在前一篇文章中,探讨了新版“个人资料保护法”第12条所建立的“通知当事人”与“通报主管机关”双重义务。其中,“通知当事人”是为了保障受害者的知情权,原则上只要发生事故且影响当事人权益,即应通知。
然而,“通报主管机关”是否也需要“每案必报”?这对企业的行政负担与监管风险影响甚巨。依据最新预告的“个人资料事故通知通报及应变办法”草案(下称草案),主管机关划定了三道明确的“强制通报门槛”。本篇将为您解析这些门槛的具体内容,以及企业应具备的应变标准作业程序(SOP)。
1. 强制通报门槛:三者中一,即须通报
依据草案第3条第1项规定,只要个资事故符合下列任一情形,企业即必须在知悉后72小时内向主管机关(个资会)通报:
- 涉有本法第6条第1项规定之个人资料(特种个资):若事故涉及病历、医疗、基因、性生活、健康检查及犯罪前科等高度敏感资料,无论笔数多寡,均须通报。对于医疗院所、生技公司或保险业者而言,这意味着几乎所有的资安事故都必须通报。
- 所涉之资通系统保有个人资料笔数达1万笔以上:此条款关注的是“系统规模”。即便该次事故只泄露了少数几笔资料,但如果发生事故的资通系统本身是保有大量个资(1万笔以上)的资料库,代表该系统的脆弱性可能引发系统性风险,因此仍须通报。
- 所影响之个人资料笔数达100笔以上:这是对一般B2C企业影响最大的条款。100笔是一个极低的门槛,换言之,只要是电商平台、会员制网站或服务业,一旦发生外泄或遭勒索软件加密,受影响人数极易超过100人。此门槛打破过去企业认为“重大事故才需通报”的迷思,相当于将通报义务常态化。
企业应特别留意“笔数”的计算方式。依据草案说明,笔数计算采“单日所保有每一自然人之每一搜集特定目的”加总计算。换言之,若同一客户的资料被用于多个不同目的,可能会被重复计算,企业在评估是否达标时宜采保守认定。
2. 应变措施:除了通报,还要做什么?
通报不仅是填写表格,主管机关更看重企业当下采取了哪些“止血”作为。草案第4条明列了企业应采取的即时有效应变措施,这些也将是通报内容的必填项目:
- 阻断与封锁:检查泄漏途径(如漏洞修补),并采取隔离(如切断网络连线)或封锁措施。
- 权限检视:检查存取权限,立即阻止异常的存取路径(如重设遭骇帐号密码)。
- 资料追回:若是误寄档案,应尝试收回;或要求收受的第三人删除、销毁资料。
- 网络遗忘:若资料已被公开在网络上,应请求搜寻引擎业者删除库存页面,或采取消除公开状态的措施。
企业在事故发生当下,必须同步进行上述处置并留存纪录(如Log档、往来邮件),以作为日后面对应政调查时,证明已尽力防止损害扩大的证据。
3. 罚则风险:未通报的代价
若企业心存侥幸,认为“只要不通报就不会被发现”,在新法架构下将面临极高风险。
依据2025年修正的“个人资料保护法”第48条第2项规定,若违反通报义务(包含内容、方式、时限不符规定),主管机关可处新台币2万元以上20万元以下罚锾,并令限期改正;届期未改正者,得按次处罚。
虽然20万元的罚锾看似不高,但未通报往往伴随着“未采行适当安全维护措施”的违规事实。一旦被主管机关主动查获,除了因未通报受罚外,针对安全维护疏失的部分,最高可处以新台币1,500万元的重罚。通报虽然会让主管机关介入,但主动通报并配合调查,在行政裁量上往往是有利于减轻责任的因素。
4. 建议:建立分级通报机制
面对“100笔”的低门槛与“72小时”的时限,本所建议企业应建立内部的“事故分级表”。例如,将事故分为“红灯(涉及特种个资或>100人)”与“黄灯(一般个资且<100人)”。一旦资安团队确认事故等级为红灯,法务部门应立即介入准备通报文件,以确保在黄金时间内完成合规要求。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于通报门槛判定、应变SOP制定或模拟演练有任何需求,欢迎随时联系本事务所,我们将由专业律师团队为您提供精准的法律分析与解决方案。
※特别提醒:本文所提及之相关子法草案(如安全维护办法、事故通报办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
