從酷澎案看個資合規風險

南韓電商酷澎（Coupang）去年發生大規模個資外泄事件，波及逾20萬名臺灣用戶。臺灣政府隨即要求酷澎通知受影響用戶，並設立專屬客服與補償方案。事實上，國內外個資外泄事件頻傳，加上近年詐騙猖獗，民衆對個資保護要求日益升高，社會各界呼籲政府嚴管企業的聲浪從未停歇。

因應趨勢，臺灣去年底修正《個人資料保護法》，再次提高監管要求與裁罰力道。同時，作爲未來關鍵監管機關的「個人資料保護委員會」（個資會）雖仍在籌備處階段，但已於今年陸續發佈多項子法草案。對企業經營者而言，意味法規風險與合規成本將顯著增加。近期有三項草案是企業主必須高度關注的重點。

首先是事故發生即成標靶，應優先啓動行政檢查。農曆年前甫發佈的《檢查非公務機關落實個人資料保護法情形作業辦法》草案中，明訂主管機關在選擇民間企業進行個資行政檢查時，「個資事故發生的情況及頻率」與「事故衝擊影響程度」是其中的核心指標。

對企業而言，代表一旦企業發生個資外泄等事故，不再只是單純的公關危機或消費糾紛訴訟案，而是更會直接被主管機關列爲「優先查覈」對象。此如同勞動檢查，企業若無事先完善內控機制佐證，將面臨連續裁罰與商譽受損雙重打擊。

其次，僥倖隱匿代價極高：72小時通報死線與極低門檻。過往發生個資事故時，不少企業基於「多一事不如少一事」心態，往往選擇靜待風波平息的僥倖心態。然而，元月發佈的《個人資料事故通知通報及應變辦法》草案，徹底封堵此灰色空間。

草案明文規定企業在「知悉」個資事故72小時內須主動通知當事人，不得再以舊法「等待內部調查結果」爲由拖延。

此外若涉案資通系統保有逾1萬筆個資，或實際受影響個資達100筆以上，即須依法向主管機關通報，這時就會回到前述第一點的行政檢查風險。

對企業來說，我國企業廣泛採用會員制、積極拓展B2C市場皆是常態，上述通報門檻極易觸發。隱匿不報不僅違法，更可能引發後續更嚴厲行政處分。

第三，合規門檻大幅墊高。被視爲未來企業個資管理指標的《個人資料檔案安全維護管理辦法》草案，一改過去個資法適當安全維護措施定義過於抽象、且散落於各目的事業主管機關的破碎化現況。新版草案提供了極爲細緻的管理規範，並納入大量具體的資訊安全管理措施。

這對於缺乏資安與法遵基礎的企業將是一大挑戰。要在短時間內跨越此一技術與管理門檻並非易事，提早佈局、編列預算並導入專業資源，已是無可迴避的營運課題。

過去長期協助企業處理營運合約與法遵事務過程中，觀察許多企業主對個資法修法仍抱持觀望；甚至部分企業即便開始建置防護機制，也存有「短期練兵」心態。

然而真正的個資保護與合規要求，建立在PDCA（Plan-Do-Check-Act，計劃、執行、查覈、行動）的動態循環管理之上。法規環境與駭客技術隨時在變，企業若着實小看了個資法背後的法律責任，將可能在下一波嚴格執法浪潮中，付出慘痛的商業代價。

（本文由衆勤法律事務所主持律師陳全正口述，記者歐芯萌整理）