「非公務機關」洩個資最重罰1500萬 立委批：只許州官放火 不許百姓點燈

立法院昨三讀通過「個人資料保護法」部分條文修正案，新增主管機關為獨立的「個人資料保護委員會」，並提高「非公務機關」違法外洩個資罰則；國發會表示，將有助於促使非公務機關投入人力、技術及成本，落實保護民眾個資的責任，並有助打擊詐欺政策的推動。

昨天通過修正規定，非公務機關者違法外洩個資，將處新台幣二萬元以上、二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新台幣十五萬元以上、一千五百萬元以下罰鍰。另外，非公務機關若未採行適當安全措施來防止個資被竊、竄改、毀損、滅失或洩漏，或訂定個資檔案安全維護計畫、業務終止後的個資處理方法，情節重大處新台幣十五萬元以上、一千五百萬以下之罰鍰，並令其限期改正，屆期未改正者，按次處罰。

國發會指出，這次修法有兩大重點。首先，藉由對企業個資外洩提高罰鍰上限、逕行處罰並同時要求改正，回應外界反映業者違反安全維護義務罰責過低、要求改正再處罰無法讓業者強化個資資安維護作為的訴求，其次是個資保護委員會將以獨立專責機關的定位，整體規畫公務及非公務機關個資保護監督機制。

不過，國民黨立委鄭麗文認為只是做半套，成立專責委員會、加重非公務機關的罰則，對公務機關卻毫無處置。她說，台灣發生公務機關外洩戶政資料的事件，至今查無人員負責，修法是「只許州官放火，不許百姓點燈」。民進黨立委洪申翰也表示，不管政府機關或民間單位，目前在個資保護方面確實有待加強，政府希望透過修法提高相關罰則，未來也會設立個資獨立保護機關，相信會是保護個資很重要的關鍵。

國發會官員說，這次修法前，行政院已通過「防止非公務機關個資外洩精進措施」，責成各部會成立行政檢查小組，針對高風險業者加強行政檢查，針對近期社會關切的重大矚目個人資料外洩案件加速行政調查，例如華航、格上租車以及iRent等公司發生個資外洩事件，交通部均已要求業者限期改正並裁罰。

另外，數位部昨也會同相關單位到誠品進行行政檢查，預計十天提出完整報告，兩周內做出行政處分。

台科大資通安全研究與教學中心主任查士朝表示，資安應該要處罰的是損失，罰金只是督促做好，所以重點是要讓沒做好的對象受到懲罰；當有一定證據時，對個別公司舉證要求的強度要加強，如果提不出證據自清，本身就算資安沒做好也該受罰。他還說，國外可罰到兩億，我國最後卻還是以行政罰為主，中間金額差了好幾十倍。