过去当企业发生资安事件时,法务部门最常见的防御策略是主张:“依据旧法第12条,必须是‘违反本法规定’致个资被侵害才需通知。我们目前还在内部调查是否违法,或正在确认黑客攻击与我们是否违法有无因果关系。”这种以“厘清法律责任”为由,将“有无过失”作为是否启动通知程序的挡箭牌,在2025年新法修正后将彻底失效。
新版“个人资料保护法”第12条做出了关键变革:删除了“违反本法规定”之前提要件。这意味着,通知义务的触发不再取决于企业“有无过失”或“是否违法”,而是取决于个资事故“是否发生”的客观事实。这一修正将被动的通知转变为强制性的双重义务,并引入了国际标准的“72小时通报机制”。本篇将为您解析这场与时间赛跑的合规挑战。
1. 事故定义大扩张:不只“外泄”才算事
首先,企业必须重新建立对事故通报的认知。新法第12条第1项明定,只要所保有的个人资料发生“被窃取、窜改、毁损、灭失或泄漏”,即构成应通报之个资事故。
这项修正的重点在于“责任与事实的脱钩”:
- 客观发生即触发: 过去企业常以“我是被黑客攻击的受害者,我本身并无违反个资法”为由拒绝通报。但未来新法上路后,只要事故发生,即便企业自认已尽善尽美并无违反安维办法,仍须在第一时间启动通报程序。
- 勒索软件无所遁形: 常见的勒索软件(Ransomware)攻击,导致资料被加密锁死(灭失)或被更动(窜改),过去企业可能主张这不是“外泄”且非企业违法所致而不通报。但在新法架构下,这类侵害资料可用性与完整性的事件,均属于必须通报的客观事故。
因此,企业法务与资安长必须重新检视內部的个资事故回应流程,将“法律归责性”的判断从通报决策中移除,改以“客观事实”作为唯一启动标准。
2. 双重义务:对当事人“通知”,对主管机关“通报”
新法将事故后的责任明确区分为两条平行的义务线,两者的目的与对象截然不同:
- 通知当事人:依据新法第12条第1项,知悉事故后应以适当方式通知当事人(如客户、员工)。其目的是让当事人能有所警觉(例如:尽速变更密码、挂失信用卡),以自主维护权益。
- 通报主管机关:依据新法第12条第2项及“个人资料事故通知通报及应变办法”草案第3条,符合特定门槛时,必须向主管机关(个资会)通报。这是为了让监管机关掌握事态,并视情况介入调查或提供协助。
3. 黄金72小时:分秒必争的压力测试
最让企业感到压力的,莫过于时间限制。依据“个人资料事故通知通报及应变办法”草案第2条与第3条规定,不论是通知当事人或通报主管机关,其时限均为“知悉时起72小时内”。
这72小时并非仅是工作时间,而是包含假日。在这短短三天内,企业必须完成初步调查、确认影响范围、启动应变措施,并填写包含发生原因、损害状况、应变措施等8大项目的通报表单。
如果企业真的来不及怎么办?草案允许在有“正当事由”的情况下(例如天灾、技术上无法立即查明),先向主管机关叙明理由,并在事由消灭后的72小时内补行通知或通报。但企业仍须在第一时间做出反应,不能无故拖延。
4. 找不到人怎么办?“公开公告”的例外条款
若企业发生大规模个资事故,要逐一通知数十万名会员可能有困难,或者联络资讯本身就已遗失。草案第2条提供了例外弹性:当有“联络方式无法辨识”、“需费过钜影响营运”等情形时,企业可以透过网际网路(如官网公告)、新闻媒体等公开方式进行通知,且需连续公开至少30日。
这种方式虽然减轻了行政作业负担,但公开公告往往会引发更大的媒体关注与公关危机,企业在选择通知方式时,必须审慎权衡法律合规与商誉风险。
5. 建议:现在就该演练
72小时稍纵即逝,本所强烈建议企业不要等到事故发生才开始翻法条。现在就应该建立一套“个资事故紧急应变标准作业程序(SOP)”,并建立通报模板。当资安监控发出警报的那一刻,法务、资安与公关部门必须能立即同步运作,才能在黄金时间内完成合规要求,将损害降到最低。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于建立紧急应变SOP、撰写通报范本或进行模拟演练有任何需求,欢迎随时联系本事务所,我们将由专业律师团队为您提供量身打造的解决方案。
※特别提醒:本文所提及之相关子法草案(如安全维护办法、事故通报办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
