在前一篇文章中,我们介绍了所有企业都必须遵守的“个资保护基本功”。然而,依据最新预告的“个人资料档案安全维护管理办法”草案(下称草案),如果企业被归类为“大型非公务机关”,那么其法遵义务将会显著升级,面临更严格的组织管理与技术规范。本篇将协助企业判断自己是否属于此类对象,以及随之而来的加重责任。
1. 谁是“大型非公务机关”?两大门槛检视
依据草案第3条定义,必须“同时”符合以下两个条件,才属于大型非公务机关:
- 非属中小企业:即规模超过“中小企业认定标准”的企业(即指实收资本额在新台币1亿元以上,或经常雇用员工数满200人以上者)。
- 保有个人资料笔数达1万笔以上:只要不是中小企业,且持有的个资超过1万笔,就会升级为“大型非公务机关”。
1万笔如何计算?草案第4条规定,笔数计算方式为“单日所保有每一自然人之每一搜集特定目的”加总计算。依据草案立法说明,所谓“单日”系指机关盘点当日;而笔数之计算,并非单纯以“自然人人数”为准,而是依个人资料搜集之不同目的而个别累加计算。换言之,即使针对同一位当事人,若企业基于不同的特定目的分别建档管理,在计算笔数时将被重复累加。对于拥有庞大会员资料库、供应商名单或多重业务线的中大型企业来说,1万笔的门槛极易达成。
2. 加重义务一:组织架构的强制要求
一旦成为大型非公务机关,仅依靠法务或资讯部门兼办个资业务恐已不足以符合法规要求。草案第17条要求必须建立专属的组织架构:
- 指定专责人员:必须指定专人负责个资保护事项。
- 设置执行小组:不能只是单兵作战,要成立跨部门的“个人资料保护管理执行小组”,负责政策研议与执行。
- 职务分离原则:草案明确规定,负责执行的“管理专责人员”与负责稽核的“查核人员”不得兼任。要求企业必须在内部建立职权分离机制,确保稽核的独立性与客观性。
3. 加重义务二:书面化的“安全维护计划”
一般企业只需建立管理机制,但大型非公务机关依据草案第16条,必须订定正式的“个人资料档案安全维护计划”,涵盖风险评估、事故应变、认知宣导等项目,且该计划的订定或修正,必须经由企业代表人(如董事长、总经理)或其指派人员核定。
这份计划并非一次性文件。草案第19条与第26条要求,企业必须每年定期进行风险评估,并根据评估结果检讨修正计划。
此部分正是法规要求落实PDCA(Plan-Do-Check-Act)循环的核心精神。许多企业的个资计划往往流于形式,导致发生事故时才发现计划根本无法执行。请务必落实定期检查与修正,别让贵公司的PDCA变成了Plan(计划)、Delay(延宕)、Cancel(取消)、Apology(道歉)。
4. 加重义务三:更严格的资安技术指标
针对资通系统,草案第23条为大型非公务机关设定了更高的技术标准:
- 系统上线前检测:如果企业的资通系统有提供对外服务(如官网、APP),在系统上线前必须完成源代码检测、弱点扫描及渗透测试,且修补完漏洞后才能上线。系统上线后,仍需持续办理相关检测。
- 资料隐码与加密:涉及个资显示时应有隐码机制(如身分证字号部分遮蔽),传输时必须加密。
- 防止入侵:必须建立防止外部网络入侵的对策(如防火墙、网站应用程式防火墙WAF)。
5. 建议:从现在开始盘点
如果企业规模不属于中小企业,请务必立即进行“个资笔数盘点”。
- 若接近或超过1万笔:请即刻着手规划“安全维护计划”,并检视现有人力配置,是否能满足“专责人员”与“查核人员”职务分离的要求。
- 若未达1万笔:虽暂时豁免上述加重义务,但依据草案第4条,若日后因业务扩张导致笔数达标,企业只有6个月的缓冲期来完成所有合规导入。
对于大型企业而言,个资保护已不再是单纯的法遵议题,而是公司治理(ESG)的重要指标。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于组织架构调整、安全维护计划撰写或资安检测合规性有任何疑问,欢迎随时联系本事务所,我们将由专业律师团队为您提供精准的法律分析与解决方案。
※特别提醒:本文所提及之相关子法草案(如安全维护办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
