新版《個人資料保護法》112年5月公布施行 對企業違法行為可直接開罰最高達1500萬
《個人資料保護法》(以下稱個資法)自99年公布及104年俢正至今已行之多年,112年5月16日立法院三讀通過新版個資法(簡稱個資法3.0),112年5月31日公布並施行,此版行政處罰力道之重,將其稱為個資法3.0威力加強版一點都不為過。近期社會關切之重大矚目個人資料外洩案件,例如華航、格上租車以及iRent等公司發生個資外洩事件,為回應各界對企業違反安全維護義務罰責過低的聲浪,且對企業採先命改正後處罰的消極規範,無法責成企業強化個人資料安全維護作為,促使企業重視且加強投入人力、技術及成本實施各類防護措施,落實保護持有個人資料之責任。本次修法改變最主要的影響是行政機關無需等企業完成改正,即可視企業違法情節輕重直接開罰最高達1500萬,將違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處2萬元以上200萬元以下罰鍰;情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
完善個資檔案安全維護計畫與安全措施 形塑企業個資保護內部控制三道防線
任何持有個人資料的企業對個資法3.0都不應等閒視之,尤其是營運活動涉及大量蒐集、處理、利用個人資料的企業,更應加強檢視自身「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」訂定的完整性,以及落實執行情況,確保保有個人資料檔案的企業,為達成個人資料保護目的,防止個人資料被竊取、竄改、毀損、滅失或洩漏,已依企業自身規模、持有個人資料數量、種類(如:病歷、醫療、基因、性生活、健康檢查及犯罪前科之特種個人資料)等不同情況,依比例原則適當採取技術上及組織上相關安全措施,包括(一)配置管理之人員及相當資源;(二)界定個人資料之範圍;(三)個人資料之風險評估及管理機制;(四)事故之預防、通報及應變機制;(五)個人資料蒐集、處理及利用之內部管理程序;(六)資料安全管理及人員管理;(七)認知宣導及教育訓練;(八)設備安全管理;(九)資料安全稽核機制;(十)使用紀錄、軌跡資料及證據保存;(十一)個人資料安全維護之整體持續改善。常言道「他山之石,可以攻錯」,金融服務業因持有大量特種個資,且長久以來為金管會高度監理行業,在個資保護機制在監理要求下,具備更完整的安全措施,除上述安全措施外,另要求針對電子商務系統建立防止外部外網入侵對策、監控異常使用或非法行為,以及相關因應、演練、檢討、改善機制,並加強管理人員權責和權限,且定期自我評估個資安全維護執行情況,形塑企業有效保護個資的內部控制三道防線(包括內控自行評估制度、法令遵循與風險管理制度、內部稽核制度),一般企業除了遵循個資法及個資法施行細則規範內容外,亦可檢視自身所處風險環境參考學習採納。