個人資料保護法之新修正

因應近年詐騙猖獗,行政院日前頒訂「新世代打擊詐欺策略行動綱領1.5版」,其中,以加強各方業者資安維護義務作為「堵詐」面向的重要項目,期以降低非公務機關對個人資料外洩的情形來防堵詐騙發生。為此,立法院亦於西元2023年5月16日三讀通過個人資料保護法(下稱「個資法」)部分條文修正案,以兩大修法重點因應「堵詐」:

修正非公務機關違反安全維護措施的裁罰方式及提高罰鍰數額

舊法針對非公務機關保有個人資料檔案,卻未採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,皆於第48條規定限期改正而屆期未改正始予處罰。本次修法改採加重之處罰鍰並命限期改正處分,並提高罰鍰上限,處新臺幣(下同)2萬元以上200萬元以下罰鍰;情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰,與第48條第1項其餘針對非公務機關未盡告知義務、請求維護資料正確性之程序性事項等規定仍維持原裁罰方式及罰鍰金額,根據違法情節輕重做出差別處分。

增訂個資法主管機關為個人資料保護委員會

除了打擊詐騙,為了落實和促進個人資料的保護及整合利用,本次修法亦在組織上有所調整。舊法制度下,個資法係採分散式管理,依據業務性質交由中央目的事業主管機關或地方政府監督。修法之後個資法將由分散式管理轉向,交由個人資料保護委員會(下稱「個資保護委員會」)進行集中管理。

個資保護委員會的組織定性,參酌111年憲法法庭宣示第13號判決意旨,應具獨立監督機制之性質。究其原因,係以增強個資蒐用之合法性與可信度;尤其個人資料如果已逸脫個人控制範圍者,如何避免其不受濫用或不當洩漏,更有賴獨立機制之監督。至於監督機制如何設置,係設置一個統籌性之獨立監管機制,或於各相關法律設置依各該專業領域設計之獨立監督機制,憲法法庭揭示屬立法形成自由範圍。

本次修法增設第1條之1,於立法理由處說明考量個資法監督對象廣泛、職權複雜且涉及公權力行政事項,採設置統籌性之獨立機關,並將依中央行政機關組織基準法另以法律訂定組織法,符合憲法法庭判決責成相關機關建立獨立監督機制之意旨。

惟獨立機關設置依中央行政機關組織基準法第4條1項2款須以法律訂定組織法,程序、需時都較長,雖於2023年8月通過籌備處暫行規程,且籌備處已於2023年12月5日正式成立,掌理事項包含個人資料保護委員會籌設事項之總體規劃、協調及推動;個人資料保護委員會組織法規之研擬;個人資料保護法規之訂修、解釋及協調推動;對公務與非公務機關個人資料保護事務監督、查核、通報、陳情等相關機制之規劃;個人資料保護相關教育訓練、宣導與人才培育之規劃、推動及執行;個人資料保護相關科技與應用模式之研析、評估、發展、交流及推廣;國內、外個人資料保護法制、政策與執行之研究、追蹤、調查及統計;國際個人資料保護事務合作、參與、交流之規劃及推動;其他有關個人資料保護委員會籌設事項。惟在組織法連同第二階段修法送立法院審查後,預計2025年8月個資保護委員會才會正式成立。

本文章由合夥律師陳絲倩律師、法務莊子萱共同撰述。

如果您想知道更多有關個人資料保護事宜,歡迎聯絡本所合夥律師陳絲倩律師,電子郵件地址為cchen@winklerpartners.com

2024年03月04日
作者: 陳絲倩.