April 2026
臺灣個人資料保護委員會籌備處預告個人資料保護法施行細則等修正草案
配合個人資料保護法於114年11月11日修正公布(下稱「個資法修正條文」),個人資料保護委員會籌備處(下稱「個資會籌備處」)於115年1月起,預告修正「個人資料保護法施行細則」部分條文,另依據個資法修正條文之授權,密集預告一系列配套子法草案,包含「個人資料事故通知通報及應變辦法」、「個人資料檔案安全維護管理辦法」、「個人資料保護長及相關人員執掌職能條件及訓練辦法」、「個人資料保護政策推進會議運作辦法」、「檢查非公務機關落實個人資料保護法情形作業辦法」、「公務機關個人資料保護管理事項實施情形稽核辦法」等,以利我國個資監管體系逐步由分散式邁向一元化監理,並針對公務機關及非公務機關建立共通性遵循準則。
本文謹先就涉及一般非公務機關之重要條文摘要說明草案重點如後:
一、「個人資料保護法施行細則」修正條文
本次修正,個資法施行細則除配合個資法修正條文刪除個人資料檔案安全維護、個人資料外洩通知等規定移列個別子法外,為回應憲法法庭111年憲判字第13號判決意旨,針對個資法第6條第1項但書第4款、第19條第1項第4款及第20條第1項但書第5款為統計或學術研究事由下要求「無從識別特定之當事人」之要件,修正草案第17條亦修正其定義,明定前揭條文所稱「無從識別特定當事人」,係指運用當時存在技術方法,使該個資依其呈現方式至少已達到「無從直接識別」特定自然人之程度,但仍屬可能間接識別特定當事人之情形。
二、「個人資料檔案安全維護管理辦法」草案
個資法修正條文第20條之1規定非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並授權個資會訂定人資料檔案安全維護辦法,建立一體適用於所有非公務機關之標準。本次公告之草案採用分級管理機制,除共通性安全維護措施外,並明定具一定經濟規模之大型企業且保有一萬筆以上個資檔案者為「大型非公務機關」,應另遵守更高強度之安全維護措施,包括訂定個人資料檔案安全維護計畫,並指定專責人員、執行小組及查核人員辦理,並定期執行風險識別、個資事故演練、教育訓練、稽核、紀錄保存及整體持續改善機制等(草案第3條第1款、第16條至第26條)。
三、「個人資料事故通知通報及應變辦法」草案
依個資法修正條文第12條規定,非公務機關知悉個資事故時,負有通知當事人及通報主管機關之義務。個資會籌備處爰根據同條之授權訂定「個人資料事故通知通報及應變辦法」,本次公告草案要點包括:
I. 通知當事人義務與時限:非公務機關應於知悉個資事故起72小時內以適當方式通知當事人,但於特定情形,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之,並應至少連續公開30日(草案第2條)。
II. 通報主管機關義務與時限;若個資事故涉及特種個資、所涉資通系統保有個資達一萬筆以上或受影響之個資達100筆以上者,非公務機關應於知悉個資事故起72小時內依指定方式通報主管機關(草案第3條)。
III. 應變措施:非公務機關知悉個資事故後應採取即時有效之應變措施,包括檢查洩漏途徑及存取權限、回收或要求刪除資料、請求搜尋引擎移除個資等防止個資事故擴大之措施(草案第4條)。此外,草案亦要求落實個資事故調查之紀錄保存(草案第6條)與委外監督(草案第5條)。
四、「個人資料保護法第五十一條之一第一項所稱由中央目的事業主管機關或直轄市、縣(市)政府管轄之非公務機關列表」草案
依個資法修正條文第51條之1第1項規定,於個資會成立之日起六年過渡期間內,非公務機關之行政檢查及裁處等監督管理事項仍由中央目的事業主管機關或直轄市、縣(市)政府負責。本次草案已公告388類非公務機關之中央目的事業主管機關,未納入此列表之非公務機關,則一律由個資會監管。
五、「檢查非公務機關落實個人資料保護法情形作業辦法」草案
依個資法修正條文第22條第1項規定,主管機關認非公務機關有違反個資法之虞或有檢視其落實而有必要時,得進行行政檢查。本草案規範個資會對非公務機關執行行政檢查之程序與準則。依此作業辦法,個資會應訂定年度檢查規劃,依事故風險之高低及影響程度擇定檢查對象,並應於檢查之一個月前書面通知受檢單位(草案第2條、第3條、第6條)。檢查權限包含扣留或複製個資檔案、率同專業人員共同檢查、請求相關機關(構)協助、裁處及公布檢查結果等監督管理措施(草案第8條)。
另外,於六年主管機關移轉之過渡期間內,中央目的事業主管機關或直轄市、縣(市)政府執行行政檢查時,亦準用草案之規劃與評估方式(草案第7條)。
本文謹先就涉及一般非公務機關之重要條文摘要說明草案重點如後:
一、「個人資料保護法施行細則」修正條文
本次修正,個資法施行細則除配合個資法修正條文刪除個人資料檔案安全維護、個人資料外洩通知等規定移列個別子法外,為回應憲法法庭111年憲判字第13號判決意旨,針對個資法第6條第1項但書第4款、第19條第1項第4款及第20條第1項但書第5款為統計或學術研究事由下要求「無從識別特定之當事人」之要件,修正草案第17條亦修正其定義,明定前揭條文所稱「無從識別特定當事人」,係指運用當時存在技術方法,使該個資依其呈現方式至少已達到「無從直接識別」特定自然人之程度,但仍屬可能間接識別特定當事人之情形。
二、「個人資料檔案安全維護管理辦法」草案
個資法修正條文第20條之1規定非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並授權個資會訂定人資料檔案安全維護辦法,建立一體適用於所有非公務機關之標準。本次公告之草案採用分級管理機制,除共通性安全維護措施外,並明定具一定經濟規模之大型企業且保有一萬筆以上個資檔案者為「大型非公務機關」,應另遵守更高強度之安全維護措施,包括訂定個人資料檔案安全維護計畫,並指定專責人員、執行小組及查核人員辦理,並定期執行風險識別、個資事故演練、教育訓練、稽核、紀錄保存及整體持續改善機制等(草案第3條第1款、第16條至第26條)。
三、「個人資料事故通知通報及應變辦法」草案
依個資法修正條文第12條規定,非公務機關知悉個資事故時,負有通知當事人及通報主管機關之義務。個資會籌備處爰根據同條之授權訂定「個人資料事故通知通報及應變辦法」,本次公告草案要點包括:
I. 通知當事人義務與時限:非公務機關應於知悉個資事故起72小時內以適當方式通知當事人,但於特定情形,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之,並應至少連續公開30日(草案第2條)。
II. 通報主管機關義務與時限;若個資事故涉及特種個資、所涉資通系統保有個資達一萬筆以上或受影響之個資達100筆以上者,非公務機關應於知悉個資事故起72小時內依指定方式通報主管機關(草案第3條)。
III. 應變措施:非公務機關知悉個資事故後應採取即時有效之應變措施,包括檢查洩漏途徑及存取權限、回收或要求刪除資料、請求搜尋引擎移除個資等防止個資事故擴大之措施(草案第4條)。此外,草案亦要求落實個資事故調查之紀錄保存(草案第6條)與委外監督(草案第5條)。
四、「個人資料保護法第五十一條之一第一項所稱由中央目的事業主管機關或直轄市、縣(市)政府管轄之非公務機關列表」草案
依個資法修正條文第51條之1第1項規定,於個資會成立之日起六年過渡期間內,非公務機關之行政檢查及裁處等監督管理事項仍由中央目的事業主管機關或直轄市、縣(市)政府負責。本次草案已公告388類非公務機關之中央目的事業主管機關,未納入此列表之非公務機關,則一律由個資會監管。
五、「檢查非公務機關落實個人資料保護法情形作業辦法」草案
依個資法修正條文第22條第1項規定,主管機關認非公務機關有違反個資法之虞或有檢視其落實而有必要時,得進行行政檢查。本草案規範個資會對非公務機關執行行政檢查之程序與準則。依此作業辦法,個資會應訂定年度檢查規劃,依事故風險之高低及影響程度擇定檢查對象,並應於檢查之一個月前書面通知受檢單位(草案第2條、第3條、第6條)。檢查權限包含扣留或複製個資檔案、率同專業人員共同檢查、請求相關機關(構)協助、裁處及公布檢查結果等監督管理措施(草案第8條)。
另外,於六年主管機關移轉之過渡期間內,中央目的事業主管機關或直轄市、縣(市)政府執行行政檢查時,亦準用草案之規劃與評估方式(草案第7條)。
