在新版「個人資料保護法」的架構下,主管機關的角色已從過去的被動受理檢舉,轉變為主動的監理機關。許多企業誤以為只要不發生個資外洩,就不會引起主管機關的注意。然而,依據2025年修正的個人資料保護法第22條及最新預告的「檢查非公務機關落實個人資料保護法情形作業辦法」草案(下稱檢查辦法草案),主管機關發動行政檢查的門檻已大幅降低,且具備明確的篩選指標。
本篇將解析主管機關的檢查權限、篩選對象的邏輯,以及企業應建立的受檢標準作業程序(SOP)。
1. 發動門檻:不需違法證據,只因「認有必要」
依據新法第22條第1項規定,主管機關發動行政檢查的要件有二:
- 有違反本法規定之虞:即已有違法跡象或檢舉。
- 為檢視其落實本法情形而認有必要:此為新法強化的重點。即使企業未發生事故,主管機關為了確認企業是否合規(例如是否有訂定安全維護計畫),亦可主動發動檢查。
換言之,行政檢查將成為一種常態性的監理手段,而非僅是處罰前的調查程序。
2. 誰會被盯上?年度檢查規劃的篩選指標
主管機關資源有限,不可能普查所有企業。依據檢查辦法草案第2條及第3條,主管機關將制定「年度檢查規劃」,並綜合評估下列因素來擇定檢查對象:
- 規模與類型:企業的組織規模、保有個人資料的數量與類型(如是否涉及特種個資)。
- 管理與技術:企業蒐集、處理或利用個資的技術方法,以及內部的管理情況。
- 事故紀錄:過去發生個資事故的情況及頻率。
- 受檢歷史:歷年接受檢查的頻率及結果。
- 外部因素:當年度政府施政重點、民眾日常生活相關領域(如電商、金融、交通)、以及國際個資保護趨勢。
若企業屬於「保有大量會員資料」、「曾發生過資安事件」或「與民眾生活密切相關(如零售、數位服務)」的產業,被列入年度優先檢查名單的機率極高。
依據本所實務經驗,早在新法全面上路前的2025年,經濟部即已針對多家大型零售業者啟動密集的行政檢查,顯示主管機關對於擁有大量消費者數據的企業,監管力道正持續加強。
3. 檢查程序:一個月前的「預告」與突襲的可能性
依據檢查辦法草案第6條規定,若是基於年度計畫所辦理的例行性檢查,主管機關原則上應於檢查日一個月前,以書面通知受檢企業,給予企業一段準備期間,用以整理文件與檢視流程。
然而,若檢查是基於「有違反本法規定之虞」(如發生重大外洩事故、證據有滅失之虞),主管機關仍可能依行政程序法及個資法第22條的授權,在未預告的情況下直接到場進行證據保全。
4. 現場權限:企業的協力義務
一旦檢查人員到場(可能包含主管機關人員及隨同的資訊、法律專業人員),其權限相當廣泛。依據新法第22條第1項至第3項,檢查人員得採取以下作為:
- 命為說明:要求企業人員進行說明或提供相關證明資料。
- 進入場所:進入辦公處所、機房進行檢查。
- 扣留複製:對於得沒入或可為證據的個資或檔案,得扣留或複製(如備份硬碟、封存主機)。
企業對此負有協力義務,不得無故規避、妨礙或拒絕。若無正當理由拒絕檢查,依據新法第49條,可處新臺幣2萬元以上20萬元以下罰鍰,且主管機關可採強制措施進行檢查。
5. 建議:企業受檢SOP
面對可能隨時到來的行政檢查,建議企業建立以下應對機制:
- 指定單一窗口:明確指定由法務長、資安長或專責人員擔任檢查應對窗口,避免非相關人員錯誤發言。
- 備妥「安維計畫」:這是檢查人員必看的「第1號文件」。企業應隨時備妥最新的安全維護計畫相關文件、風險評估報告及執行紀錄(如教育訓練簽到表、會議紀錄)。
- 演練受檢流程:模擬檢查情境,確保IT部門知道如何配合調閱Log或系統參數,同時確保機密營業資訊與受檢個資適當隔離,避免不必要的資訊外流。
本所擁有豐富的企業個資法務與合規導入經驗,若企業對於行政檢查的模擬演練、應對策略制定或受檢文件整備有任何疑問,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供精準的法律分析與解決方案。
※特別提醒:本文所提及之相關子法草案(如檢查作業辦法等)均為個人資料保護委員會籌備處於2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
