{"total":1,"total_page":1,"page":1,"limit":500,"filter":{"版本編號":["01829:2025-10-17-修正"],"條號":["第十二條"]},"id_fields":["法條編號"],"sort":["法律編號","版本編號<","順序<"],"lawcontents":[{"法律編號":"01829","法律編號:str":"個人資料保護法","版本編號":"01829:2025-10-17-修正","順序":15,"條號":"第十二條","內容":"公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。\n　　前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：\n　　一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。\n　　二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。\n　　第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。\n　　前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。","法條編號":"01829:01829:2025-10-17-修正:15","立法理由":"一、原條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。原「或其他侵害」一語，易生誤解，爰併予刪除。\n　　二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，原條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regu-lation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。\n　　三、原條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。\n　　四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。\n　　五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫－Do執行－Check查核－Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。\n　　六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。","現行版":"現行","版本追蹤":"new"}],"supported_filter_fields":["法律編號","版本編號","順序","條號","現行版","版本追蹤"]}