預告修正「個人資料保護法」部分條文-眾開講-公共政策網路參與平臺

預告修正「個人資料保護法」部分條文

發布於 2024-12-20 截止於 2025-02-18

討論(尚餘0天)

主旨：預告修正「個人資料保護法」部分條文。

依據：行政院秘書長112年10月23日院臺規長字第1125021127號函。

公告事項：

一、修正機關：個人資料保護委員會籌備處(尚須陳報行政院核轉立法院審議)。

二、「個人資料保護法」部分條文修正草案如附件。本案另載於本籌備處全球資訊網站/最新消息/（網址：https://www.pdpc.gov.tw/News/20/）、本籌備處主管法規查詢系統/草案預告(網址：https://law.pdpc.gov.tw/DraftForum.aspx)及公共政策網路參與平台/眾開講/法令草案預告（網站：https://join.gov.tw/policies/）。

三、本法本次修正部分條文，主要為配合憲法法庭111年憲判字第13號判決要求於114年8月前成立我國個人資料保護獨立監督機制之重大政策，及本法112年5月增訂第1條之1「個人資料保護委員會」相關職權之行使。因涉及各類公務機關、非公務機關之個人資料保護事務，為利社會各界充分評論及表達相關意見，使修法更為周延，本案預告期間自113年12月21日起，延長至114年2月18日止(共計60日)。

四、對本公告內容有任何意見或修正建議者，請於114年2月18日(含當日)前陳述意見或洽詢：

(一)承辦單位：個人資料保護委員會籌備處

(二)地址：臺北市中正區館前路77號5樓

(三)電話：（02）3356-8016分機216、240

(四)傳真：（02）3356-8012

(五)電子郵件：[email protected]、[email protected]

機關回應

個人資料保護委員會籌備處 2025-04-11

機關回應

一、個人資料保護長機制之適用範圍

提問：由主管機關公告指定非公務機關置個人資料保護長及所屬稽核人員之標準不明，建議明定「指定非公務機關」之標準或暫緩適用於非公務機關，避免與現有稽核體制衝突。

回應：參採各界意見，草案修正為優先由公務機關推動實施，明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責，俾相關管理機制由上而下形成，強化公務機關內部控制制度，並刪除「個人資料保護稽核人員」之規定。

二、個人資料事故通報、應變、事故紀錄保存等義務

提問：事故相關紀錄保存期限，建議比照個人資料保護法（下稱個資法）第30條之請求權消滅時效期間及金管會之標準，調整為5年。對當事人權益有重大危害之虞之「重大」有欠明確，應有明確標準，否則可能導致執法不一致。

回應：

1、應變措施及紀錄保存等相關具體事宜，應建立適當機制及程序以利遵循，未來本籌備處及個資會依草案第12條第4項研擬授權子法時，將參考各界意見規範適當之事故紀錄保存期間。

2、現行條文並未明定事故機關之通報義務，顯然不利我國個人資料保護之落實。爰草案新增第12條第2項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第34條與該法施行令第40條，及日本個資法第26條、第68條、日本個資法施行規則第8條及第44條等外國立法例，另於第4項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

三、對非公務機關進行行政檢查之方式及相關規劃作業

提問：預告草案第22條第1項所定「認有必要」之檢查要件應於條文中明確定義，或授權主管機關訂定相關規範。預告草案第27條所定擇定「個人資料侵害事故風險較高之行業別」係不確定之法律概念，此處之風險「較高」之比較基準為何？風險之定義為何？建議於法令中明確定義風險及行業別，以利業者釐清其責任義務。

回應：

1、公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，朝向建立層級化監管機制，審慎決定發動檢查之對象、次序及頻率等，以符比例原則。

2、參酌各界所提意見，草案已刪除「擇定發生個人資料侵害事故風險較高之行業別優先實施行政檢查」之規定，並參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第4點關於風險評估之機制及南韓個資法第63條之2，修正第22條第1項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第2項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

四、其他（前三大議題外之建議)

提問：建議打破區分公務機關、非公務機關之規範方式。建議增修個資蒐集、處理、利用之合法事由。建議增訂當事人新興權利（如退出權）及個資影響評估機制之相關規範。建議明定資料控管者和資料處理者的角色及匿名化、假名化之定義與相關規範。建議檢討國際傳輸之要件。

回應：

1、本籌備處採取分階段推動個資法修法，本次修正主要係為配合個人資料保護委員會（下稱個資會）成立，賦予個資會相關執法權限，包含對公務機關與非公務機關之行政監督，以及與公務機關之上級或監督機關、非公務機關之中央或地方目的事業主管機關之協力合作機制等配套規定；至於本法其他諸多修法議題，則納入下一階段修法研議。

2、本籌備處已同時持續進行下一階段個資法之修法工作，配合數位時代的隱私保護需求進行法規調適，針對其他實質修法議題進行通盤檢討，並將工作成果移交成立後之個資會賡續推動。

機關綜整回應

個人資料保護委員會籌備處 2025-04-11

綜整回應

一、有關各位提問，本籌備處已透過「機關回應」整理成四大議題進行回復，綜整各位所提意見，酌予調整個人資料保護法（下稱個資法）部分條文修正草案。

二、本次個資法部分條文修正草案，在研議如何建構獨立監督機制之立法形成自由空間下，因應個人資料保護委員會（下稱個資會）之設置規劃，調整現行法就公務機關及非公務機關之監督架構，及落實監管必要之配套規範。基於全國性個人資料監督事務之複雜度，以及未來獨立機關權限落實之效率與效能，本次修正草案，將以個資會獨立監督地位之確保、國內實務推動之可行性及國內政府組織特性等相關議題層面間之衡平作為制度建構之原則，期透過穩健推動之規劃，逐步形成符合國內需要，並得以落實有效監督之個資獨立機關，強化我國個人資料保護法制。