中華民國一百十二年五月三十一日總統華總一經字第 11200045441 號令修正公布第 48、56 條條文;並增訂第 1-1 條條文;除第 48 條條文自公布日施行外,其餘修正條文施行日期由行政院定之
第 1-1 條
本法之主管機關為個人資料保護委員會。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
一、本條新增。
二、就個人資料之保護而言,除應以法律明確訂定蒐集、處理及利用個人資料之目的及要件外,應對所蒐集之個人資料採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨。前述組織上與程序上必要之防護措施中,個人資料保護之獨立監督機制為重要之關鍵制度。此一獨立監督機制之目的,在於確保個人資料蒐集、處理及利用者,均符合本法規定(憲法法庭一百十一年憲判字第十三號判決參照)。考量本法需監督之對象廣泛、監督職權複雜且涉及公權力行政事項,採設置統籌性之獨立監督機關,擔任本法主管機關,以完足憲法第二十二條對人民資訊隱私權之保障,爰於第一項明定本法之主管機關為個人資料保護委員會。有關該獨立監督機關之組織,將依中央行政機關組織基準法第四條第一項第二款規定,另以法律定之。
三、第二項增訂自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
中央社 2023-05-16 立院三讀 非公務機關個資外洩最高罰1500萬元
(中央社記者林敬殷台北16日電)立法院今天三讀通過個人資料保護法部分條文,明定「個人資料保護委員會」為個資法主管機關,且為獨立機關。法案三讀過後,籌備處預計在今年8月成立,個資保護委員會正式掛牌前,還必須先送組織法草案到立院審查。
對於何時成立個人資料保護委員會,國發會主委龔明鑫當天表示,籌備處預計在今年8月成立,初期會有40人到50人,正式成立後隨業務量調整,編制到100人是可能的。
第 48 條
[1]非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
[2]非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
[3]非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
現行條文列為第一項,考量第四款違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務中止後個人資料處理方法之情形,不宜於限期改正而屆期未改正始予處罰(白話講就是應該要先處罰),爰將第四款分列第二項及第三項規範,修正渠等情形之裁罰方式,採裁處罰鍰並命限期改正之處分,並提高罰鍰金額。(第三項則是針對情節重大的)
又為加強督促違反上開義務之行為人儘速改善個人資料保護措施,就屆期未改正者,加重處罰額度為新臺幣十萬元以上一千萬元以下。另考量違反安全維護義務情節重大者,將可能造成多數當事人權利侵害,於第三項增訂裁處較重罰鍰之規定。
審查會:第二項及第三項除句末「…處新臺幣十萬元以上一千萬元以下罰鍰…」修正為「…處新臺幣十五萬元以上一千五百萬元以下罰鍰…」,其餘內容照行政院提案通過。
—
第 27 條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
經濟日報 2023-06-12 個資法修法提高罰則 公會業者盼執法時能詳盡調查
…個資法的修正更是大幅提高對於民間企業個資外洩的相關罰則,個資法第48條針對非公務機關違反安全維護義務的裁罰方式及額度,改為逕行處罰同時命其改正,並提高罰鍰上限,處新台幣2萬元以上、200萬元以下罰鍰;情節重大者可處15萬元以上、1,500萬元以下罰鍰;屆期未改正者,按次處15萬元以上、1,500萬元以下罰鍰。
…對於日前已修法通過的個資法,許生忠(中華民國無店面零售商業同業公會秘書長)說,個資法已經在6月2日正式上路,但修法後賦予民間企業相當嚴苛的任務,爾後假使民間企業被認定違反維護安全義務的話,最高的罰款將提高75倍,且是先罰再改正,屆期未改正將可按次處罰,「我們對於這樣的個資法修正表示遺憾」,因為民間企業他的系統被駭,不代表這個企業沒有善盡他的義務,很有可能是客戶自己本身帳號密碼被駭客盜取,也很有是上下游合作的廠商他們的系統並沒有做好維護,他也呼籲,未來行政單位在執行個資法個權責時,應該要詳實的進行行政檢查之後,再來決定是否要裁處。
第 56 條
本法施行日期,由行政院定之。
本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條,自公布日施行。
一、第一項未修正。
二、修正條文第四十八條規定係為遏止個人資料外洩事件,加強個人資料保護,應自公布日施行,爰修正第二項。另修正條文第一條之一為配合本法主管機關設立之配套規定,涉及政府組織調整相關進程,其施行日期依第一項規定係由行政院定之,併予敘明。
三、現行條文第三項及第四項係有關本法一百零一年十月一日施行時,廢除電腦處理個人資料保護法規定之申請登記、執照制度、退還已繳規費等事宜之過渡條文,因現行已無相關案例可茲適用,爰予刪除。