總統於2025年11月11日公布個人資料保護法部分修正條文。本次修正主要針對個人資料保護委員會(「個資委員會」)的成立及職權進行相應調整,並強化公私部門的個資管理與監督機制,施行日期尚待行政院訂定。茲摘要重點如下:
一、 主管機關:本法之主管機關為個資委員會。(第1條之1)
二、 個資事故通報義務:公務機關或非公務機關若知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏,應通知當事人;若符合一定通報範圍,亦應向個資委員會通報。此外,應採取即時有效之應變措施,以防止事故擴大,並保存相關紀錄以供查驗。(第12條)
三、 公務機關
(一) 設置保護長:公務機關應置個人資料保護長,由機關首長指派人員兼任,並配置適當人力與資源;不得因所屬人員依法執行個人資料保護職務而對其為不利處分或管理措施。(第18條)
(二) 行政監督:
(1) 公務機關每年須提出個人資料保護管理的實施情形,並督導及稽核所屬或監督機關的個資管理狀況。有缺失者應提出改善報告,由稽核機關審查後連同稽核結果送交個資委員會;必要時,並得要求其進行說明或調整。(第21條之1)
(2) 個資委員會得定期或不定期稽核公務機關個人資料保護管理的實施情形。有缺失者應提出改善報告,經負責審查之機關審查後,送交個資委員會;必要時,並得要求其進行說明或調整。(第21條之2)
(3) 公務機關有違反本法之虞者,個資委員會得請其提出資料說明、進行實地調查、命限期改正,並得公布違法機關及其違法情形。(第21條之3至第21條之4)
四、 非公務機關
(一) 安全維護事項:非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(第20條之1)
(二) 行政檢查:個資委員會認非公務機關可能違反本法或有必要檢視其落實情形時,得依規定進行檢查,包含通知其或相關人員陳述意見、提供必要文件、資料、物品或配合措施,或自行或會同相關機關進入場所檢查,並得要求提供必要之說明、協助或證明資料。(第22條)
(三) 罰則:非公務機關未依規定實施應變措施及保存紀錄者,得處新臺幣二萬元以上二十萬元以下罰鍰,並令限期改正,屆期未改正者得按次處罰;未依規定通報個資事故,得先限期改正,屆期未改正者,得按次處罰。未依規定辦理安全維護事項者,得處新臺幣二萬元以上二百萬元以下罰鍰,並令限期改正,屆期未改正者亦得按次處罰。(第48條)
(四) 過渡條款:個資委員會成立後六年內,由委員會報請行政院公告一定範圍的非公務機關仍由中央目的事業主管機關或地方政府監管;委員會並應每二年會商相關機關,報請行政院調整減列其範圍。(第51條之1)
五、救濟:對個資委員會依本法所為的行政處分不服者,直接適用行政訴訟程序。過渡期間內,仍受中央目的事業主管機關或地方政府管轄的非公務機關,對其依本法所為之行政處分不服,則應先提起訴願。(第53條之1)
羅祖芳律師 / 吳姿穎
