• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

應對個資事故與安全維護的新基準

2026-03-24
分類 : CISO精選, 專欄
0
A A
0
應對個資事故與安全維護的新基準

Image by freepik

文/蕭奕弘


I169d08蕭奕弘
◤蕭奕弘律師主持律師,電機及法律碩士,曾任檢察官及法官。

去(114)年 11 月 11 日,個人資料保護法修正公布,雖然施行日期尚待行政院決定,個人資料保護委員會(下稱個資會)籌備處已陸續預告配套子法草案,其中以個人資料事故通知通報及應變辦法草案(下稱「通知通報及應變辦法」草案),以及個人資料檔案安全維護管理辦法草案(下稱「安全維護管理辦法」草案),對企業影響最為深遠。在新制上路後,無論產業類別為何、公司規模大小,每一家企業都將面臨新的資安與個資要求。本文以「企業」為中心,簡要介紹相關規範。

通知通報及應變辦法

當企業發生個資事故時,現行個資法雖已規定企業有通知當事人義務,違反可處罰鍰。但僅規定「應查明後以適當方式通知當事人」,施行細則雖然就「適當方式」有進一步的規定,但仍然欠缺完整規範。當企業違反違反通知義務時,現行個資法雖然規定可按次處以罰鍰,不過罰鍰最高僅為 20 萬元。

而且,依現行規定也必須先限期改正,屆期未改正後,才能開罰,使得規定的威攝力不足。資通安全管理法雖然規定發生資通安全事件應通報中央目的事業主管機關,但僅規範公務機關與特定非公務機關,絕大多數的企業並不包括在內。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]

新法則規定由個資會統一制定通知規範,並新增符合一定通報範圍者,應通報個資會,由個資會受理後轉知目的事業主管機關。至於違反通知或通報規定時,新法規定可以直接裁罰,已不用先命限期改正。草案就通知、通報規範,簡介如下:

知悉時起 72 小時內通知當事人

草案規定企業知悉所保有之個資發生個資事故時,應於知悉時起 72 小時內以適當方式個別通知當事人。如果有正當事由而無法在 72 小時期限內通知,企業應敘明理由通報受理通報個資會,並在事由消滅後 72 小時內補行通知當事人。新法雖然設定 72 小時的嚴格要求,也留下因特殊情況而調整的彈性。

原則:個別通知

原則「個別」通知當事人,但如有特殊情形,比如欠缺當事人聯絡方式、未涉及特種個資(病歷、醫療、基因、性生活、健康檢查及犯罪前科)且已有適當保護措施避免未經授權讀取,或個別通知耗費過鉅而將影響營運時,企業可以透過網路、新聞媒體公開以達到通知的效果。以公開方式通知時,應至少連續公開 30 日。如果企業要主張耗費過鉅,應釋明個別通知當事人具體金額之計算方式,以及該金額何以影響營運之說明。

應通報之範圍

前面提到,新法增加符合一定通報範圍者,於發生個資外洩等個資事故時,企業應通報個資會。所謂的「符合一定通報範圍」,包括:

  1. 涉及特種個資。
  2. 資通系統保有個資筆數達一萬筆以上。
  3. 影響個資筆數達一百筆以上。

個資筆數之計算方式,係以單日所保有每一自然人之每一蒐集特定目的累加計算,舉例而言,某甲分別因為「網站會員資料」及「內部員工資料」蒐集,因特定目的不同,要累加算 2 筆。

應採取之應變措施

草案規定企業知悉個資事故後,應採取即時有效應變措施,包括:

  1. 檢查洩漏途徑,並採取隔離或封鎖措施。
  2. 檢查存取權限,阻止異常存取路徑。
  3. 收回誤送之個資檔案,要求第三人刪除或銷毀。
  4. 請求搜尋引擎業者刪除已公開之個人資料,或消除公開狀態。
  5. 其他即時有效防止個資事故擴大之措施。

受託機關知悉時點,視為委託機關知悉

草案規定受企業委託蒐集、處理及利用個資而知悉個資事故,視為企業已知悉。受託者也應於知悉事故時,立即通知委託之企業並保存通知記錄。

製作事故紀錄,並至少保存 5 年

草案要求企業知悉個資事故後,應製作相關紀錄,並至少應保存 5 年,內容包括:事件紀錄、通知通報情形、應變措施、事故影響、調查過程及改正措施處置歷程等。

小結

過去因為通知的規定不夠具體,加上裁罰力道有限、欠缺通報政府機關的法源規定,導致雖個資事故頻傳,但企業願意主動公開事故並實際通知當事人的案例仍屬少見,新法正是希望透過具體規定通知及通報義務,建立企業可遵循的制度框架。

對 CIO 而言,面對即將到來的新制,應提早制定內部相關規範,並確認目前系統內個資筆數,以及系統能否統計受影響筆數?是否已區分特種個資並有獨立存取控管?這些都是企業將來在面臨個資事故時,採取合規應變措施的基礎。

安全維護管理辦法

現行個資法就安全維護事項部分,並無具體的規定。施行細則雖然進一步提出 11個事項作為遵循的參考,但仍然過於簡略而不夠具體。目前只能由中央目的事業主管機關分別要求個別產業制定安全維護計畫,標準無法完全一致。

這次的修法明定安全維護、管理機制、應採取之措施等,均由主管機關個資會定之,以確保對個資保護與管理,能達到一定水準,由個資會訂定共通性規範,作為個資保護最低限度的要求。

此外,現行個資法施行細則第 12 條第 2 項規定提及,個資保護的適當安全措施,以與所欲達成之個人資料保護目的間,具有「適當比例」為原則。但何謂適當比例,現行規定並無規範,可能造成企業無所適從。

就此而言,草案將管制強度區分成「共通安全維護措施」與「公務機關與大型非公務機關」兩個類別,前者是所有企業都必須採行的安全維護措施。如果企業屬於草案所定義的「大型非公務機關」,則更強化安全維護管理的要求。

共通安全維護措施(所有企業適用)

所有的公務或非公務機關都需要遵守「共通安全維護措施」,這是個資保護的最低標準,除了依循原有個資法施行細則第 12 條第 1 項所列的 11 項措施加以具體規範外,更有下述方面的要求:

  1. 對經手個資人員的安全管理措施,比如識別、建立保密義務、權限管控措施,於業務或職務異動時,確保媒介物的交接、返還或資料刪除。
  2. 涉及特種個資,應制定紙本及儲存媒體管制規範、媒介物銷毀或報廢時採取適當防範措施、備份資料比照原件予以保護、檔案加密、安全傳輸措施及銷毀機制。
  3. 資通系統安全措施:包括使用者最小權限原則、帳號安全管理及定期清理、設置密碼並符合複雜性需求,以及日誌記錄。

對公務機關與大型非公務機關的額外要求

草案將不屬於經濟部「中小企業認定標準」所認定的中小企業,如保有個人資料檔案筆數達 1 萬筆以上的公司、有限合夥或商業登記,定義為「大型非公務機關」,更加強化安全維護事項及管理機制,標準跟公務機關相同,比如:

  1. 應訂定個人資料檔案安全維護計畫。
  2. 定期清查流程、建立盤點清冊及流程說明文件。
  3. 每年定期識別、分析及評估風險。
  4. 採取更嚴格的資訊安全措施,如隱碼機制、防止網路入侵對策、異常使用行為監控及因應、日誌至少保留 6 個月,及對外服務系統上線前後檢測等。
  5. 制定稽核機制,每年至少辦理一次。
  6. 保存個資蒐集、處理或利用紀錄等至少 5 年。

結語

對原本即受「資通安全管理法」規範的公務機關,或已建立嚴謹治理體系的金融機構與上市櫃公司而言,新法更像是既有要求的系統化整合。然而,對於廣大中小企業來說,要滿足最低要求的共通性標準,不僅是法規遵循的挑戰,更是企業文化的轉型。

個資保護與安全管理不再僅是 CIO 或資訊部門的單打獨鬥,而必須轉化為企業治理的 DNA,成為組織運作的日常基準。雖然目前新法施行日期未定,但資訊治理的工作無法速成,企業應提早因應準備。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

564x96 Cio Taiwan形象稿

上一篇文章

駭客現在連病患的 X 光片都不放過!

下一篇文章

華城電機重構營運主幹 AI 時代推進跨國協同與數位轉型

相關文章

從帳戶到錢包:企業加密貨幣治理的新內控挑戰
專欄

從帳戶到錢包:企業加密貨幣治理的新內控挑戰

2026-07-15
未治理 AI 將付出代價
CISO精選

未治理 AI 將付出代價

2026-07-11
主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
下一篇文章
華城電機重構營運主幹 AI 時代推進跨國協同與數位轉型

華城電機重構營運主幹 AI 時代推進跨國協同與數位轉型

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • AI 自主代理闖天下 企業如何治理
  • 晶片大戰新風向!為什麼科技巨頭都在研發自己的「AI 大腦」?
  • 政府資安戰略升級 聚焦主動防禦、後量子布局與公私聯防
  • 安提國際擴展NVIDIA Jetson Thor 動能!布局全新 NVIDIA Jetson T3000 與 T2000 邊緣運算模組
  • Progress Software 推出支援 NVIDIA DGX Spark 的 Progress Chef Enterprise Management,為「全球最小 AI 超級電腦」提供企業級管理能力

📈 CIO點閱文章週排行

  • 【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    0 分享
    分享 0 Tweet 0
  • AI 數位轉型找華碩!ASUS EXPERTHUB 共好生態圈上線

    0 分享
    分享 0 Tweet 0
  • 未治理 AI 將付出代價

    0 分享
    分享 0 Tweet 0
  • 前沿 AI 壓縮漏洞利用時窗 金管會提金融業七大資安韌性策略

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 歐美 AI 法規陸續底定,導入 ISO 42001 將事半功倍

    0 分享
    分享 0 Tweet 0
  • AI 推論後勢看漲,超大規模雲端業者點燃全球 ASIC 新戰火

    0 分享
    分享 0 Tweet 0
  • 尋求創新與隱私的平衡點 盤點歐美 AI 法規現況

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【專訪】振生半導體執行長張振豐:Root of Trust新戰略,迎戰量子安全新世代

生成式 AI 加速落地、智慧設備大量部署,加上量子運算技術持續突破,未來資安競爭

Owennini1200

魏董事長說三星做夢 韓國人還關心台灣什麼事?

文/林宏文 近來韓國朋友對台灣電子業相當關注,除了 Computex 熱鬧開展,

AI 重塑全球資安新戰局 我國布局 PQC 與自主防禦新策略

文/鄭宜芬 過去漏洞管理的瓶頸在於人力不足與修補速度有限;如今,AI 正在改變攻

【專訪】遠創智慧資訊處資深經理兼副處長陳懿玲:從 ETC 到停車 AI 治理平台,打造大規模 Edge 營運韌性

在生成式 AI 與 AIoT 快速擴展下,運算能力也逐漸延伸至 Edge 端,帶

監理鬆綁催生金融新場景 玉山攜北市聯醫打造跨域「金融處方箋」

文/鄭宜芬 隨著金管會逐步鬆綁法規限制,金融服務突破傳統業務邊界,朝向跨產業整合

【影】從 AI 照護到全球布局 工研院串聯生醫生態系

整理/鄭宜芬 在高齡化、少子化與醫護人力短缺三大挑戰交織下,醫療產業面臨前所未有

擔心AI取代自己?不如就讓AI取代現在的自己

文/王義智(資策會 MIC 產業服務中心主任) 我最近動手寫了一些程式,利用 A

AI 時代的新課題:企業如何建立 Token 治理?

掌握五大 Token 治理策略,別讓不透明的 AI 成本燒光您的年度預算! 文/

1d11_1

Harness Engineering 與 FDE 崛起 落實 AI 轉型

企業 AI 落地進入治理時代 當幻覺風險、資料外洩、影子 AI 與治理缺口逐漸浮

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音