在前一篇文章中,我們介紹了所有企業都必須遵守的「個資保護基本功」。然而,依據最新預告的「個人資料檔案安全維護管理辦法」草案(下稱草案),如果企業被歸類為「大型非公務機關」,那麼其法遵義務將會顯著升級,面臨更嚴格的組織管理與技術規範。本篇將協助企業判斷自己是否屬於此類對象,以及隨之而來的加重責任。
1. 誰是「大型非公務機關」?兩大門檻檢視
依據草案第3條定義,必須「同時」符合以下兩個條件,才屬於大型非公務機關:
- 非屬中小企業:即規模超過「中小企業認定標準」的企業(即指實收資本額在新臺幣1億元以上,或經常僱用員工數滿200人以上者)。
- 保有個人資料筆數達1萬筆以上:只要不是中小企業,且持有的個資超過1萬筆,就會升級為「大型非公務機關」。
1萬筆如何計算?草案第4條規定,筆數計算方式為「單日所保有每一自然人之每一蒐集特定目的」加總計算。依據草案立法說明,所謂「單日」係指機關盤點當日;而筆數之計算,並非單純以「自然人人數」為準,而是依個人資料蒐集之不同目的而個別累加計算。換言之,即使針對同一位當事人,若企業基於不同的特定目的分別建檔管理,在計算筆數時將被重複累加。對於擁有龐大會員資料庫、供應商名單或多重業務線的中大型企業來說,1萬筆的門檻極易達成。
2. 加重義務一:組織架構的強制要求
一旦成為大型非公務機關,僅依靠法務或資訊部門兼辦個資業務恐已不足以符合法規要求。草案第17條要求必須建立專屬的組織架構:
- 指定專責人員:必須指定專人負責個資保護事項。
- 設置執行小組:不能只是單兵作戰,要成立跨部門的「個人資料保護管理執行小組」,負責政策研議與執行。
- 職務分離原則:草案明確規定,負責執行的「管理專責人員」與負責稽核的「查核人員」不得兼任。要求企業必須在內部建立職權分離機制,確保稽核的獨立性與客觀性。
3. 加重義務二:書面化的「安全維護計畫」
一般企業只需建立管理機制,但大型非公務機關依據草案第16條,必須訂定正式的「個人資料檔案安全維護計畫」,涵蓋風險評估、事故應變、認知宣導等項目,且該計畫的訂定或修正,必須經由企業代表人(如董事長、總經理)或其指派人員核定。
這份計畫並非一次性文件。草案第19條與第26條要求,企業必須每年定期進行風險評估,並根據評估結果檢討修正計畫。
此部分正是法規要求落實PDCA(Plan-Do-Check-Act)循環的核心精神。許多企業的個資計畫往往流於形式,導致發生事故時才發現計畫根本無法執行。請務必落實定期檢查與修正,別讓貴公司的PDCA變成了Plan(計畫)、Delay(延宕)、Cancel(取消)、Apology(道歉)。
4. 加重義務三:更嚴格的資安技術指標
針對資通系統,草案第23條為大型非公務機關設定了更高的技術標準:
- 系統上線前檢測:如果企業的資通系統有提供對外服務(如官網、APP),在系統上線前必須完成源碼檢測、弱點掃描及滲透測試,且修補完漏洞後才能上線。系統上線後,仍需持續辦理相關檢測。
- 資料隱碼與加密:涉及個資顯示時應有隱碼機制(如身分證字號部分遮蔽),傳輸時必須加密。
- 防止入侵:必須建立防止外部網路入侵的對策(如防火牆、網站應用程式防火牆WAF)。
5. 建議:從現在開始盤點
如果企業規模不屬於中小企業,請務必立即進行「個資筆數盤點」。
- 若接近或超過1萬筆:請即刻著手規劃「安全維護計畫」,並檢視現有人力配置,是否能滿足「專責人員」與「查核人員」職務分離的要求。
- 若未達1萬筆:雖暫時豁免上述加重義務,但依據草案第4條,若日後因業務擴張導致筆數達標,企業只有6個月的緩衝期來完成所有合規導入。
對於大型企業而言,個資保護已不再是單純的法遵議題,而是公司治理(ESG)的重要指標。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於組織架構調整、安全維護計畫撰寫或資安檢測合規性有任何疑問,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供精準的法律分析與解決方案。
※特別提醒:本文所提及之相關子法草案(如安全維護辦法等)均為個人資料保護委員會籌備處於2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
