個資會籌備處預告安維辦法草案 大型非公務機關個資管理升級

(中央社訊息服務20260127 16:59:28)個人資料保護委員會籌備處（下稱「籌備處」）1月22日預告《個人資料檔案安全維護管理辦法》草案，作為日後公務機關及非公務機關推動個人資料治理之統一依循標準。

李怡親律師表示，本次預告草案明訂「共通安全維護基準」，提供非公務機關一套一致且具體的遵循架構；惟若產業中央目的事業主管機關已制定相關規範，則應由該主管機關規範優先適用。但若本辦法就特定事項訂有更嚴格之要求，仍應優先依本辦法辦理，以兼顧制度一致性與必要之加強管理。

預告草案亦將非公務機關保有個人資料檔案筆數之計算基準明文化，採「單日所保有每一自然人之每一蒐集特定目的」加總計算，使機關能更精準進行自我盤點並判斷其個資規模與風險等級。針對特種個資，草案亦要求採取更嚴格的管理措施，包括載有特種個資之媒介管制、媒體銷毀與報廢之防護流程、備份資料之安全管理，以及檔案與資料之加密、傳輸與安全銷毀機制等。

在分級管理方面，預告草案依比例原則增訂「大型非公務機關」之定義，明訂為「排除資本額一億元以下或員工人數未滿二百人，且個資檔案筆數達一萬筆以上之非公務機關」。此類機關相較一般小型組織，具備較充足之法遵與資訊安全資源，且保有一定規模之個人資料，若發生個資事故，對民眾權益及社會信賴之影響更為重大；因此本辦法要求其採行較高密度的強化管理機制，包括：

•　指定個資專責管理人員與查核人員（兩者不得兼任），並設置個資保護管理小組
•　每年至少一次辦理：
－個資盤點與風險評鑑
－個資事故模擬演練
－差異化的通識與專業個資教育訓練
－內部稽核與委外廠商稽核
•　存放個資媒介物的強化管理措施
•　自行或委外設置、開發之蒐用資通系統的資安與實體安全防護；尤其提供對外服務之系統，應於上線前完成源碼檢測、弱點掃描、滲透測試及相關漏洞修補

李怡親律師指出，此次預告草案的核心價值，在於藉由風險分級與量化門檻，使機關與企業更清楚理解「自身是否屬於特定規模」及「個資保護責任應達到何種程度」。過往實務上，業者常對於是否所有與個資相關之紀錄均須保存5年存有疑義，亦面臨操作困難。本次預告草案明確調整為保留日誌至少6個月，兼顧資安事件潛伏期短與業者日常軌跡資料量大之現實環境，能有效降低儲存空間成本壓力，並讓業者更能具體掌握其責任範圍。

詳細預告內容請詳，個人資料保護委員會籌備處公告：預告「個人資料檔案安全維護管理辦法」草案－眾開講－公共政策網路參與平臺https://join.gov.tw/policies/detail/5860d092-ac75-48ba-abd8-fdac12bd00df。