離開
進入公私機關超過百筆個資外洩事故 72小時內須通報
2026/02/01 08:48 記者鍾麗華/台北報導
個資保護委員會籌備處近日預告配套4項子法草案,其中明定公務機關或非公務機關,若發生特種個資、超過100筆以上等個資外洩事故,須於72小時內通報主管機關。(路透檔案照)
「個人資料保護法」去年10月三讀修正,個資保護委員會籌備處近日預告配套4項子法草案,其中明定公務機關或非公務機關,若發生特種個資、超過100筆以上等個資外洩事故,除須於72小時內通報主管機關,同時原則上也應在相同時間內,個別通知當事人。
根據立法院會去年10月三讀修正條文,個資保護委員會籌備處近日預告個資保護法配套的4項子法草案,包括「個人資料事故通知通報及應變辦法」、「個人資料檔案安全維護管理辦法」、「個人資料保護長及相關人員職掌職能條件及訓練辦法」,以及修正「個人資料保護法施行細則」。
根據「個資事故通知通報及應變辦法」草案,明定公務機關或非公務機關(事故機關),若發生特種個資、超過100筆以上個資、資通系統保有個資筆數達1萬筆以上的個資外洩事故,必須在72小時內通報主管機關。而公務機關指依法行使公權力之中央或地方機關或行政法人;非公務機關則是指公務機關以外的自然人、法人或其他團體。
草案規定,事故機關知悉所保有的個資被竊取、竄改、毀損、滅失或洩漏時,也應於知悉時起的72小時內,以適當方式個別通知當事人。草案也要求事故機關在知悉個資事故後,應以書面或電子方式製作相關紀錄,且至少保存5年,若其他法規要求保存期限較長,則從其規定。
此外,「個人資料保護長及相關人員職掌職能條件及訓練辦法」草案明定,公務機關個資長由機關首長指派副首長、幕僚長,或是一級主管以上人員擔任。考量實施初期各公務機關對於專業人力及執行經驗恐有不足,也要求個資長在任職後1年內須完成或取得訓練或證照、證書相關規定。
在「個人資料檔案安全維護管理辦法」草案部分,重點是「分級規範、風險導向」,要求公務機關與大型非公務機關都一定要有安全維護計畫、類似公務機關的專人與查核人員執行小組、個資檔案盤點、對保有的個資檔案進行風險評估、個資事件通報演練等。
