個資法新制懶人包|事故通報辦法草案出爐:72 小時通報時限與企業應對全解析

2026-02-08 / 個資保護 / 個人資料事故通知通報及應變辦法, 個人資料保護法, 個資外洩, 個資法, 通報主管機關, 通知當事人

內容目錄
一、 通知當事人
二、 通報主管機關
三、 受託者通知義務與法律推定
四、 採取即時有效之應變措施
五、紀錄保存義務
(一) 應記錄事項
(二) 保存年限
六、罰則
七、結論

在個資法第 12 條修法後,確立了「知悉即通知/通報」的原則,個人資料保護委員會籌備處(下稱個資籌備處)則於近日預告了關鍵子法草案:個人資料事故通知通報及應變辦法(下稱事故辦法草案),具體規範了「通知當事人」與「通報主管機關」的執行要點。

對於企業而言,這部個資法子法草案的核心在於事故發生應對義務的調整,建議應與目前所實施的體制進行比對,對於落差之處予以調整,以避免遭受處罰。

【重要說明】 本文係針對個資籌備處於 2026 年 1 月 22 日預告之草案內容進行研析。草案目前正處於公眾意見徵詢階段,正式施行之條文內容、生效日期及適用細節,仍可能有所調整。如果對於草案有建議希望表達,可以參照前述的連結。後續也歡迎持續關注本所更新,或諮詢專業律師以獲得個案建議。

fireman looking at fire

一、 通知當事人

依據事故辦法草案第 2 條,企業於「知悉個資事故事實」(即被竊取、竄改、毀損、滅失或洩漏)起算 72 小時內,應個別通知當事人。

不過如果在特定例外狀況下,例如無聯絡方式、資料已適當加密,或個別通知成本過高時,得改以網際網路或新聞媒體等連續公告 30 日的方式替代。

二、 通報主管機關

依據事故辦法草案第 3 條,如果是「符合通報範圍」的事故,企業需要在「知悉事故事實」的 72 小時內通報。其中通報範圍的三項標準分別為:

  1. 特種個資:事故涉有病歷、基因、犯罪前科等。
  2. 系統規模:發生事故之資通系統保有個資達 1 萬筆以上。
  3. 個資規模:事故影響個資筆數達 100 筆以上。

三、 受託者通知義務與法律推定

值得留意的是,如果有將個資委外,受託者(委外廠商)於知悉個資事故時,「視為」委託機關知悉。因此,企業應檢視相關合約,確保受託者具備即時回報之能力,避免因委外廠商遲延通報而導致企業違反 72 小時的法定時限。

四、 採取即時有效之應變措施

依據事故辦法草案第 4 條規定,企業於知悉個資事故後,除履行通知與通報義務外,應立即採取「即時有效」之應變措施,以防止損害擴大。草案具體列舉了以下五大應變方向:

  1. 阻斷與隔離:檢查洩漏途徑並採取隔離或封鎖措施(例如切斷網路連線)。
  2. 權限控管:檢查存取權限,阻止異常存取路徑(例如強制重設密碼或停用遭駭帳號)。
  3. 誤送處置:若為誤送檔案,應「回收」誤送之個人資料,或要求第三人「刪除、銷毀」該資料。
  4. 移除公開內容:若資料已遭公開,應請求「搜尋引擎業者」刪除已公開之個資,或採取消除該等資料公開狀態之措施(例如要求 Google 移除搜尋結果)。
  5. 其他有效措施:針對駭客攻擊手法日新月異,企業可採取其他任何能即時有效防止事故擴大之措施。

【重要提醒:彈性擇定原則】
草案第 4 條第 2 項明定,企業在辦理上述應變措施時,並非僵化地全部執行,而是應「綜合考量」事故發生原因、受影響人數、個資類別、筆數及潛在風險等因素,擇定最適切的手段。建議企業應在事故當下留存「評估紀錄」,證明所選措施是經過合理判斷的結果。

五、紀錄保存義務

為了證明企業於事故發生後已善盡採行適當安全措施之義務,事故辦法草案第 6 條明確要求企業在知悉個資事故後,必須以書面或電子方式製作完整紀錄。

(一) 應記錄事項

紀錄內容應包含以下八大重點,以還原事故全貌與處置過程:

  1. 時間與來源:事故發生的時間、地點,以及企業知悉的時間與來源。
  2. 損害範圍:事故發生原因、受影響當事人人數、個資類別及筆數。
  3. 通知執行情形:依規定通知當事人之紀錄。
  4. 通報執行情形:依規定通報主管機關之紀錄。
  5. 應變措施:已採取的損害控制措施及後續因應作為。
  6. 事故影響:該事故對當事人或企業所造成的影響評估。
  7. 調查歷程:調查方式、過程、結果及相關佐證資料(如 Log 檔、鑑識報告)。
  8. 改正歷程:若經主管機關令限期改正,其改正措施之處置歷程。

(二) 保存年限

相關紀錄應於「知悉個資事故之翌日」起,至少保存 5 年。若其他法規有較長之保存規定者,則依其規定辦理。透過資料的完整保存,能夠確保未來若發生訴訟或行政調查時,企業具備完整的舉證能力。

六、罰則

企業若未依規定履行通知或通報義務,將面臨行政裁罰風險。

依個資法第 48 條第 2 項:個資外洩未依規定通報主管機關、採取應變措施以及保存紀錄等(違反第 12 條第 2-4 項),主管機關可處新臺幣 2 萬元以上 20 萬元以下罰鍰,並可令其限期改正,屆期未改正則按次處罰。

七、結論

本次事故辦法草案將個資事故的應對程序由法律原則轉化為具體的執行標準,尤其是「72 小時」的黃金通報時間與「委外視同視為知悉」的規定,將大幅壓縮企業內部的決策反應時間。

建議企業應儘速盤點現行個資事故應變計畫,並重點檢視以下三點:

  1. 建立自動化或快速判斷機制:確保一線人員能依據草案標準(如 100 筆、1 萬筆、特種個資)迅速分級通報。
  2. 修訂委外合約:將受託者的即時通報義務與違約責任具體化,避免因廠商延遲而導致企業違法。
  3. 落實演練:定期進行模擬演練,確保應變小組熟悉通報流程與主管機關窗口。

面對日益嚴格的監管環境,合規已非僅是法務部門的責任,而是企業風險管理的核心。若對於新法草案的適用有任何疑義,或需調整內部規章與合約範本,建議諮詢專業法律顧問,以確保企業營運安全無虞。

本文內容僅供參考,不構成正式法律意見或律師與客戶之委任關係。法律分析可能隨法規修正或司法實務見解變更而異,個案具體適用情形請諮詢專業律師。

若針對本議題有進一步諮詢需求,歡迎聯繫我們。

聯絡資訊

Related Posts