为强化打击诈骗，行政院会先前于今年4月间通过打诈三法案修法草案，主要包括「洗钱防制法」、「证券投资信托及顾问法」及「个人资料保护法」（下称个资法）相关修文修正草案。其中个资法修正部分已于5月16日经立法院三读通过，修正重点有二：

一、明订个资法之主管机关为「个人资料保护委员会」（该委员会组织与具体权限将另以法律定之），符合宪法法庭111年宪判字第13号判决应设置独立监督机关之意旨，并解决目前个资法分布式管理下之实务监管问题，同时亦与国际趋势接轨。

二、加重非公务机关违反个资安全维护义务与未订定相关安全维护计划之裁罚金额：本次个资法修法，针对企业就所保有之个人资料未能实行适当之安全措施导致个资外泄，或未依法订定个人资料档案安全维护计划或业务中止后个人资料处理方法者，其裁罚由原本经限期改正届期未改正者，按次处新台币（下同）2万元～20万元罚款，修正为直接裁处罚款并命限期改善，并提高罚款金额为2万元～200万元，情节重大者则再加重裁罚额度为15万元～1500万元；又为加强督促违反上开义务之行为人尽速改善个人资料保护措施，就届期未改正者，加重处罚额度为15万元～1,500万元。

此次修法相较于各国信息隐私保护义务之最高罚款相关立法，如日本订有相当新台币2千万元（1亿日圆）之罚款；新加坡为企业之10％营业额或新台币2千万元（1百万新加坡币）；欧盟则为企业之2％营业额或新台币3亿元（1千万欧元）等，虽然仍存在一定的落差，但在本次修法前，行政院早已于今年3月2日会议通过「防止非公务机关个资外泄精进措施」，要求各部会成立行政检查小组，加强对高风险业者的行政检查，并加快对近期引起社会关注的重大个人资料外泄案件进行行政调查。可以预见，未来主管机关对企业个资保护执行情况的监督将越来越严格。

因此，企业应该重视并重新检视目前的个资安全维护机制是否适当，且不论是否为应订定个人资料档案安全维护计划或在业务终止后处理个人资料方法的行业别，都应主动制订并至少包含以下事项：

1、确立相关权责人员（部门）并配置相当资源。2、界定个人资料之范围。3、个人资料之风险评估及管理机制。4、事故预防、通报及应变机制。5、个人资料搜集、处理及利用之内部管理程序。6、设备、数据安全管理与人员管理与稽核机制。7、认知倡导及教育训练。8、必要之使用纪录、轨迹数据及证据之保存。9、定期检视并就执行情形持续改善整体安全维护计划。

针对如何制订企业个人资料档案安全维护计划或业务终止后个人资料处理方法有疑义者，如属经指定应制订相关计划之行业别，可参考各目的事业主管机关制订之「OO业个人资料档案安全维护管理办法」或洽专业律师提供协助。

本文发表于工商时报_名家评论专栏：https://view.ctee.com.tw/tax/50441.html

‍