過去,臺灣《個人資料保護法》(個資法)的監管架構,是由各中央目的事業主管機關(如金管會、經濟部、數位發展部)各自監督其主管產業,這種模式雖能考量產業特性,但也長年面臨「多頭馬車」的質疑。
2022 年憲法法庭判決(111 年憲判字第 13 號判決)則正式指出,由個資法與其他相關法律整體觀察,臺灣「欠缺個人資料保護之獨立監督機制」,對人民資訊隱私權之保障不足,要求相關機關應於 3 年內建立相關法制。
為回應憲法法庭的要求,2025 年的修法透過成立獨立的「個人資料保護委員會」(個資會),將監管事權強力統一。
然而,舊問題的解決,也為企業帶來了新的挑戰。一個權責更集中、執法能量更強的專責機關,意味著企業過往的模糊空間將被大幅壓縮。從事故通報的時效、救濟程序的變更,到安全措施的具體要求,企業都必須以全新的標準重新檢視內部的合規策略。本文將聚焦此次修法對企業法遵 SOP 的具體影響。
一、 告別多頭馬車,迎來單一主管機關
首先,本次修法最大的變革,就是將過去分散在各部會的中央目的事業主管機關(例如金融業歸金管會、零售業歸經濟部等)和各地方政府的監管權力,統一收歸於新成立的獨立機關——「個人資料保護委員會」(下稱「個資會」)(新修正個資法第 1 條之 1)。
這對企業法遵意味著,過去那段監管權責分散、執法標準不一的時期正式結束。過去,不同部會對於《個資法》的執法力道、專業程度甚至法規見解不一,企業尚有模糊或依賴特定產業默契的空間。但未來,「個資會」作為專責的獨立機關,其執法標準將會統一、專業度將顯著提升,並且能獨立行使職權,不受其他行政機關干預。
為因應個資會之籌組尚需一段時日,新法設有最長 6 年的過渡期,期間內行政院仍可公告特定範圍之非公務機關暫由原機關管轄(新修正個資法第 51 條之 1)。但企業不應將此視為「合規空窗期」。反之,實務上原機關的執法力道可能為了與個資會看齊而「向上拉齊」。
為了應對修法後的變革,企業法遵部門的首要任務便是需要密切追蹤行政院與個資會的公告。必須即時確認自身所屬行業,是已移轉至「個資會」管轄,還是暫時續留「原機關」監管。
此外值得注意的是,由於個資會是獨立機關,未來若企業不服其所做的行政處分(例如罰鍰),將跳過「訴願」程序,直接進入行政訴訟(新修正個資法第 53 條之 1)。這代表企業將更早、更直接地面對司法程序的檢驗以及提出救濟。
二、 個資外洩 SOP 重建:「通知當事人」與「通報主管機關」並行
對於企業日常營運衝擊最大的,莫過於第 12 條的修正。此一修訂從根本上重組了企業的個資外洩應變流程(Incident Response Plan, IRP),一口氣重塑了「通知當事人」與「通報主管機關」這兩大核心義務。
首先,在「通知」方面,舊法對於個資外洩後的應變規定,僅限定於企業違反個資法法規定導致個資外洩,應查明後以適當方式通知當事人。企業通知當事人的責任是於「違反本法規定」且「查明後」才發生。這兩項前提,讓部分企業有了操作的空間,例如以「尚在查明中」為由,將通知當事人的時點恣意延後。
新法刪除了「違反本法規定」及「查明後」這兩大前提(新修正個資法第 12 條第 1 項)。未來,只要企業「知悉」所保有的個資被竊取、竄改、毀損、滅失或洩漏時,就「應」通知當事人。同時,企業須採取即時有效之應變措施防止事故之擴大,並詳實記載、保存事實經過和影響,以供主管機關備查。這代表拖延戰術的策略已經失效,企業必須建立一個能從基層迅速、準確上報至決策層的內部通報機制,否則可能導致延遲通知而違法。
其次,在「通報」方面,本次修法則更具結構性變革。在修法前,許多特定產業(如金融、電信)的「個人資料檔案安全維護計畫實施辦法」(即安維辦法)中,固然已規定了對其目的事業主管機關的通報義務,本次修法將此義務從各別的安維辦法提升至個資法的法律位階,這帶來了兩大根本性轉變:
- 義務普及化:使通報義務不再局限於特定受規範的產業,而是成為所有公務機關與非公務機關的普遍法遵義務。
- 通報對象統一:未來通報的對象將統一為「主管機關」(即個資會),結束了過去多頭馬車的局面。
為確保這兩項義務得以落實,新法在第 48 條也新增了配套罰則(新修正個資法第 48 條第 1 項第 3 款及第 2 項)。值得注意的是,相較於違反通知當事人義務,主管機關應先命其限期改正,而主管機關對於違反通報主管機關義務者則得直接處以罰鍰,毋庸給予改正機會。這顯示新法對於「即時應變」與「主動通報」的高度重視,未落實應變與通報已成為一個獨立且可能遭立即處罰的違規事項。
針對第 12 條的修正,企業必須立即全面檢視並修改內部的「個資外洩事件應變計畫(Incident Response Plan)」。 建議企業建立一個敏捷的分工處理機制:如果第一線人員(如 IT 或客服)「知悉」事故,就必須有明確的授權與 SOP,立即向上通報,並在極短時間內同時啟動對外(當事人、主管機關)與對內(損害控制)的行動。
另外,法遵部門必須密切追蹤即將出爐的子法規。新法第 12 條第 4 項已明確授權主管機關訂定「通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項」等辦法。這部辦法將是 SOP 的關鍵依據,企業的應變計畫必須完全對應其具體要求。 若違反上述任一通報或應變義務,便可能受罰。
三、 安維辦法「統一授權」,法遵標準或將更細緻
最後,是常被企業忽視、但未來風險極高的變革。原第 27 條有關企業應採行「適當」安全措施的規定,被移列至第 20 條之 1。並做出了關鍵的集中化,由主管機關個資會就其中具重要性之管理事項建立應遵循之原則,以確保其個人資料之保護達到一定之水準。過去因各部會標準各自為政、力道不一所形成的監管落差將被彌平。
實務上個資會可能仍會依據產業風險高低(如金融、醫療)訂定不同強度的安維標準,而非一套標準適用到底。不過既然所有的規範都將出自「個資會」這個單一主管機關,可以預期這將使法遵標準更為一致、細緻、可預測。
此外,這項變革將直接連結到行政檢查以及對應的高額罰鍰。未來,即使企業尚未發生個資外洩,只要個資會依第 22 條發動檢查,發現企業未符合第 20 條之 1 授權辦法所訂的「安全維護措施」,就可能面臨重罰。因此,法遵部門應主動檢視公司現行的安全維護措施(無論是組織面或技術面),與現行的安維辦法或未來「個資會」可能訂定的新辦法(無論是統一版本或產業別版本)之間是否存在落差(Gap Analysis),以確保合規。
四、 結論
總結而言,從個資會的成立、事故通報 SOP 的強制重組,到安全維護措施的標準化,2025 年的個資法修正案預示著臺灣的個資保護將進入一個執法強度與密度都顯著提升的新時代。
然而,許多關鍵的執法細節,特別是第 12 條第 4 項所授權的「通知/通報辦法」與第 20 條之 1 第 2 項的「安維辦法」,目前都尚未公布。這些子法規的內容將是決定企業法遵成本與 SOP 的真正關鍵,顯示臺灣的個資保護法制正方興未艾,我們將會持續追蹤後續立法動態與實務發展並即時更新。