一、前言

　　近年來，國內企業發生多起客戶個人資料外洩事件，不僅嚴重侵害當事人之隱私權，外洩之個人資料也恐遭詐騙集團利用，進而損害當事人之財產權。為加強企業對個人資料之保護，個人資料保護法（下稱個資法）於民國112年5月31日修正公布第48條第2項規定：「非公務機關違反第二十七條第一項（編按：即未採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏）或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。」及同條第3項規定：「非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，其情節重大者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。」將非公務機關（下稱「企業」）違反安全維護義務之裁罰方式及金額，從「限期改正，屆期未改正始予處罰」改為「直接處罰並命限期改正」，並大幅提高裁罰金額為新臺幣（下同）2萬元以上200萬元以下罰鍰；情節重大者，處15萬元以上1,500萬元以下罰鍰。屆期未改正者，按次處15萬元以上1,500萬元以下罰鍰。是以，在違反個資法大裁罰時代下，企業應如何確保其運作符合個資法之規定，已成為當前重要課題。為此，本文擬說明企業應如何落實個人資料安全維護義務，以及應如何處理個人資料外洩事故，始能降低企業遭主管機關裁罰之風險。

二、個人資料安全維護義務

（一）採行適當之安全措施

　　個資法第27條第1項規定，企業保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。所謂「適當之安全措施」，依個資法施行細則第12條規定，係指企業為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。企業得考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上與組織上之措施。前述措施得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：一、配置管理之人員及相當資源；二、界定個人資料之範圍；三、個人資料之風險評估及管理機制；四、事故之預防、通報及應變機制；五、個人資料蒐集、處理及利用之內部管理程序；六、資料安全管理及人員管理；七、認知宣導及教育訓練；八、設備安全管理；九、資料安全稽核機制；十、使用紀錄、軌跡資料及證據保存；十一、個人資料安全維護之整體持續改善。謹例舉法院曾認定係適當安全措施之具體內容如下圖供參¹：

（二）訂定並落實個人資料檔案安全維護計畫

　　有鑑於某些企業因保有大量且重要之客戶個人資料，為課予其較重之安全維護義務，個資法第27條第2項遂規定，中央目的事業主管機關得指定特定之業者，要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，以確保個人資料之安全維護。

　　以從事化粧品批發或零售之企業為例，依化粧品批發零售業個人資料檔案安全維護計畫實施辦法規定，倘若企業已辦理公司、商業或有限合夥設立登記，且資本額3,000萬元以上，並有招募會員或可取得交易對象個人資料，則該企業就必須訂定個人資料檔案安全維護計畫。惟本文建議，即便企業非屬中央目的事業主管機關指定之企業，亦得自主訂定並落實個人資料檔案安全維護計畫，藉此降低發生個人資料外洩事故而遭當事人求償之風險。

三、個人資料外洩事故之處理

（一）通知當事人

　　個資法第12條規定，企業違反個資法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。所謂適當方式通知，依個資法施行細則第22條規定，係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護（不揭示可直接或間接識別當事人之個人資料），以網際網路、新聞媒體或其他適當公開方式為之。另外，為使當事人能有知悉其個人資料遭受非法侵害之情形，企業通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。

　　再者，依國家發展委員會發法字第1090017079號函釋之見解，提供網路賣家販售商品之網際網路零售服務平台業者，於個資外洩雙方責任未確定時，倘外洩之個資（例如當事人電話號碼）係平台業者及網路賣家均有蒐集者，縱未確認雙方違法責任，平台業者即應查明事實，以適當方式迅速通知當事人。是以，個人資料外洩事故發生時，縱使尚未確認係企業違反個資法，企業於發現個人資料有外洩情事，即應查明事實，以適當方式迅速通知當事人，以免延宕通知而致當事人遭受其他不測侵害或損失。

（二）通報主管機關

　　多數中央目的事業主管機關所訂定之「個人資料檔案安全維護計畫實施辦法」及「個人資料檔案安全維護管理辦法」皆有規定，企業所持有之個人資料發生被竊取、洩漏、竄改或其他侵害事故者，除依個資法第12條規定通知當事人外，應於發現事故時起72小時內，通報直轄市、縣（市）主管機關及通知中央主管機關，使主管機關得依個資法第22條規定辦理行政檢查，並視檢查結果為後續處置。

（三）上市、上櫃及興櫃公司應發布重大訊息

　　上市及上櫃公司發生個人資料外洩事故，造成公司重大損害或影響或單一事件罰鍰金額累計達100萬元以上者，應於事實發生日起次一營業日交易時間開始2小時前，即隔日上午7點前將重大訊息內容或說明輸入公開資訊觀測站。但於其前發布新聞稿者，則應同時輸入²。至於興櫃公司發生個人資料外洩事故，造成公司重大損害或影響或單一事件罰鍰金額達10萬元以上者，亦應於事實發生日之次一營業日交易時間開始2小時前，即隔日上午7點前將重大訊息內容輸入公開資訊觀測站。但於其前發布新聞稿者，則應同時輸入³。

（四）上市、上櫃及興櫃公司應召開重大訊息說明記者會

　　上市及上櫃公司發生個人資料外洩事故造成公司重大損害或影響，且扣除其依保險契約設算獲賠金額後之預估損失超過該公司實收資本額百分之二十或3億元以上者（股票為無面額或每股面額非10元者，有關實收資本額百分之二十部分改以淨值百分之十計算），應召開重大訊息說明記者會⁴。至於興櫃公司發生個人資料外洩事故造成公司重大損害或影響，且扣除其依保險契約設算獲賠金額後之預估損失超過該公司實收資本額百分之二十或3億元以上者（股票為無面額或每股面額非10元者，有關實收資本額百分之二十部分改以歸屬於母公司業主之權益百分之十計算），亦應召開重大訊息說明記者會⁵。

（五）涉及資通安全事件應記載於年報

　　依公開發行公司年報應行記載事項準則第18條第6款規定，公開發行公司之年報應列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。是故，倘若公開發行公司發生個人資料外洩事件且涉及資通安全，則公開發行公司應於年報列明因重大資通安全事件所遭受之損失、可能影響及因應措施。

四、結語

　　面對個資法大裁罰時代之挑戰，本文建議企業應落實個人資料安全維護義務，包括採行適當之安全措施及訂定並落實個人資料檔案安全維護計畫等，以避免個人資料外洩事故發生而被當事人求償，並降低遭主管機關裁罰之風險。此外，當發生個人資料外洩事故時，企業應迅速通知當事人並通報主管機關；倘若企業為上市、上櫃及興櫃公司者，在符合一定條件下應發布重大訊息或召開重大訊息說明記者會，並於年報中揭露，以避免遭主管機關裁罰。
 

¹ 參考自臺灣臺北地院112年度訴字第2854號民事判決、111年度北簡字第16345號民事判決、111年度訴字第5578號民事判決及臺灣士林地院107消字第6號民事判決。
² 臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序（下稱「上市公司重大訊息處理程序」）第4條第1項第26款及第6條第1項第1款；財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序（下稱「上櫃公司重大訊息處理程序」）第4條第1項第26款及第6條第1項第1款。

³ 財團法人中華民國證券櫃檯買賣中心證券商營業處所買賣興櫃股票審查準則（下稱「興櫃股票審查準則」）第34條第1項第21款。

⁴ 上市公司重大訊息處理程序第11條第1項第9款；上櫃公司重大訊息處理程序第11條第1項第9款。

5 興櫃股票審查準則第35條第1項第8款。