【工商時報_名家評論】企業違反個資安全維護義務 最高裁罰大幅提高

2023-06-08

為強化打擊詐騙,行政院會先前於今年4月間通過打詐三法案修法草案,主要包括「洗錢防制法」、「證券投資信託及顧問法」及「個人資料保護法」(下稱個資法)相關修文修正草案。其中個資法修正部分已於5月16日經立法院三讀通過,修正重點有二:

作者

作者

為強化打擊詐騙,行政院會先前於今年4月間通過打詐三法案修法草案,主要包括「洗錢防制法」、「證券投資信託及顧問法」及「個人資料保護法」(下稱個資法)相關修文修正草案。其中個資法修正部分已於5月16日經立法院三讀通過,修正重點有二:

一、明訂個資法之主管機關為「個人資料保護委員會」(該委員會組織與具體權限將另以法律定之),符合憲法法庭111年憲判字第13號判決應設置獨立監督機關之意旨,並解決目前個資法分散式管理下之實務監管問題,同時亦與國際趨勢接軌。

二、加重非公務機關違反個資安全維護義務與未訂定相關安全維護計畫之裁罰金額:本次個資法修法,針對企業就所保有之個人資料未能採行適當之安全措施導致個資外洩,或未依法訂定個人資料檔案安全維護計畫或業務中止後個人資料處理方法者,其裁罰由原本經限期改正屆期未改正者,按次處新臺幣(下同)2萬元~20萬元罰鍰,修正為直接裁處罰鍰並命限期改善,並提高罰鍰金額為2萬元~200萬元,情節重大者則再加重裁罰額度為15萬元~1500萬元;又為加強督促違反上開義務之行為人儘速改善個人資料保護措施,就屆期未改正者,加重處罰額度為15萬元~1,500萬元。

此次修法相較於各國資訊隱私保護義務之最高罰鍰相關立法,如日本訂有相當新台幣2千萬元(1億日圓)之罰鍰;新加坡為企業之10%營業額或新台幣2千萬元(1百萬新加坡幣);歐盟則為企業之2%營業額或新台幣3億元(1千萬歐元)等,雖然仍存在一定的落差,但在本次修法前,行政院早已於今年3月2日會議通過「防止非公務機關個資外洩精進措施」,要求各部會成立行政檢查小組,加強對高風險業者的行政檢查,並加快對近期引起社會關注的重大個人資料外洩案件進行行政調查。可以預見,未來主管機關對企業個資保護執行情況的監督將越來越嚴格。

因此,企業應該重視並重新檢視目前的個資安全維護機制是否適當,且不論是否為應訂定個人資料檔案安全維護計畫或在業務終止後處理個人資料方法的行業別,都應主動制訂並至少包含以下事項:

1、確立相關權責人員(部門)並配置相當資源。2、界定個人資料之範圍。3、個人資料之風險評估及管理機制。4、事故預防、通報及應變機制。5、個人資料蒐集、處理及利用之內部管理程序。6、設備、資料安全管理與人員管理與稽核機制。7、認知宣導及教育訓練。8、必要之使用紀錄、軌跡資料及證據之保存。9、定期檢視並就執行情形持續改善整體安全維護計畫。

針對如何制訂企業個人資料檔案安全維護計畫或業務終止後個人資料處理方法有疑義者,如屬經指定應制訂相關計畫之行業別,可參考各目的事業主管機關制訂之「OO業個人資料檔案安全維護管理辦法」或洽專業律師提供協助。

 

本文發表于工商時報_名家評論專欄:https://view.ctee.com.tw/tax/50441.html