民間司法改革基金會（以下稱「司改會」）長期關注數位法治與人權，並致力於推動數位權利的法治化。面對公私部門大量蒐集、串聯人民之個資與行為資料的趨勢，以及個資外洩等事故層出不窮之現象，本會尤其關注人民之資訊隱私權與資訊自決權之落實。

就個人資料保護委員會籌備處公告於今年1月22日預告之「個人資料保護法施行細則」部分條文修正草案，以及同日預告訂定「個人資料事故通知通報及應變辦法」草案，本會提出草案調整建議如下：

一、關於《個人資料保護法施行細則》部分條文修正草案：

（一）對於「無從識別特定當事人」之判定標準，應納入科技發展趨勢之考量

關於本修正草案第 17 條針對「無從識別特定當事人」之定義修正，宜就評估標準的「時間維度」與「動態性」再行斟酌。現行草案文字僅將評估基準限縮於「運用當時存在」之技術方法，此種靜態定義恐未能反映資訊科技日新月異的本質。

本會建議參考歐盟 GDPR Recital 第 26 條之精神，去識別化的認定不應僅停留在處理當下的技術水位，更應將「科技發展」（technological developments）納入評估的環節。建議條文修正為：「所稱無從識別特定當事人，指考量資料處理當時之現有技術水平及科技發展趨勢，該資料已無從直接識別特定自然人。」以確保在當評估是否該當「無從識別特定當事人」之特殊地位（例外適法性或豁免之要件）時，得以考量運算能力躍升（例如「Harvest now, decrypt later (HNDL)先收集、後解密」的威脅）、大數據串聯與新型演算法迅速發展之現實。

註：GDPR Recital 第 26 條“taking into consideration the available technology at the time of the processing and 'technological developments'.”

二、關於《個人資料事故通知通報及應變辦法》草案：

（一）宜考量事故情節重大程度與個資敏感性設計更具時效性的分級通報與通知機制

關於草案第2條、第3條事故通知與通報之期限設為72小時，建議考量事故情節重大程度（如所涉資料或當事人之數量）與個資敏感性（如身分證字號和地址等戶政資料或特種個資），增設更具時效性的分級通報與通知機制。針對高風險外洩情境，建議納入縮短通報與通知時限之彈性條款，要求於發現後儘速向主管機關通報並即時採取通知當事人之措施，以利受影響民眾即早防範身分冒用或金融風險。為兼顧公、私部門之行政負擔，建議配套採取「先初步報知、後補齊詳情」的遞補程序，並將第一時間積極配合通報與通知之表現，納入後續法律責任裁量之減輕事由，藉此在強化公眾資訊安全與維持實務運作可行性之間取得平衡。

（二）明確制定「需費過鉅」之具體認定標準，以防止濫用

關於草案第2條第1項但書第3款，明定將「所採個別通知當事人之方式需費過鉅，將影響事故機關之營運。」作為免除個別通知當事人義務之條款。本會建議應審慎制定具體認定標準，以目前草案對於「需費過鉅」與「影響營運」之定義尚顯模糊，恐使公私部門在事故發生後，為節省行政成本而大量濫用此條款，進而規避個別通知當事人的法律義務。為有效防止濫用，建議應增設嚴格且具體的實質門檻並由機關負擔舉證責任。

（三）宜延長事故發生之法定公告期限

關於草案第2條第1項「應至少連續公開30日」，建議考量個資外洩損害具有長期性與隱匿性，30日的公告期限恐不足以確保受影響當事人皆能知悉並採取避險措施，建議將法定公告期限予以延長，或依據事故影響規模與資料敏感程度增設彈性調整機制。

（四）事故影響報告宜考量個資事故損害之隱匿性與延遲性

關於草案第6條第1項第6款事故紀錄應記載「個資事故所生之影響」，建議具體納入「報告更新與追蹤」之義務，以因應個資事故損害往往具備隱匿性與延遲性之特質。考量個人資料一旦外洩，其遭不法二次利用或衍生詐騙之威脅可能於事故發生數月甚至數年後才顯現，單次性的事故調查報告恐難以完整評估實質損害。因此，建議草案應要求事故機關負擔持續性追蹤義務，而非於初步通報後即終止其應變責任。

---

相關連結

本會於個資籌備會徵集公眾意見期限內，將上述修法建議陳述於指定之公共政策網路參與平台如下：

1. 《個人資料保護法施行細則》部分條文修正草案
2. 《個人資料事故通知通報及應變辦法》草案