洩個資僅罰20萬太輕 立委擬修法嚴懲：業者根本不痛不癢

〔記者陳政宇／台北報導〕公私部門接連發生重大個資外洩案，「個人資料保護法」最高僅可罰新台幣20萬元，行政院將研擬修法提高罰則。對此，民進黨立委洪申翰評估，大型資料庫要做好資安維護、個資保護的成本，至少上看百萬元，現行罰則過輕，對業者而言根本不痛不癢；另，舉證責任和訴訟門檻太高，也完全沒辦法保障民眾。

現行「個資法」明定，違法蒐集、處理、利用或變造個資，造成他人損害，處2年以下有期徒刑、拘役或科或併科20萬元以下罰金；若意圖營利，處5年以下有期徒刑，得併科100萬元以下罰金。若公務員藉職務權力、機會或方法而犯法，加重其刑至二分之一。

請繼續往下閱讀...

除了研擬中的政院版草案，洪申翰預告，將邀集專家學者討論提出「個資法」修法版本。他受訪表示，現行20萬元罰金上限過低，是一個「很瞎」的數字，應該以一個企業保護個資或資安的所需成本作為參考，大型資料庫可能要花上百萬元，罰金的上限是否也要差不多水準？否則業者與其花大錢完備資安，倒不如繳納不痛不癢的罰金；另，現在數位服務應用廣泛，個資外洩動輒數十萬、數百萬筆，非常可觀，應該重新檢討罰金上限。

公部門方面，洪申翰認為，政府的資安問題或個資外洩，其原因究竟是疏失、被害、有意轉賣、還是敵對勢力滲透？需要盤點整個保護體系，包含「零信任」機制的具體做法，各部門應如實編列資安預算，而非僅要求資訊人員上課。

「不能再讓不守規定的政府部門與業者罰款後，就被輕輕放過」，洪申翰援引歐盟「一般資料保護規則」（GDPR）說明，有關行政裁罰的部分，若違反有關控管者及處理者的附隨義務、驗證機構之義務或監管機構之義務，最高是處以1000萬歐元行政罰鍰，如果是企業違反，罰鍰最高達前一會計年度全球年營業額的2％。

洪申翰續指，若違反個人資料處理基本原則、未確保資料主體之權利、非法將個資跨境傳輸，則是最高是處以2000萬歐元行政罰鍰，如果是企業違反，罰鍰最高達前一會計年度全球年營業額的4％。