目前總統已於 2025 年 11 月 11 日公布《個人資料保護法》最新修正法案,雖然正式施行日期尚待行政院公布,但這次修法針對一般企業而言仍有四大重點需要留意:
- 專責主管機關成立:未來就個人資料保護法相關事宜,將由個人資料保護委員會 (PDPC) 統一擔任專責機構,改變過去各部會分散監管的現狀,裁罰標準與行政檢查將更為一致。
- 「安全維護辦法」轉為普遍的法定強制義務: 過去僅針對特定類別、符合一定條件的非公務機關才需要遵循該行業別的安全維護辦法。但新法授權PDPC統一制定非公務機關通用基礎版的安全維護辦法,所有非公務機關皆有遵循之義務。惟依據新法第 51 條之 1 規定,原受中央目的事業主管機關監管之特定行業,在 6 年過渡期間內,仍須優先適用原機關發布之安全維護辦法。
- 通報時效大幅縮短: 個資竊取、竄改、毀損、滅失或洩漏等事故的通報義務由「查明後」提前至「知悉時」。過去修法前,企業僅需「查明」事故後通報當事人即可。但未來新法施行後,企業不得再以內部調查為由拖延,除應在發現事故第一時間通報當事人以外、若符合一定通報範圍也應通報PDPC。通報之相關規定,包含具體內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項等,目前已有個人資料事故通知通報及應變辦法之草案預告,可供參考。
- 行政檢查常態化:主管機關(即PDPC)權限擴大,得依其判斷進行行政檢查。這意味著企業的個資保護落實情況,將面臨更頻繁的外部監督。
對企業而言,個資保護是法規遵循的核心,建議企業應盡早盤點現有流程,確保能經得起未來之行政相關檢查。