2023年個資法修正與個資管理趨勢

個資外洩事件頻傳，範圍擴及政府機關及各產業

臺灣過去一年來，個資外洩事件頻傳，例如，2022年10月間，海外駭客在Breachforums網路論壇販售20萬筆台灣人戶籍資料，並宣稱手上有超過2300萬筆台灣人民資料；2023年2月，又發生微風集團收到匿名勒索信，駭客表明已經得手微風資料庫，90萬用戶個資、發票、訂單，還有供應商資料；同年2月，和泰集團因旗下共享租車平台iRent有40萬筆個資遭外洩，遭公路總局處以罰鍰新台幣20萬元，個資外洩事件不但頻傳，且遍及各個產業。

個資法修正大幅提高罰責，且明定個人資料保護委員會為主管機關

面對日漸難以掌握的竊取個資手法、規模擴大且侵害加深的個資外洩事件，範圍更是擴大至中小企業、政府機關，及各個產業，彰顯個資保護之重要性日益攀升。對此，司法及立法機關積極展開大動作，首先就個資法之監管面而言，臺灣過往針對個資法原先採分散式管理的實務監管，並未明定統一、獨立的主管機關，由法務部扮演個資法的解釋機關，各目的事業主管機關擔任該行業的個資法主管機關，直至2022年8月，憲法法庭針對健保資料庫強留民眾就醫個資提供給衛福部科學中心研究使用之行為，啟動個資法合憲性之審查並作成憲法裁判「憲法法院111年憲判字第13號判決」後，才首度宣告修正前之個人資料保護法欠缺個人資料保護之獨立監督機制，對個人資訊隱私權之保障不足而有違憲之虞，並要求國家必須於3年內完成個資保護獨立監督機制之建立。

2023年5月16日立法院三讀通過個資法之修正，呼應前開憲法法庭判決之要求，增訂第1條之1，明定以個人資料保護委員會為個資法之主管機關，且性質上為獨立機關。另有鑑於民間普遍反應企業因未履行個資保護義務而遭開罰的額度，與民眾因個資外洩而遭詐騙之金額相比，顯不相稱，因此立法院在本次修法提高罰鍰額度，於個資法第48條增訂第2、3項規定，對於非公務機關若未善盡安全維護義務以致個資外洩，並令其限期改正，屆期未改正者，或情節重大者，最重可處高達新臺幣1,500萬元罰鍰，且按次處罰。

數位部力拚資安法三大修正，數據運作與隱私強化兩大指引草案搶先發布

資訊安全與個資保護兩者脣齒相依，在前述個資法修正通過後，數位部日前也公布三項重點修法方向，包括資安法主管機關改為數位部、要求非公務機關增設資安長及資安人員、擴大納入地方政府得實施資安稽核等，力拼今年底前端出資通安全管理法草案。而在資通安全管理法草案頒布前，數位部在2023年9月11日已先公布「數據公益運作指引」及「隱私強化技術應用指引」兩大指引草案，期望透過「數據公益運作指引」，為基於公益運作目的而接收、處理與利用非屬個人資料之數據，提供可操作的規範，另外透過「隱私強化技術應用指引」，希冀能平衡隱私保護與資料運用需求，透過技術方法降低直接利用原始資料所衍生的風險，同時保障資料可用性。

個資外洩無所不在，各行各業導入個資管理制度勢在必行

據軟體公司Intact統計2004年至2020年間最容易發生個資外洩的十大產業，前三名分別為網路公司、醫療保健業、金融業，前十名中又包含零售業、科技業、遊戲業、電信業及旅館業等，這些產業的業務特性都是能夠快速蒐集、累積大量消費者個資，並進行處理及利用，是有心竊取個資者的首要目標。此外，各行各業皆上雲後，增加個資外洩之風險，為避免發生個資法修正後高額之罰責，當務之急應先從各目的事業主管機關，依照個資法第27條為各事業所訂定之個人資料檔案安全維護管理辦法要求事項做起，例如，銀行、保險及金融業應遵循「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」；針對百貨公司及零售業的部分，經濟部甫於2023年8月1日訂定「綜合商品零售業個人資料檔案安全維護管理辦法」；若是網路方式經營零售業或電商平台，應留意「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」之法規遵循。而若欲申請上市櫃之企業，在涉及到資料庫蒐集客戶個資，更應建置個人資料管理制度，以良善管理證明已妥善遵循個資保護，甚或可以考慮進一步取得個資國際認證，例如BS 10012、ISO 27701或TPIPAS，作為個資保護良善管理之佐證，亦可作為訴訟時已盡注意義務之證明。

大數據時代下個資管理制度之趨勢

為防患於未然，建議事業平時應建立、維持妥善的個資盤點機制，並注意應定期維護更新、檢視清冊盤點方法之合理性，另外也建議事業能夠進行風險評鑑，依照個資種類區分資產價值，並針對個資管理的控制措施進行弱點與威脅分析，從而判定個資風險評級以利控管。此外，事業亦應強化對個資侵害事件之應變能力，建議事業能併同關聯單位進行個資侵害或資安事變演練，以利於事變真實發生前，事業即能培養好跨機構協調聯繫之運作機制及支援應處能量。大數據時代下各事業更加倚賴消費者提供的個資，來設計更加接近需求的商品或服務，進而提升事業競爭力。然而當個資外洩事件頻傳之下，客戶在進行消費選擇時，事業的個資安全控管能力，也將納入重要考量要素之一。建議事業應導入個資管理制度，證明事業本身有足夠的能力及條件承擔消費者的信賴，以建立優良商譽，同時與國際個資保護趨勢接軌。