在過去短短三年間,臺灣的「個人資料保護法」經歷了兩次重大修正,許多企業法務與經營者不禁要問:「為什麼才剛修完又要修?」其實,這兩次修法的目的截然不同,且層層遞進。如果2023年的修法是為了因應詐騙風暴的「緊急止血」(透過重罰嚇阻),那麼2025年的修法就是為了回應憲法要求的「體質改造」(建構獨立監管制度)。本篇將為您梳理這段關鍵的法律進化歷程。
1. 第一階段:2023年5月31日修正——「重罰」先行
回顧2023年的修法背景,主要是為了回應當時猖獗的詐騙案件與個資外洩頻傳的社會壓力。當時的修法重點在於「提高罰責」與「預告主管機關變更」。
依據當時修正的第48條,非公務機關若未採行適當安全維護措施,且屆期未改正或情節重大者,罰鍰上限從原本的新臺幣20萬元大幅提高至新臺幣1,500萬元。這讓企業首次感受到個資違規可能帶來的財務重擊,不再是繳交小額罰款就能了事的行政成本。此外,當時增訂第1條之1,首次明定「個人資料保護委員會」為主管機關,為後續的獨立監管鋪路。
2. 第二階段:2025年11月11日修正——「全面監管」到位
如果說第一階段是為了「止血」,第二階段則是為了「治本」。行政院於2025年3月27日提出草案,歷經審議後於同年10月17日經立法院三讀通過,並於11月11日正式公布。這次修法的核心動力來自於憲法法庭2022年憲判字第13號判決(健保資料庫案),大法官明確指出舊法缺乏「獨立監督機制」。
因此,2025年的修法重點在於「賦予個資會實質監管權能」與「完備公私部門監管機制」,主要變革如下:
- 確立獨立機關權責與「過渡期間」設計(修正第1條之1、第51條之1):新法確立個資會為獨立監管機關。但考量個資會成立初期監管資源尚未齊備,立法者特別設計了「6年過渡機制」。目前沒有明確主管機關的業者,由個資會直接監管。而已有明確主管機關者(如金融業),則暫時維持原狀,並每2年檢討一次,逐步完成事權統一。
- 強化通報義務(修正第12條):舊法僅要求在「查明」後通知當事人,新法將其修正為更嚴格的「通知當事人」與「通報主管機關」雙重義務。只要「知悉」個資事故(包含被竊取、竄改、毀損、滅失或洩漏)發生,即應啟動通報程序,不再容許企業以「還在內部調查」為由拖延。
- 增訂行政檢查權(修正第22條):舊法往往需有違法嫌疑才能發動檢查,新法賦予主管機關在「認有必要」時即可主動發動行政檢查,以檢視企業落實個資法的情形。檢查權限包括要求提供資料、進入場所檢查,甚至扣留或複製證據,且企業不得無故規避、妨礙或拒絕。
- 強化公部門監督(修正第18條):增訂公務機關應設置「個人資料保護長」,由機關首長指派適當人員兼任,採取「由上而下」的方式落實個資保護文化。雖然此條文直接規範公務機關,但這也將成為私部門「大型企業」未來設置專責人員的重要參考指標。
3. 結論:企業合規的新常態
雖然新法條文已於2025年11月公布,但企業需注意,新法的正式施行日期尚未確定。依據個資會籌備處的說明,由於個資會的正式成立仍待「個人資料保護委員會組織法」完成立法程序,因此行政院將視組織法審議進度及相關行政準備(如子法訂定)後,另行指定施行日期。
然而,從2023年到2025年的修法軌跡可見,國家對個資保護的態度已從被動的「處罰違規」,轉變為主動的「制度性監管」。隨著共通基礎版的「安全維護管理辦法」草案陸續預告,未來的合規將具體落實到「72小時通報」、「定期演練」等細節。企業若仍停留在舊法的思維,極可能在新法上路後措手不及。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於新法適應、安全維護計畫制定或個資與資安事件處理有任何疑問,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供量身打造的解決方案。
※特別提醒:本文所提及之相關子法草案(如安全維護辦法、事故通報辦法等)均為個人資料保護委員會籌備處於2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
