在过去短短三年间,台湾的“个人资料保护法”经历了两次重大修正,许多企业法务与经营者不禁要问:“为什么才刚修完又要修?”其实,这两次修法的目的截然不同,且层层递进。如果2023年的修法是为了因应诈骗风暴的“紧急止血”(透过重罚吓阻),那么2025年的修法就是为了回应宪法要求的“体质改造”(建构独立监管制度)。本篇将为您梳理这段关键的法律进化历程。
1. 第一阶段:2023年5月31日修正——“重罚”先行
回顾2023年的修法背景,主要是为了回应当时猖獗的诈骗案件与个资外泄频传的社会压力。当时的修法重点在于“提高罚责”与“预告主管机关变更”。
依据当时修正的第48条,非公务机关若未采行适当安全维护措施,且届期未改正或情节重大者,罚锾上限从原本的新台币20万元大幅提高至新台币1,500万元。这让企业首次感受到个资违规可能带来的财务重击,不再是缴交小额罚款就能了事的行政成本。此外,当时增订第1条之1,首次明定“个人资料保护委员会”为主管机关,为后续的独立监管铺路。
2. 第二阶段:2025年11月11日修正——“全面监管”到位
如果说第一阶段是为了“止血”,第二阶段则是为了“治本”。行政院于2025年3月27日提出草案,历经审议后于同年10月17日经立法院三读通过,并于11月11日正式公布。这次修法的核心动力来自于宪法法庭2022年宪判字第13号判决(健保资料库案),大法官明确指出旧法缺乏“独立监督机制”。
因此,2025年的修法重点在于“赋予个资会实质监管权能”与“完备公私部门监管机制”,主要变革如下:
- 确立独立机关权责与“过渡期间”设计(修正第1条之1、第51条之1): 新法确立个资会为独立监管机关。但考量个资会成立初期监管资源尚未齐备,立法者特别设计了“6年过渡机制”。目前没有明确主管机关的业者,由个资会直接监管。而已有明确主管机关者(如金融业),则暂时维持原状,并每2年检讨一次,逐步完成事权统一。
- 强化通报义务(修正第12条): 旧法仅要求在“查明”后通知当事人,新法将其修正为更严格的“通知当事人”与“通报主管机关”双重义务。只要“知悉”个资事故(包含被窃取、窜改、毁损、灭失或泄漏)发生,即应启动通报程序,不再容许企业以“还在内部调查”为由拖延。
- 增订行政检查权(修正第22条): 旧法往往需有违法嫌疑才能发动检查,新法赋予主管机关在“认有必要”时即可主动发动行政检查,以检视企业落实个资法的情形。检查权限包括要求提供资料、进入场所检查,甚至扣留或复制证据,且企业不得无故规避、妨碍或拒绝。
- 强化公部门监督(修正第18条): 增订公务机关应设置“个人资料保护长”,由机关首长指派适当人员兼任,采取“由上而下”的方式落实个资保护文化。虽然此条文直接规范公务机关,但这也将成为私部门“大型企业”未来设置专责人员的重要参考指标。
3. 结论:企业合规的新常态
虽然新法条文已于2025年11月公布,但企业需注意,新法的正式施行日期尚未确定。依据个资会筹备处的说明,由于个资会的正式成立仍待“个人资料保护委员会组织法”完成立法程序,因此行政院将视组织法审议进度及相关行政准备(如子法订定)后,另行指定施行日期。
然而,从2023年到2025年的修法轨迹可见,国家对个资保护的态度已从被动的“处罚违规”,转变为主动的“制度性监管”。随着共通基础版的“安全维护管理办法”草案陆续预告,未来的合规将具体落实到“72小时通报”、“定期演练”等细节。企业若仍停留在旧法的思维,极可能在新法上路后措手不及。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于新法适应、安全维护计划制定或个资与资安事件处理有任何疑问,欢迎随时联系本事务所,我们将由专业律师团队为您提供量身打造的解决方案。
※特别提醒:本文所提及之相关子法草案(如安全维护办法、事故通报办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
