隨著近年來個資外洩事件層出不窮、各國個人資料保護法令日趨嚴格，讓個人資料變成企業難以承受的重擔，一旦發生個資外洩事件，企業除了可能遭受鉅額的行政罰鍰及民事求償外，甚至有可能被迫中斷相關業務運作，為此付出沉重的代價。為協助企業預防及因應個資外洩問題，有效減緩企業所面臨的法律風險，本文將先就我國現行資訊安全相關規定進行說明，再逐一介紹個資管理的實務常見作法，協助企業妥善保護及管理個人資料，並在發生個資外洩時能夠妥為因應。

文：曾更瑩、黃耀賞

在AI、大數據及物聯網的時代，個人資料被稱為「網路上的石油」，任何人能夠從茫茫數據大海中洞悉出資料價值，不但有機會成為引領潮流的行業領頭羊，更有機會點石成金、創造出人人稱羨的利潤，然而，隨著近年來個資外洩事件層出不窮、各國個人資料保護法令日趨嚴格，卻也同時讓個人資料變成企業難以承受的重擔，一旦發生個資外洩事件，企業除了可能遭受鉅額的行政罰鍰及民事求償外，甚至有可能被迫中斷相關業務運作，為此付出沉重的代價。 

以iRent及統聯客運為例，iRent發生個資外洩事件後，不只實際經營iRent的和雲行動服務被交通部公路總局及新北市政府交通局以違反個人資料保護法（下稱「個資法」）第48條為由分別裁處最高罰鍰新台幣（下同）20萬元及9萬元，其母公司和泰汽車及和潤企業亦被證交所以違反上市公司內部控制制度查核作業程序第9條規定為由，分別裁處10萬元及5萬元，且前述罰鍰均得按次處罰至改善之日為止，如果業者未能及時改善，將有可能累積可觀的罰鍰。而統聯客運爆出個資外洩後，為避免影響層面持續擴大，只好全面預防性關閉官網訂購票，要求旅客轉至四大超商或車站購票，甚至不排除取消會員制訂票，以免再次發生類似事件，對其業務影響甚鉅。 

為協助企業預防及因應個資外洩問題，有效減緩企業所面臨的法律風險，本文將先就我國現行資訊安全相關規定進行說明，再逐一介紹個資管理的實務常見作法，期能破除企業對個資保護常有的迷思，協助企業妥善保護及管理個人資料，並在發生個資外洩時能夠妥為因應。 

我國現行資訊安全相關規定 

資通安全管理法（下稱「資安法」）為我國針對資通安全的主要立法，凡有資安法之適用者，皆必須依其資通安全責任等級訂定及實施資通安全維護計畫。然而，資安法的適用範圍僅及於公務機關及特定非公務機關（包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人），因此，目前除了適用於特定行業的資安相關規範外（例如電信事業或金融機構），我國尚無一體適用於所有非公務機關的資安法規（註1）。

（詳全文 請見工總產業雜誌112年08月號）