管体系逐步由分散式迈向一元化监理,并针对公务机关及非公务机关建立共通性遵循准则。
本文谨先就涉及一般非公务机关之重要条文摘要说明草案重点如后:
一、「个人资料保护法施行细则」修正条文
本次修正,个资法施行细则除配合个资法修正条文删除个人资料档案安全维护、个人资料外泄通知等规定移列个别子法外,为回应宪法法庭111年宪判字第13号判决意旨,针对个资法第6条第1项但书第4款、第19条第1项第4款及第20条第1项但书第5款为统计或学术研究事由下要求「无从识别特定之当事人」之要件,修正草案第17条亦修正其定义,明定前揭条文所称「无从识别特定当事人」,系指运用当时存在技术方法,使该个资依其呈现方式至少已达到「无从直接识别」特定自然人之程度,但仍属可能间接识别特定当事人之情形。
二、「个人资料档案安全维护管理办法」草案
个资法修正条文第20条之1规定非公务机关保有个人资料档案者,应办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏,并授权个资会订定人资料档案安全维护办法,建立一体适用于所有非公务机关之标准。本次公告之草案采用分级管理机制,除共通性安全维护措施外,并明定具一定经济规模之大型企业且保有一万笔以上个资档案者为「大型非公务机关」,应另遵守更高强度之安全维护措施,包括订定个人资料档案安全维护计画,并指定专责人员、执行小组及查核人员办理,并定期执行风险识别、个资事故演练、教育训练、稽核、纪录保存及整体持续改善机制等(草案第3条第1款、第16条至第26条)。
三、「个人资料事故通知通报及应变办法」草案
依个资法修正条文第12条规定,非公务机关知悉个资事故时,负有通知当事人及通报主管机关之义务。个资会筹备处爰根据同条之授权订定「个人资料事故通知通报及应变办法」,本次公告草案要点包括:
I. 通知当事人义务与时限:非公务机关应于知悉个资事故起72小时内以适当方式通知当事人,但于特定情形,得斟酌技术之可行性及当事人隐私之保护,以网际网路、新闻媒体或其他适当公开方式为之,并应至少连续公开30日(草案第2条)。
II. 通报主管机关义务与时限;若个资事故涉及特种个资、所涉资通系统保有个资达一万笔以上或受影响之个资达100笔以上者,非公务机关应于知悉个资事故起72小时内依指定方式通报主管机关(草案第3条)。
III. 应变措施:非公务机关知悉个资事故后应采取即时有效之应变措施,包括检查泄漏途径及存取权限、回收或要求删除资料、请求搜寻引擎移除个资等防止个资事故扩大之措施(草案第4条)。此外,草案亦要求落实个资事故调查之纪录保存(草案第6条)与委外监督(草案第5条)。
四、「个人资料保护法第五十一条之一第一项所称由中央目的事业主管机关或直辖市、县(市)政府管辖之非公务机关列表」草案
依个资法修正条文第51条之1第1项规定,于个资会成立之日起六年过渡期间内,非公务机关之行政检查及裁处等监督管理事项仍由中央目的事业主管机关或直辖市、县(市)政府负责。本次草案已公告388类非公务机关之中央目的事业主管机关,未纳入此列表之非公务机关,则一律由个资会监管。
五、「检查非公务机关落实个人资料保护法情形作业办法」草案
依个资法修正条文第22条第1项规定,主管机关认非公务机关有违反个资法之虞或有检视其落实而有必要时,得进行行政检查。本草案规范个资会对非公务机关执行行政检查之程序与准则。依此作业办法,个资会应订定年度检查规划,依事故风险之高低及影响程度择定检查对象,并应于检查之一个月前书面通知受检单位(草案第2条、第3条、第6条)。检查权限包含扣留或复制个资档案、率同专业人员共同检查、请求相关机关(构)协助、裁处及公布检查结果等监督管理措施(草案第8条)。
另外,于六年主管机关移转之过渡期间内,中央目的事业主管机关或直辖市、县(市)政府执行行政检查时,亦准用草案之规划与评估方式(草案第7条)。
本文谨先就涉及一般非公务机关之重要条文摘要说明草案重点如后:
一、「个人资料保护法施行细则」修正条文
本次修正,个资法施行细则除配合个资法修正条文删除个人资料档案安全维护、个人资料外泄通知等规定移列个别子法外,为回应宪法法庭111年宪判字第13号判决意旨,针对个资法第6条第1项但书第4款、第19条第1项第4款及第20条第1项但书第5款为统计或学术研究事由下要求「无从识别特定之当事人」之要件,修正草案第17条亦修正其定义,明定前揭条文所称「无从识别特定当事人」,系指运用当时存在技术方法,使该个资依其呈现方式至少已达到「无从直接识别」特定自然人之程度,但仍属可能间接识别特定当事人之情形。
二、「个人资料档案安全维护管理办法」草案
个资法修正条文第20条之1规定非公务机关保有个人资料档案者,应办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏,并授权个资会订定人资料档案安全维护办法,建立一体适用于所有非公务机关之标准。本次公告之草案采用分级管理机制,除共通性安全维护措施外,并明定具一定经济规模之大型企业且保有一万笔以上个资档案者为「大型非公务机关」,应另遵守更高强度之安全维护措施,包括订定个人资料档案安全维护计画,并指定专责人员、执行小组及查核人员办理,并定期执行风险识别、个资事故演练、教育训练、稽核、纪录保存及整体持续改善机制等(草案第3条第1款、第16条至第26条)。
三、「个人资料事故通知通报及应变办法」草案
依个资法修正条文第12条规定,非公务机关知悉个资事故时,负有通知当事人及通报主管机关之义务。个资会筹备处爰根据同条之授权订定「个人资料事故通知通报及应变办法」,本次公告草案要点包括:
I. 通知当事人义务与时限:非公务机关应于知悉个资事故起72小时内以适当方式通知当事人,但于特定情形,得斟酌技术之可行性及当事人隐私之保护,以网际网路、新闻媒体或其他适当公开方式为之,并应至少连续公开30日(草案第2条)。
II. 通报主管机关义务与时限;若个资事故涉及特种个资、所涉资通系统保有个资达一万笔以上或受影响之个资达100笔以上者,非公务机关应于知悉个资事故起72小时内依指定方式通报主管机关(草案第3条)。
III. 应变措施:非公务机关知悉个资事故后应采取即时有效之应变措施,包括检查泄漏途径及存取权限、回收或要求删除资料、请求搜寻引擎移除个资等防止个资事故扩大之措施(草案第4条)。此外,草案亦要求落实个资事故调查之纪录保存(草案第6条)与委外监督(草案第5条)。
四、「个人资料保护法第五十一条之一第一项所称由中央目的事业主管机关或直辖市、县(市)政府管辖之非公务机关列表」草案
依个资法修正条文第51条之1第1项规定,于个资会成立之日起六年过渡期间内,非公务机关之行政检查及裁处等监督管理事项仍由中央目的事业主管机关或直辖市、县(市)政府负责。本次草案已公告388类非公务机关之中央目的事业主管机关,未纳入此列表之非公务机关,则一律由个资会监管。
五、「检查非公务机关落实个人资料保护法情形作业办法」草案
依个资法修正条文第22条第1项规定,主管机关认非公务机关有违反个资法之虞或有检视其落实而有必要时,得进行行政检查。本草案规范个资会对非公务机关执行行政检查之程序与准则。依此作业办法,个资会应订定年度检查规划,依事故风险之高低及影响程度择定检查对象,并应于检查之一个月前书面通知受检单位(草案第2条、第3条、第6条)。检查权限包含扣留或复制个资档案、率同专业人员共同检查、请求相关机关(构)协助、裁处及公布检查结果等监督管理措施(草案第8条)。
另外,于六年主管机关移转之过渡期间内,中央目的事业主管机关或直辖市、县(市)政府执行行政检查时,亦准用草案之规划与评估方式(草案第7条)。
