You are currently viewing 個資法2025年修正重點解析:個資保護委員會權責與治理變革

個資法2025年修正重點解析:個資保護委員會權責與治理變革

2025 年 10 月 17 日立院三讀通過《個人資料保護法》部分條文修正;2025 年 11 月 11 日總統公布,新條文的施行日期由行政院另定。此次修法核心是確立「個人資料保護委員會」(PDPC)為單一、獨立主管機關,並強化外洩通報、行政監督與稽核權限。本文比較修法前後的主要差異,協助各界理解新法帶來的變革。

一、個資保護委員會與治理結構:由分散到集中

(一)新制要點

  • 第 1-1 條:明定本法主管機關為 PDPC。
  • 第 21 條:國際傳輸限制權限集中由 PDPC 行使(自目的事業主管機關移轉)。
  • 第 1-2 條:中央及地方政府負有推動個資保護的政策責任。
    → 意義:監理與政策由「分散的目的事業主管機關」改為「PDPC 統籌」,提升一致性與可預測性。

(二)六年過渡條款(第 51-1 條)

  • PDPC 成立後的 6 年內,行政院得公告一定範圍的非公務機關仍由其行業主管機關或地方政府監管,並每 2 年檢討減列,逐步收攬至 PDPC。

二、公務機關內部個資保護的強化:從「指定專人」到「設置保護長」

(一)設置保護長(第 18 條)

  • 公務機關應設「個人資料保護長」,由機關首長指派兼任,並配置適當人力與資源。
  • 公務機關對依法執行職務之人員,不得為不利處分或管理措施(執法保障)。
    → 管治層級上移,責任與資源綁定機關首長。

(二)行政監督專章(第三章之一;第 21-1 至 21-5 條)

  • 公務機關須每年提出實施情形報告,受上級機關及 PDPC 之督導/稽核。
  • PDPC 得為實地檢查、命限期改正,並得公布違法機關及其事實。
  • 情報機關不適用本節規定。

三、資料外洩(個資事故)管理:通報義務大幅強化

(一)通知當事人(第 12 條)

  • 公務及非公務機關一經「知悉」發生竊取、竄改、毀損、滅失或洩漏等事故,即應通知當事人(不再以「違反本法」且「查明後」為前提)。
  • 通報內容、方式、時限、範圍、應變、紀錄保存等細節,由 PDPC 訂子法。

(二)通報主管機關(第 12 條第 2 項)

  • 達到「一定通報範圍」:公務機關須向 PDPC 及上級機關通報;非公務機關須向 PDPC 通報。

(三)採取有效應變、留存紀錄(第 12 條第 3 項)

  • 公務及非公務機關應對於個資事故,均應採取即時有效的應變措施、並留存紀錄。

(四)罰則同步強化(第 48 條)

  • 未依第 12 條第 2 項、第 3 項,進行通報、應變、紀錄等義務者可處罰鍰。

四、非公務機關監理:檢查、裁處與安全維護事項

(一)行政檢查與裁處權限集中(第 22、25 條)

  • 改由PDPC 掌理對非公務機關的檢查、資料扣留或複製、要求提供文件證據、命限期改正與裁處。

(二)強制實施安全維護事項(第 20-1 條)

  • 刪除舊第 27 條,改由第 20-1 條統一規範,非公務機關均應辦理「安全維護事項」,並授權PDPC 定相關辦法

五、救濟新制:直接向行政法院救濟

配合 PDPC 獨立機關定位,簡化救濟路徑:

  • 對 PDPC 的行政處分不服,逕提行政訴訟
  • 過渡期內由目的事業主管機關等作成之處分,先向 PDPC 提訴願。
    → 配合 PDPC 獨立機關定位,簡化救濟路徑。

六、與舊制比較(速覽)

面向2025年新法舊法影響
主管機關PDPC 統一監理分散於各目的事業主管機關/地方政府一致性與可預測性提升
外洩通知「知悉即須通知當事人」;達到「一定範圍」內應向 PDPC 通報。「違反本法」且「查明後」才通知當事人。通報更早更嚴,延誤風險增
公務機關保護長、年度報告、實地檢查指定專人、缺乏外部監督責任上提、可被公布
非公務機關安全維護事項(第 20-1)+ PDPC 檢查裁處舊第 27 條、權限分散管理與裁處集中
國際傳輸由 PDPC 統一限制/管理由各目的事業主管機關各自為政跨境規範一體化
救濟逕提行政訴訟(對 PDPC)先訴願、再訴訟路徑簡化、定位一致

七、企業因應修法工作清單

  1. 事故通報 SOP:定義「知悉」時點、通報判準(一定通報範圍)、24–72 小時節點、對外訊息與客服訓練。
  2. 角色責任:法遵/資安/客服/公關分工;董事會或高階管理層追蹤。
  3. 紀錄保存:事故事實、影響範圍、因應措施、復原與補救;保存年限與查核可得性。
  4. 安全維護事項:未來 PDPC 將依第 20-1 條制訂相關辦法(包括:加密方式、最小蒐集原則、供應鏈/委外管理 等),企業應隨時留意修法動態。
  5. 跨境盤點:資料類型、接收地、接收者、傳輸機制;預擬 PDPC 限制或許可的替代路徑。
  6. 對外合約:針與雲端/委外客服/行銷/分析服務,檢討個資處理流程及標準。
  7. 教育訓練:新制上線前完成全員通報與應變訓練;高風險單位(行銷、客服、產品、IT)加強場景演練。

2025 年的個資法大修法,將臺灣工務及非公務機關的個資保護,推展到「單一監理機關」 、「強化通報」 及「可稽核」的新階段。企業與機關應時刻關注 PDPC 子法與過渡期分工的細節落地,並落實個人資料盤點、演練通報、補齊紀錄及證據保存,以在新制施行時無痛接軌。

Tags: