民間司法改革基金於2025年5月29日，針對行政院2025年3月27日公布之「個人資料保護法法」草案，提出民間版個資保護法修正案，謹供各界參酌。

為建立我國個人資料保護獨立監督機制，並深化落實個人資料保護，我國行政院於2025年3月27日提出「個人資料保護委員會」組織法草案，以及「個人資料保護法」部分條文修正草案，擬將設置個人資料保護委員會作為獨立監督機關，並賦予該機關統一受理事故通報等必要監管職能，以符現行先進國家個人資料保護監管模式之國際趨勢。綜觀行政院本次提出之「個人資料保護法」部分條文修正草案，相較於現行法規雖已有進步，然內容似有應變效率不彰、保護當事人權益不周等缺失，茲說明如下：

一、    增修敏感資料類別：修正草案第6條，本會認為應增列「種族或民族背景」、「政治意向」、「宗教信仰」、「工會會員身份」四類資料，以強化對特定敏感類別個人資料之保護，且該等資料亦屬足以嚴重影響權益之敏感資料，應納入保護範疇。

二、個資侵害事件通報方式與對外公告：修正草案第12條，本會認為公務機關及非公務機關應「以適當方式即時」將個資侵害事件之「具體內容」通知受害主體，並通報主管機關，且主管機關於必要時，亦得要求該等機關「對外公告」個資侵害事件及其內容，以使各界得適時採取因應措施。

三、    修正草案第15條，本會認為應刪除第三款「對當事人權益無侵害」之規定，原因如下：

1.蓋該例外規定已與資訊流通多繁之今日相去甚遠，適用上不僅無從確認是否全無影響任何個人權益，且第一、二款規定，亦足以使公務機關完成個人資料之蒐集；

2.另外，保留此一例外規定，恐會使公務機關在非法蒐集或處理個人資料後，據此辯稱對當事人無侵害，進而造成人民隱私遭嚴重戕害。

四、修正草案第16條，本會認為應刪除第一項第六款「有利於當事人權益」之規定，理由同「三、」所述。

五、修正草案第18條，本會認為主管機關依第五項訂定相關辦法時，應包含個人資料保護長等人員之專業知識、經驗及應取得之資格認證門檻等，並明訂細節性之「資格取得、兼任及兼職等限制」，以制度保障該等人員行使職權之獨立性，並避免利益衝突。

六、修正草案第19條，本會認為應刪除第一項第八款「對當事人權益無侵害」之規定，理由同「三、」所述。

七、修正草案第20條，本會認為應刪除第一項第七款「有利於當事人權益」之規定，理由同「三、」所述。

八、修正草案第21-1條，因現行法規僅有上級機關對下級機關之內部稽核制度，故本會認為應增訂「外部稽核」條款，即主管機關應「定期委託外部獨立機構進行抽樣、查核」，並「建立公開揭露機制」，以確保稽核結果客觀中立，並避免產生內部形式稽核、輕忽風險等問題。

九、修正草案第21-2條，本會認為主管機關稽核公務機關實施個人資料保護管理事項之結果，應「至少每兩年主動公開」，以供各界檢視執行成效。

十、修正草案第21-4條，因現行法規僅針對非公務機關違反本法時有相關罰則，本會認為此部分應有缺漏，故增訂公務機關所屬人員未依本法規定辦理時，應依「主管機關訂定之懲處事項辦法」進行懲處，以明定相關懲處之法源依據。

十一、增訂第48-1條，本會認為本法長年未訂定公務機關違反本法相關規定時之明確罰則，應非妥適，爰比照非公務機關相關罰則規範，增訂公務機關違反其第21-4條時之罰則。

十二、修正草案第51-1條，目前給予主管機關長達六年之建置時間，然而本會認為對於個人資料保護已有相當實務經驗，在資訊爆炸之時代下，政府對於人民個人資料保護有即時保護之必要性，故應於主管機關成立之日起「二年內」，完成相關統一監理制度之建置，以符合社會期待。