在前一篇文章中,探討了新版「個人資料保護法」第12條所建立的「通知當事人」與「通報主管機關」雙重義務。其中,「通知當事人」是為了保障受害者的知情權,原則上只要發生事故且影響當事人權益,即應通知。
然而,「通報主管機關」是否也需要「每案必報」?這對企業的行政負擔與監管風險影響甚鉅。依據最新預告的「個人資料事故通知通報及應變辦法」草案(下稱草案),主管機關劃定了三道明確的「強制通報門檻」。本篇將為您解析這些門檻的具體內容,以及企業應具備的應變標準作業程序(SOP)。
1. 強制通報門檻:三者中一,即須通報
依據草案第3條第1項規定,只要個資事故符合下列任一情形,企業即必須在知悉後72小時內向主管機關(個資會)通報:
- 涉有本法第6條第1項規定之個人資料(特種個資):若事故涉及病歷、醫療、基因、性生活、健康檢查及犯罪前科等高度敏感資料,無論筆數多寡,均須通報。對於醫療院所、生技公司或保險業者而言,這意味著幾乎所有的資安事故都必須通報。
- 所涉之資通系統保有個人資料筆數達1萬筆以上:此條款關注的是「系統規模」。即便該次事故只洩漏了少數幾筆資料,但如果發生事故的資通系統本身是保有大量個資(1萬筆以上)的資料庫,代表該系統的脆弱性可能引發系統性風險,因此仍須通報。
- 所影響之個人資料筆數達100筆以上:這是對一般B2C企業影響最大的條款。100筆是一個極低的門檻,換言之,只要是電商平台、會員制網站或服務業,一旦發生外洩或遭勒索軟體加密,受影響人數極易超過100人。此門檻打破過去企業認為「重大事故才需通報」的迷思,相當於將通報義務常態化。
企業應特別留意「筆數」的計算方式。依據草案說明,筆數計算採「單日所保有每一自然人之每一蒐集特定目的」加總計算。換言之,若同一客戶的資料被用於多個不同目的,可能會被重複計算,企業在評估是否達標時宜採保守認定。
2. 應變措施:除了通報,還要做什麼?
通報不僅是填寫表格,主管機關更看重企業當下採取了哪些「止血」作為。草案第4條明列了企業應採取的即時有效應變措施,這些也將是通報內容的必填項目:
- 阻斷與封鎖:檢查洩漏途徑(如漏洞修補),並採取隔離(如切斷網路連線)或封鎖措施。
- 權限檢視:檢查存取權限,立即阻止異常的存取路徑(如重設遭駭帳號密碼)。
- 資料追回:若是誤寄檔案,應嘗試收回;或要求收受的第三人刪除、銷毀資料。
- 網路遺忘:若資料已被公開在網路上,應請求搜尋引擎業者刪除庫存頁面,或採取消除公開狀態的措施。
企業在事故發生當下,必須同步進行上述處置並留存紀錄(如Log檔、往來郵件),以作為日後面對行政調查時,證明已盡力防止損害擴大的證據。
3. 罰則風險:未通報的代價
若企業心存僥倖,認為「只要不通報就不會被發現」,在新法架構下將面臨極高風險。
依據2025年修正的「個人資料保護法」第48條第2項規定,若違反通報義務(包含內容、方式、時限不符規定),主管機關可處新臺幣2萬元以上20萬元以下罰鍰,並令限期改正;屆期未改正者,得按次處罰。
雖然20萬元的罰鍰看似不高,但未通報往往伴隨著「未採行適當安全維護措施」的違規事實。一旦被主管機關主動查獲,除了因未通報受罰外,針對安全維護疏失的部分,最高可處以新臺幣1,500萬元的重罰。通報雖然會讓主管機關介入,但主動通報並配合調查,在行政裁量上往往是有利於減輕責任的因素。
4. 建議:建立分級通報機制
面對「100筆」的低門檻與「72小時」的時限,本所建議企業應建立內部的「事故分級表」。例如,將事故分為「紅燈(涉及特種個資或>100人)」與「黃燈(一般個資且<100人)」。一旦資安團隊確認事故等級為紅燈,法務部門應立即介入準備通報文件,以確保在黃金時間內完成合規要求。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於通報門檻判定、應變SOP制定或模擬演練有任何需求,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供精準的法律分析與解決方案。
※特別提醒:本文所提及之相關子法草案(如安全維護辦法、事故通報辦法等)均為個人資料保護委員會籌備處於 2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
