非公務機關洩個資最高罰1500萬 藍委批只准州官放火

立法院昨三讀通過「個人資料保護法」部分條文修正案，新增主管機關為獨立的「個人資料保護委員會」，並提高「非公務機關」違法外洩個資罰則；國發會表示，將有助於促使非公務機關投入人力、技術及成本，落實保護民眾個資的責任，並有助打擊詐欺政策的推動。

昨天通過修正規定，非公務機關者違法外洩個資，將處2萬元（台幣，下同，約649美元）以上、200萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處15萬元以上、1500萬元以下罰鍰。另外，非公務機關若未採行適當安全措施來防止個資被竊、竄改、毀損、滅失或洩漏，或訂定個資檔案安全維護計畫、業務終止後的個資處理方法，情節重大處15萬元以上、1500萬以下之罰鍰，並令其限期改正，屆期未改正者，按次處罰。

國發會指出，這次修法有兩大重點。首先，藉由對企業個資外洩提高罰鍰上限、逕行處罰並同時要求改正，回應外界反映業者違反安全維護義務罰責過低、要求改正再處罰無法讓業者強化個資資安維護作為的訴求，其次是個資保護委員會將以獨立專責機關的定位，整體規畫公務及非公務機關個資保護監督機制。

不過，國民黨立委鄭麗文認為只是做半套，成立專責委員會、加重非公務機關的罰則，對公務機關卻毫無處置。她說，台灣發生公務機關外洩戶政資料的事件，至今查無人員負責，修法是「只許州官放火，不許百姓點燈」。民進黨立委洪申翰也表示，不管政府機關或民間單位，目前在個資保護方面確實有待加強，政府希望透過修法提高相關罰則，未來也會設立個資獨立保護機關，相信會是保護個資很重要的關鍵。

台科大資通安全研究與教學中心主任查士朝表示，資安應該要處罰的是損失，罰金只是督促做好。他還說，國外可罰到2億，台灣最後卻還是以行政罰為主，中間金額差了好幾十倍。

刑事局統計，詐騙集團假冒電商致電買家，以「解除分期付款」手法誘使操作ATM或網路銀行轉帳，今年1到4月已騙走2億多元，刑事局函送過去一年疑個資外洩業者104家，僅三家被主管機關依個人資料保護法裁罰，官警認為相關單位裁罰牛步，對罔顧資安的業者欠缺約束。

全球知名資安業者趨勢科技研究顯示，全球雖有三分之二企業決策者決定在今年提高網路資安投資，但其中有半數企業明確表示，資安雖然是必要成本，但對營收並無貢獻，三成八受訪者更直言，資安對於公司業務發展是一項阻力而非助力；不過，也有一成九受訪者表達，資安風評不佳的確會影響開拓新業務的能力。

趨勢科技威脅情報副總裁Jon Clay表示，「看到企業高層對於資安防護布局仍抱持刻板印象，實在令人憂心。」