• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 專欄

從圓山飯店事件,談個資事故的通知與通報

2026-02-23
分類 : 專欄
0
A A
0
從圓山飯店事件,談個資事故的通知與通報

文/蕭奕弘


I169d08蕭奕弘
◤蕭奕弘律師主持律師,電機及法律碩士,曾任檢察官及法官。

過年期間,圓山大飯店官網在大年初四(民國115年2月20日)張貼一則標題為「資訊系統異常事件說明」的公告,內容是飯店在2月17日發現資訊系統遭到外部入侵,初步研判涉及駭客入侵,已立即啟動資安應變機制,並委請外部專業團隊協助調查及復原、採取必要防護措施,並持續進行監測。公告也表示飯店已依相關法令完成主管機關通報程序,影響範圍仍在釐清,若後續確認涉及個資竊取,將依相關法令通知當事人,並提供必要協助。

隔天,飯店發布更新說明,表示經過鑑識調查後,確認部分系統遭未經授權存取,而且不排除部分客戶資料可能遭到竊取、外流。實際受影響範圍及內容仍待最終鑑識結果確認,先以本公告周知。

那麼,依照現行規定,圓山大飯店要跟誰進行通報?什麼情況要通知受影響的當事人?

個人資料保護法在99年進行大幅度修改,從電腦處理個人資料保護法更名為「個人資料保護法」後,從101年10月開始施行,後來經過幾次修法,最近兩次在112年及114年,規定由個人資料保護委員會(下稱個資會)作為主管機關,統一制定通知與通報的規範,個資會籌備處也在年前的1月22日預告訂定「個人資料事故通知通報及應變辦法」草案,作為將來通知與通報的標準。

所謂的通知是指通知受影響的當事人,通報則是通報主管機關。我們來比較一下新舊法,關於通知與通報規定,圓山大飯店這次是依照什麼樣的規範,進行通報主管機關以及後續可能的通知。

內容目錄 隱藏
通報主管機關
現行法
待施行的新法
通知當事人
現行法
待施行的新法
從圓山事件看企業個資應變

通報主管機關

現行法

先談一下通報這件事,資通安全管理法雖然有規定發生資通安全事件應予通報,但資通安全管理法只有規範公務機關與特定非公務機關,絕大多數的企業並不包括在內,圓山飯店也不在適用範圍。

但圓山飯店的公告說已經通報主管機關,圓山飯店的主管機關是誰?依據為何呢?從現行個資法的角度來說,並沒有規範主管機關,而是由中央目的事業主管機關跟地方縣市政府進行違反個資義務的裁罰機關。圓山大飯店屬於觀光業,交通部下面有一個觀光署,因此圓山大飯店的中央目的事業主管機關是交通部。至於怎麼知道自己行業的中央目的事業主管機關是誰,可以查「個人資料保護法非公務機關之中央目的事業主管機關列表」,當中就可以發現飯店的中央目的事業主管機關就是交通部。

圓山大飯店通報交通部的依據,現行個資法並無明文規定。目前的法源依據是來自現行個資法第27條第2項「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」,由各中央部會指定特定產業企業制定「個人資料檔案安全維護計畫」,在計畫中個別要求。比如交通部就制定了「觀光產業類非公務機關個人資料檔案安全維護管理辦法(下稱觀光業安維辦法)」,來對觀光業者具體要求。隨著政府對個資保護的重視,在個資法修正施行之前,是以這樣的方式來規範。

這個辦法要求保有消費者個人資料達八千筆的觀光旅館業、旅館業、民宿、旅行業或觀光遊樂業,要制定跟執行辦法所要求的計畫,其中「觀光業安維辦法」第9條第3項規定「非公務機關遇有消費者個人資料外洩事故,將危及其正常營運或大量當事人權益者,應於知悉事故後七十二小時內依附表格式通報其主管機關。如向地方主管機關通報,非公務機關並應副知中央主管機關。」

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]

以目前個資法的規範,如果業者沒有制定這個計劃,主管機關可以裁罰,但沒有遵守這個計劃,如果屬於適當安全措施的欠缺,主管機關也可以裁罰,但屬於發生事故以後的通報義務違反,可不可以裁罰,可能是有疑問的,這個問題在後續的新法,已經明確的規範。

待施行的新法

去(114)年11月11日修正公布的新個資法,規定由個資會統一制定通知及通告規範,當符合一定通報範圍,發生個資外洩等個資事故時,應通報主管機關個資會,再由個資會受理後轉知目的事業主管機關交通部。

所謂的「符合一定通報範圍」,目前預告制定的草案包括:

  1. 涉及特種個資。
  2. 資通系統保有個資筆數達1萬筆以上。
  3. 影響個資筆數達1百筆以上。

前面提到但如果業者違反計畫要求的通報義務,主管機關可否依照現行法加以裁罰,可能有所疑義。新個資法第48條第2項則明確規定非公務機關違反通報規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰,並令其限期改正,屆期未改正者,可按次處罰。

通知當事人

現行法

通知當事人的規定在現行個資法已有規定,但成效不彰,應該很少民眾接過個資外洩的通知。

依照現行個資法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」至於通知的方式則規定在施行細則第22條,其中第1項規定「適當方式」足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,可以適當公開方式來替代通知。過去就有業者以張貼公告的方式,來完成通知要求。

由於條文中並沒有規定通知的時限,而且違反第12條時,依照現行規定也必須先限期改正,屆期未改正後,才能開罰,加上裁罰金不高,規定的威攝力不足。

待施行的新法

新個資法則要求業者在知悉所保有之個資發生個資事故時,應於知悉時起72小時內以適當方式個別通知當事人。如果有正當事由而無法在72小時期限內通知,企業應敘明理由通報受理通報機關,並且要在事由消滅後72小時內補行通知。

通知方式原則以「個別」方式通知當事人,除非特定情形,比如欠缺當事人聯絡方式、沒有涉及個資法第6條特種個資且已有適當保護措施致未經授權者無法讀取內容,或個別通知耗費過鉅等特定情形時,企業可以透過網路、新聞媒體公開以達到通知的效果,草案規定以公開方式通知時,應至少連續公開30日。如果業者要主張耗費過鉅,應釋明個別通知當事人具體金額之計算方式,以及該金額何以影響營運之說明。

[ 推薦文章:國際標準資安治理趨勢,橫向縱向與成熟度量測 ]

換言之,在新制上路之後,業者要以公告的方式來替代通知,需要提出更多的佐證。而且,新法除了增設通知的時限外,也規定可以直接裁罰,不用再命限期改正。

從圓山事件看企業個資應變

新個資法施行後,通知與通報義務將從特定產業擴及全產業,且72小時的雙重時限(通報主管機關、個別通知當事人)同步啟動,違反通報義務可直接裁罰,不再給予限期改正的緩衝。

企業管理層與資安團隊現在應優先確認三件事:第一,盤點自身保有的個資類型與筆數,釐清是否落入應通報的範圍;第二,建立或更新資安事故應變計畫,明確規範誰在72小時內負責通報、誰負責通知當事人;第三,評估現有的個別通知能力,若要主張「耗費過鉅」改以公開方式替代,新法要求提出具體估算佐證,標準較過去嚴格許多。

新法即將上路,及早準備,才能在事故發生時從容應對。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

標籤: 資訊安全
上一篇文章

合規穩定幣時代來臨

下一篇文章

Palo Alto Networks 完成收購 CyberArk, 強化AI時代資安佈局

相關文章

從帳戶到錢包:企業加密貨幣治理的新內控挑戰
專欄

從帳戶到錢包:企業加密貨幣治理的新內控挑戰

2026-07-15
主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 時代的新課題:企業如何建立 Token 治理?
專欄

AI 時代的新課題:企業如何建立 Token 治理?

2026-07-06
下一篇文章
2025 雲想科技年度回顧:引領影音簽署技術,重塑數位資產信任基石  

Palo Alto Networks 完成收購 CyberArk, 強化AI時代資安佈局

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • AI 自主代理闖天下 企業如何治理
  • 晶片大戰新風向!為什麼科技巨頭都在研發自己的「AI 大腦」?
  • 政府資安戰略升級 聚焦主動防禦、後量子布局與公私聯防
  • 安提國際擴展NVIDIA Jetson Thor 動能!布局全新 NVIDIA Jetson T3000 與 T2000 邊緣運算模組
  • Progress Software 推出支援 NVIDIA DGX Spark 的 Progress Chef Enterprise Management,為「全球最小 AI 超級電腦」提供企業級管理能力

📈 CIO點閱文章週排行

  • 【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    0 分享
    分享 0 Tweet 0
  • AI 數位轉型找華碩!ASUS EXPERTHUB 共好生態圈上線

    0 分享
    分享 0 Tweet 0
  • 未治理 AI 將付出代價

    0 分享
    分享 0 Tweet 0
  • 前沿 AI 壓縮漏洞利用時窗 金管會提金融業七大資安韌性策略

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 歐美 AI 法規陸續底定,導入 ISO 42001 將事半功倍

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 尋求創新與隱私的平衡點 盤點歐美 AI 法規現況

    0 分享
    分享 0 Tweet 0
  • AI 推論後勢看漲,超大規模雲端業者點燃全球 ASIC 新戰火

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【專訪】遠創智慧資訊處資深經理兼副處長陳懿玲:從 ETC 到停車 AI 治理平台,打造大規模 Edge 營運韌性

在生成式 AI 與 AIoT 快速擴展下,運算能力也逐漸延伸至 Edge 端,帶

【編輯室札記】To AI or not to AI?!

總主筆/施鑫澤 身為企業 CIO,面對千年難遇的科技浪潮「AI」,真是既興奮又恐

政府資安戰略升級 聚焦主動防禦、後量子布局與公私聯防

整理/鄭宜芬 數位發展部資通安全署今(16)日辦理「115年資訊(安)主管資安研

CIO 與 CISO 不能不懂的架構轉變:蜂群式多代理系統

蜂群式多代理系統正在重塑企業 AI 的邊界——它讓自動化任務從單點執行升級為協作

從生成式 AI 到 AI Agent 國科會揭五大治理風險與防範指引

整理/鄭宜芬 隨著生成式 AI 乃至 AI Agent(AI 代理人)技術逐漸深

前沿 AI 壓縮漏洞利用時窗 金管會提金融業七大資安韌性策略

整理/鄭宜芬 前沿 AI 模型正大幅縮短漏洞從揭露到攻擊利用的時間。金管會 14

未治理 AI 將付出代價

企業 AI 治理現況、缺口與行動路徑 台灣《人工智慧基本法》上路,但全球沒有進行

擔心AI取代自己?不如就讓AI取代現在的自己

文/王義智(資策會 MIC 產業服務中心主任) 我最近動手寫了一些程式,利用 A

軟體元件創造絕佳用戶體驗

文/葉宏謨 1960 年代至 1990 年代之前,企業資訊系統都是量身打造的,稱

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音