Newsletter
個人資料保護委員會籌備處預告個人資料保護法施行細則修正案及三項子法草案
個人資料保護委員會籌備處預告個人資料保護法施行細則修正案及三項子法草案
曾更瑩/潘誼鎂/鄭凱耀
個人資料保護法已於民國(下同)114年11月11日修正公布,其施行日期由行政院定之(下稱「個資法修正條文」)。為配合修正內容,個人資料保護委員會籌備處(下稱「個資會籌備處」)於115年1月22日預告個人資料保護法施行細則(下稱「個資法施行細則」)部分條文修正案,並預告訂定「個人資料保護長及相關人員職掌職能條件及訓練辦法」、「個人資料檔案安全維護管理辦法」及「個人資料事故通知通報及應變辦法」等三項基於個資法修正條文所授權訂立之法規草案。
其中,「個人資料保護長及相關人員職掌職能條件及訓練辦法」草案係依個資法修正條文中要求公務機關應設置個人資料保護長之規定授權訂立,故僅適用於公務機關。茲就民間企業之角度,摘要說明其餘三項草案之重點如下:
一、「個資法施行細則」修正草案
本次預告修正內容,除配合個資法修正條文,對現行法規進行必要調整外,亦配合新授權訂立之法規草案,刪除部分原有條文。
本次修正之重要實質內容,係針對個資法施行細則第17條有關「無從識別特定當事人」之定義進行調整。原定義於實務上認定時生爭議,故個資會籌備處參酌憲法法庭111年憲判字第13號判決意旨,將該定義修正為:運用當時存在技術方法,使該個人資料「依其呈現方式至少已無從直接識別特定自然人」,但不排除仍有間接識別之可能。
二、「個人資料檔案安全維護管理辦法」(下稱「個資安維辦法」)草案
現行法下,民間企業僅在適用於目的事業主管機關公布之特定產業及範圍的辦法時,始須遵循較具體的規範義務,例如建立個人資料安全維護計畫及落實相關安全措施。
為確保規範一致性並提升個資保護管理水準,在此草案下,所有公務機關及非公務機關均須遵循「共通安全維護措施」;對公務機關及具一定規模、保有大量個人資料檔案之「大型非公務機關」,則須採取額外加強措施。規範分為兩個層級:
1. 共通安全維護措施:規定於草案第二章第5條至第15條,適用於所有公務機關或與公務機關,內容包括:定期清查個資現況及界定管理範圍、通報、通知及應變機制、人員安全管理、教育訓練、設備與資通系統之安全管理、業務終止後之刪除銷毀等。若保有特種個人資料(病歷、醫療、基因、性生活、健康檢查及犯罪前科等),則依草案第11條須採取特別的資料安全管理措施。
2. 強化安全維護措施:規定於草案第三章第16條至第26條,僅適用於公務機關及大型非公務機關。大型非公務機關係指非屬中小企業之公司、有限合夥或商業,並保有個人資料檔案達一萬筆以上者。公務機關及大型非公務機關須訂定個人資料檔案安全維護計畫,指定專責人員、執行小組及查核人員,建立個資檔案盤點清冊及流程說明文件,每年進行風險評估、內部稽核及對受託者之稽核(如適用),並採取其他草案要求之加強安全措施。
此外,特定行業之非公務機關於個資法修正條文施行後,若經行政院公告仍由目的事業主管機關管轄,且該主管機關已訂定特定行業個人資料安全維護辦法者,仍應優先適用該等規範。但如本個資安維辦法規定較嚴格,則應從嚴適用。
三、「個人資料事故通知通報及應變辦法」草案
個資法修正條文已明文要求,當知悉所保有之個人資料遭竊取、竄改、毀損、滅失或洩漏時,應履行通知當事人及通報主管機關之義務。本草案依據前述規定授權訂定,重點如下:
1. 通知當事人:於知悉個資事故時起72小時內,應以適當方式個別通知當事人,惟無法個別通知或於符合特定情形,得以網際網路、新聞媒體或其他適當方式連續公開至少30日。草案並規範通知內容及方式。
2. 通報主管機關:如事故涉及特種個資、所涉資通系統保有個資筆數達一萬筆以上、或所影響個資筆數達一百筆以上,應於知悉時起72小時內,依指定方式進行通報。草案並規範通報內容及特殊情事下無法依規定通報之處理方式。
此外,草案亦規範事故發生後應採取之應變措施,以及事故調查紀錄之記載事項與保存期限。關於委託關係,受託機關於本法適用範圍內知悉個資事故時,視為委託機關已知悉,並應立即通知委託機關。若受託者未履行其通知義務,仍須由事故機關承擔違反個資法相關義務之責任。
上述草案預告期為60日,期間公開徵求各界意見。由於預告草案可能對各產業的民間企業產生重大影響,相關立法進程值得業界密切關注。本所設有「數位產業、通訊傳播與個資保護專業分工小組」,如對於相關法規有任何疑問,敬請不吝與該小組專家聯繫。