公私機關個資外洩擬72小時內通報　且須通知當事人

（中央社記者賴于榛台北31日電）依據去年三讀的個資保護法，個資保護委員會籌備處近日預告配套4項子法草案，其中明定公務機關或非公務機關，若發生特種個資、超過100筆以上等個資外洩事故，除須於72小時內通報主管機關，同時原則上也應在相同時間內，個別通知當事人。

立法院會去年三讀修正通過個資保護法部分條文，三讀條文規定，公務機關應設置個人資料保護長、公務機關或非公務機關遇有個人資料洩漏等事故有通報義務等。不過，個資保護委員會組織法修正草案尚未獲立法院三讀，個資法主管機關維持現行由各目的事業機關負責。

個資保護委員會籌備處22日預告個資保護法配套的4項子法草案，預告期60天。個資事故通知通報及應變辦法草案部分，明定公務機關或非公務機關（事故機關），若發生特種個資、超過100筆以上個資、資通系統保有個資筆數達1萬筆以上的個資外洩事故，必須在72小時內通報主管機關。

依據個資法，公務機關指依法行使公權力之中央或地方機關或行政法人；非公務機關則是指公務機關以外的自然人、法人或其他團體。

籌備處官員受訪指出，72小時通報是參考國際潮流，包含歐盟、南韓、日本目前都是以此為原則，個資保護委員會未來也會建立網路通報系統平台，待草案生效後，若有上述個資外洩事故，事故機關可直接通過平台通報。

除72小時通報主管機關，草案要求，事故機關知悉所保有的個資被竊取、竄改、毀損、滅失或洩漏時，也應於知悉時起的72小時內，以適當方式個別通知當事人。官員說，原則上都要個別通知，除非相關個資有加密保護措施，縱使外洩也無法讀取內容，才能例外以公告方式告知。

草案也要求事故機關在知悉個資事故後，應以書面或電子方式製作相關紀錄，且至少保存5年，若其他法規要求保存期限較長，則從其規定。

此外，個人資料保護長及相關人員職掌職能條件及訓練辦法草案則明定，公務機關個資長由機關首長指派副首長、幕僚長，或是一級主管以上人員擔任。對於個資長擔任人選的範圍較廣，官員說，主要是擔心機關副首長兼任過多職務，因此草案給予首長更多彈性，可視機關屬性綜合考量人選。

透過 Google News追蹤中央社

草案考量實施初期各公務機關對於專業人力及執行經驗恐有不足，因此參考歐盟關於個人資料保護官（DPO）專業能力要求的精神，以及參考韓國關於首席隱私保護官（CPO）的專業能力與經歷條件，明定個資長在任職後1年內須完成或取得訓練或證照、證書相關規定。

個人資料檔案安全維護管理辦法草案部分，重點是「分級規範、風險導向」，要求公務機關與大型非公務機關都一定要有安全維護計畫、類似公務機關的專人與查核人員執行小組、個資檔案盤點、對保有的個資檔案進行風險評估、個資事件通報演練等。（編輯：林克倫）1150131

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。