個資法強力監管時代來臨

文：葉奇鑫/孔德澔律師（達文西個資暨高科技法律事務所律師）

今年1月31日，共享汽機車平臺iRent爆發40萬筆個人資料外洩事件，交通部公路總局雖然立即依個人資料保護法（以下簡稱個資法）處以最高罰鍰新臺幣20萬元，但也讓個資外洩之法定罰鍰上限過低的議題浮上水面；此外，111年8月宣判的憲法法庭第13號判決（健保資料庫案）也揭示我國必須在3年內完成個資保護獨立監督機制，以強化個資法制。臺灣個資法長久以來監管強度不足的問題，終於來到了關鍵的轉折點。

其實自從個資法於99年大幅修法以來，臺灣企業、消費者、人權團體對於個資議題的關注程度已有顯著增加，無論是行政機關或司法機關，對於國民個人資料自主權都更加重視，筆者在參與許多個資法案件（包含上述兩案件）的過程中，一直感受到社會對個資法加強監管之殷切期待。

果不其然，立法院於今年5月16日三讀通過個資法修正案，此次個資法修正可能對企業造成極大影響，以下將說明本次修法重點，並提出幾點建議讓企業可以及早因應此次個資法修正。

壹、本次修法重點

本次修法有兩項重點，其一為個資法主管機關的更動，個資法目前的主管機關是國發會，未來則將由直屬行政院之獨立機關「個人資料保護委員會」擔任主管機關，並預計於今年10月成立籌備處。個資保護委員會成立後，將主導個資法第二次大修法，如果修法是以歐盟GDPR為標竿，則未來的個資法將較現行個資法嚴峻許多，這也意味企業於個資與資安相關成本將大幅上升。

另外，這次修法對企業最直接且立即的影響是裁罰方式及額度之修正。依據修正前個資法第48條規定，企業在違反個資法第27條安全維護義務時，主管機關必須先命企業限期改正，在限期未改正時，才能處以最高新臺幣20萬元罰鍰。

而在修正後，如企業違反個資法第27條安全維護義務，主管機關得直接處以新臺幣2萬元以上200萬元以下罰鍰，並要求限期改正，如果企業未在期限內改善，主管機關得按次處以新臺幣15萬元以上1500萬元以下罰鍰；甚至在企業違法情節重大時，主管機關得直接處以新臺幣15萬元以上1500萬元以下罰鍰。

以上條文在今年6月2日已生效，企業如果現在發生大規模個資外洩事件，且平時未落實個資法所規定之安全維護義務，即有可能收到鉅額罰單，不可不慎。

貳、給企業立即可執行之建議

一、立即訂定個資安全維護計畫

依據個資法第27條第2項及第3項規定，主管機關得指定非公務機關訂定「個人資料檔案安全維護計畫」或業務終止後個人資料處理方法（以下簡稱安維計畫）。換言之，企業在符合特定條件時，即應訂定安維計畫（企業可於國發會網頁查詢其行業別是否需要訂定，網址：https://pipa.ndc.gov.tw/News.aspx?n=39982462BE4D486C&sms=8D016F8982417771），如果未依規定訂立安維計畫，即使未有個資外洩事故發生，亦有可能受到上開新修法之處罰。

雖然不是所有企業均須訂定安維計畫，例如農藥販賣業需保有消費者個人資料超過1000筆、網際網路零售業則需登記資本額為新臺幣1000萬元以上才須訂定。但筆者仍建議：企業不分規模，只要保有相當數量之消費者個資，最好都能訂定安維計畫，完整且清楚的安維計畫有助於企業進行個人資料之保護與管理，從而降低個資外洩而被鉅額裁罰之風險。

二、確實執行個資盤點

為了確保企業在經營上合於個資法規定，便需要釐清涉及個人資料的業務流程及企業持有的個人資料檔案之範圍，因此企業必須進行「個資盤點」，也就是個資法施行細則第12條第2項第2款及第3款規定的「界定個人資料之範圍」。

在進行個資盤點時，通常會先歸納並整理企業所持有的所有個人資料檔案，例如留存的消費者資料、會員資料等；然後對留存的個人資料檔案進行合法性評估，確認企業在蒐集、處理及利用這些個人資料檔案時均符合個資法規定；最後根據盤點結果建立企業的個人資料清冊，並定期盤點更新。

建立完善的個資盤點機制除了協助企業對涉及個人資料的業務流程有更清楚認識外，對於客戶主張其個資法上的權利時（例如請求企業更正、停止處理或刪除其個人資料），企業可以更正確且迅速的回應其請求，免於構成違法蒐集、處理及利用個人資料之情形。

三、個資委外業務之監督

依據個資法第4條規定，如果企業委託他人蒐集、處理或利用個人資料，則該他人會視為委託者本身，換句話說，受委託者如果違反個資法規定，企業即需承擔違法的責任。

因此企業如有委託他人蒐集、處理或利用個人資料（例如委託問券調查公司於街頭蒐集民眾個人資料、將客戶個人資料委託予顧問公司進行營運策略分析、資訊系統外包等），須特別注意受委託者之個資及資安管理能力，筆者尤其建議企業在簽訂委託契約時，應明文要求受委託者定期執行內部個資及資安查核，且委託者有權對其進行個資稽核，以確保受委託者在執行業務時不會有違反個資法的風險，當然，契約中也可一併要求受委託者應賠償其因違反個資法時對企業造成的損害

四、提供員工適當教育訓練

筆者在過去協助企業或政府部門執行個資盤點、稽核的經驗中發現，就算企業內部個資管理制度建立的再完善，也有可能因為第一線員工對個資法的錯誤理解而導致企業違反個資法，因此企業更應該對員工進行認知宣導與教育訓練，例如提供相關課程或聘請專業人員進行演講等，輔導員工以符合個資法規定的方式執行業務。

參、結論

個資法最近不僅修法大幅提高罰鍰額度上限，個資保護委員會亦成立在即，個資法之強力監管已是無法避免之趨勢，建議企業及早準備，以最高標準落實個資法遵，降低因個資外洩事故而遭行政檢查及鉅額裁罰之風險。