過去當企業發生資安事件時,最常見的防禦策略是主張:「依據個資法第12條,必須是『違反本法規定』致個資被侵害才需通知。我們目前還在內部調查是否違法,或正在確認駭客攻擊與我們是否違法有無因果關係。」但是,這種以「釐清法律責任」為由的拖延戰術,在2025年新法修正後將徹底失效。
新版「個人資料保護法」第12條刪除了「違反本法規定」之前提要件。換言之,通知義務的觸發不再取決於企業「有無過失」或「是否違法」,而是取決於個資事故「是否發生」的客觀事實。這一修正將被動的通知轉變為強制性的雙重義務,並引入了國際標準的「72小時通報機制」。本篇將為您解析這場與時間賽跑的合規挑戰。
1. 回歸客觀事實:「有無違法」不再是通報前提
首先,企業必須重新認識什麼叫做「個資事故」。新法第12條第1項明確定義,只要所保有的個人資料發生「被竊取、竄改、毀損、滅失或洩漏」,即構成個資事故。
這項修正的重點在於「責任與事實的脫鉤」:
- 客觀發生即觸發:過去企業常以「我是被駭客攻擊的受害者,我本身並無違反個資法」為由拒絕通報。但未來新法上路後,只要事故發生,即便企業自認已盡善盡美並無違反安維辦法,仍須在第一時間啟動通報程序。
- 勒索病毒無所遁形:常見的勒索軟體(Ransomware)攻擊,導致資料被加密鎖死(滅失)或被更動(竄改),過去企業可能主張這不是「外洩」且非企業違法所致而不通報。但在新法架構下,這類侵害資料可用性與完整性的事件,均屬於必須通報的客觀事故。
因此,企業法務與資安長必須重新檢視內部的個資事故回應流程,將「法律歸責性」的判斷從通報決策中移除,改以「客觀事實」作為唯一啟動標準。
2. 雙重義務:對當事人「通知」,對主管機關「通報」
新法將事故後的責任明確區分為兩條平行的義務線,兩者的目的與對象截然不同:
- 通知當事人:依據新法第12條第1項,知悉事故後應以適當方式通知當事人(如客戶、員工)。其目的是讓當事人能有所警覺(例如:儘速變更密碼、掛失信用卡),以自主維護權益。
- 通報主管機關:依據新法第12條第2項及「個人資料事故通知通報及應變辦法」草案第3條,符合特定門檻時,必須向主管機關(個資會)通報。這是為了讓監管機關掌握事態,並視情況介入調查或提供協助。
3. 黃金72小時:分秒必爭的壓力測試
最讓企業感到壓力的,莫過於時間限制。依據「個人資料事故通知通報及應變辦法」草案第2條與第3條規定,不論是通知當事人或通報主管機關,其時限均為「知悉時起72小時內」。
這72小時並非僅是工作時間,而是包含假日。在這短短三天內,企業必須完成初步調查、確認影響範圍、啟動應變措施,並填寫包含發生原因、損害狀況、應變措施等8大項目的通報表單。
如果企業真的來不及怎麼辦?草案允許在有「正當事由」的情況下(例如天災、技術上無法立即查明),先向主管機關敘明理由,並在事由消滅後的72小時內補行通知或通報。但企業仍須在第一時間做出反應,不能無故拖延。
4. 找不到人怎麼辦?「公開公告」的例外條款
若企業發生大規模個資事故,要逐一通知數十萬名會員可能有困難,或者聯絡資訊本身就已遺失。草案第2條提供了例外彈性:當有「聯絡方式無法辨識」、「需費過鉅影響營運」等情形時,企業可以透過網際網路(如官網公告)、新聞媒體等公開方式進行通知,且需連續公開至少30日。
這種方式雖然減輕了行政作業負擔,但公開公告往往會引發更大的媒體關注與公關危機,企業在選擇通知方式時,必須審慎權衡法律合規與商譽風險。
5. 建議:現在就該演練
72小時稍縱即逝,本所強烈建議企業不要等到事故發生才開始翻法條。現在就應該建立一套「個資事故緊急應變標準作業程序(SOP)」,並建立通報模板。當資安監控發出警報的那一刻,法務、資安與公關部門必須能立即同步運作,才能在黃金時間內完成合規要求,將損害降到最低。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於建立緊急應變SOP、撰寫通報範本或進行模擬演練有任何需求,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供量身打造的解決方案。
※特別提醒:本文所提及之相關子法草案(如安全維護辦法、事故通報辦法等)均為個人資料保護委員會籌備處於2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
