2026.05.25
企業老闆不可不知的個資法修法重點與行政裁罰因應
本文更新日期:2026年5月25日
近年來詐騙簡訊氾濫、企業會員資料外洩事件頻傳,為強化民眾資訊隱私權保障,114年底大幅度修正了《個人資料保護法》。本次修法不僅正式確立「個人資料保護委員會(個資會)」為獨立的單一主管機關,更針對企業在面對個資外洩時的「通報」、「應變」與「處罰機制」祭出較為嚴格的標準。若不幸遭遇駭客攻擊或內部員工洩密,企業應如何自保?本文將帶您快速掌握最新法規與實務應對策略。
【個資法修法比較】
| 修法前(舊制) | 修法後(114年新制) | |
|---|---|---|
| 主管機關 | 各目的事業主管機關分散管理(如金管會、經濟部) | 統一由獨立機關「個人資料保護委員會」專責管轄(設有過渡期) |
| 通知當事人時機 | 須「查明後」確認有違反本法規定,才通知當事人 | 知悉發生竊取、洩漏等事故時,即應通知當事人(刪除「查明後」要件) |
| 主管機關通報義務 | 未明文強制所有事故皆須通報 | 發生事故且符合一定範圍,強制要求向主管機關通報 |
| 未通報之罰則 | 通常給予「限期改正」寬限期,屆期未改才處罰 | 取消寬限期,直接開罰新臺幣2萬至20萬元,屆期未改正按次處罰 |
| 主動行政檢查權 | 多在民眾檢舉或發生重大爭議時才介入 | 主管機關為檢視企業落實狀況,認為有必要時,即可主動進行風險評估與行政檢查 |
修法重點
•
「取消寬限期,直接開罰」
過去企業發生個資外洩,如果不通報,主管機關通常只能先「限期改正」,沒改正才能開罰。但實務上,這反而讓許多企業在發生外洩當下選擇「先掩蓋再說」。現在規定變嚴格了!當企業發生個資被竊取或洩漏等事故時,如果沒有依法向主管機關「通報」、未採取「應變措施」或沒有「保存紀錄」,主管機關可以直接開罰新臺幣 2萬元到20萬元,並且按次處罰。此外,修法也刪除了過去通知民眾前要先「違反本法規定」與「查明後」的模糊字眼。也就是說,企業一旦「知悉」外洩事故發生,首要任務就是趕快通知受害民眾,不能再以「還在調查中」為由拖延通報。
•
主動出擊的「行政監督」機制
為了防患於未然,修法賦予了個資會更強的「行政檢查權」。過去可能要有民眾檢舉或出事了才去查;現在,即使還沒有明顯的違法事證,主管機關為了檢視企業落實個資法的狀況,只要評估有必要,就可以主動發動行政檢查。而且,受檢單位如果「無正當理由」規避、妨礙或拒絕檢查,同樣會面臨 2 萬到 20 萬元的罰鍰
•
增設「個資保護長」與實質懲處
「難道只有企業會被罰,政府機關外洩個資就沒事嗎?」這是許多民眾的疑問。這次修法特別針對公家機關補起了大破洞:
1.
設立「個人資料保護長」:明文規定公務機關必須由機關首長指派適當人員兼任「個資保護長」,統籌推動防護機制。
2.
公布機關名稱與連坐懲處:如果公務機關違法且未依限期改正,主管機關可以直接「公布該公務機關的名稱及其違法情形」。更重要的是,未依法辦事的公務員,將面臨實質的咎責,依據公務員懲戒法、考績法等規定被懲戒或懲處。
遇到更複雜的狀況,不確定如何處理嗎?歡迎提供相關文件,預約我們的法律諮詢服務,讓專業律師為您評估最佳策略。
常見的爭議點有哪些?(Q&A)
Q1:我們發現系統有異常存取,但「還不確定」到底有沒有客戶資料被盜走,這樣也要通報嗎?
A:114年新修法特別刪除了「查明後」的文字,目的就是為了避免企業以此為藉口拖延。實務上,若已有明確客觀跡象顯示資料「疑似」遭不法存取,企業就應視規模啟動預防性應變與評估。若達到法定通報門檻,即應先向主管機關進行初步通報,後續再依調查進度補陳細節,以避免被認定為「隱匿不報」而遭直接開罰。
Q2:如果個資是因為我們的「委外資訊廠商」被駭客攻擊而洩漏,主管機關是罰廠商還是罰我們公司?
A:委託方(企業)對於受託方(資訊廠商)負有適當監督的義務。若企業無法證明在委託過程中已盡到選任與監督的責任(例如有無定期稽核廠商的資安標準),主管機關通常會認定企業本身亦違反安全維護義務,進而對企業(個資保有機關)開罰。因此,與供應商簽訂嚴格的個資保密與資安稽核條款至關重要。
Q3:聽說修法後最高可以罰到 1,500 萬,是真的嗎?
A:是的。結合先前112年的修法,若企業未依規定訂定「個人資料檔案安全維護計畫」或業務終止後的處理方法,且「情節重大者」,主管機關可處新臺幣 15 萬元以上、1,500 萬元以下之重罰,並可按次處罰。
Q4:法規提到的「個資會」已經開始運作了嗎?我們還要向經濟部或金管會通報嗎?
A:本次修法明定個人資料保護委員會為單一主管機關。但為避免實務衝擊,法規設有「6年過渡期」;在個資會正式接管前,部分業務仍可能由原目的事業主管機關暫時管轄,企業應密切關注行政院發布的最新指定管轄公告。
本文內容僅為法律資訊之整理,非屬個案之正式法律意見;相關法規及實務見解可能隨時變動,實際情形仍應諮詢專業律師。
【作者簡介】
理鴻法律事務所 郭柏鴻律師(德國慕尼黑大學法學碩士)
律師證號:106臺檢證字第13414號
專長:公司法、勞資爭議、不動產、工程法律、個資法
聯絡方式:加入官方Line(ID: @kl.legal)或點擊下方 Line 按鈕
回上一頁
