法律人 LawPlayer logo
編章節定位
📚資料來源:全國法規資料庫、立法院法律系統🕑閱讀時間 7 分鐘

個人資料保護法 第 12 條

  1. 1.公務機關或公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時,應通知當事人
  2. 2.前項情形符合一定通報範圍者,公務機關或非公務機關應通報下列機關: 一、公務機關:向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。 二、非公務機關:向主管機關通報。主管機關受理通報後,並轉知其目的事業主管機關
  3. 3.第一項情形,公務機關或非公務機關應採取即時有效之應變措施,防止事故之擴大,及記載相關事實、影響、已採取之因應措施,並保存相關紀錄,以備主管機關查驗。
  4. 4.前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法,由主管機關定之。
用 AI 讀這條

白話與解析 AI 輔助整理,以原文為準

重點摘要個人資料保護法第 12 條規定,機關知悉個資被竊取、竄改、毀損、滅失或洩漏時,應通知當事人並通報主管機關,並採取應變措施保存紀錄。

Q · 被通知個資外洩了,這條法律會幫我做什麼?

依個人資料保護法第 12 條,公務或非公務機關一旦知悉所保有的個資被竊取、竄改、毀損、滅失或洩漏,必須通知當事人;達一定通報範圍者,還必須通報主管機關(公務機關另向第 21 條之 1 機關通報),同時採取即時有效應變措施、製作事故紀錄備查。2024 年 10 月修法新增通報義務後,企業隱匿外洩的空間幾乎消失。

白話解讀

你有沒有收過這種詐騙電話:對方知道你昨天在某電商下單了什麼、花了多少錢、配送地址在哪?那不是猜的,是你購物的那家公司資料庫被駭了,然後資料在黑市被賣給詐騙集團。但這家公司有沒有告訴你資料外洩?沒有。他們希望你永遠不知道。2024 年 10 月 17 日剛修正的第 12 條把這件事變嚴格了:機關知悉個資被竊取、竄改、毀損、滅失或洩漏,第一,必須通知你;第二,符合一定範圍的還要「通報主管機關」(舊版只需通知當事人);第三,必須採取即時有效的應變措施並保存紀錄備查。以前很多公司靜悄悄處理,現在躲不掉了,主管機關要進場查,企業隱匿的成本遠大於公開。

法律定性

個人資料保護法第 12 條為個資事故通知通報之核心規範,建立四層義務:通知當事人、通報主管機關、即時應變、保存紀錄。本條於 2024 年 10 月 17 日修正,新增通報主管機關義務並授權主管機關訂定通報範圍、時限、應變措施及紀錄保存等執行辦法。

試算與流程 AI 輔助整理,結果僅供參考

🗺 判斷流程

流程圖載入中…

大家也在問 AI 輔助整理

Q1個資外洩通知是什麼?

公司知道個資被偷被改被刪被漏時,依個資法 12 條必須主動通知你,並通報主管機關。

Q2個資法 12 條怎麼通知當事人?

依施行細則第 22 條,得用書面、電話、簡訊、電子郵件等方式,內容須含事實、影響、應變措施。

Q3個資外洩沒通知會被罰多少?

依個資法第 48 條,主管機關可命限期改正,逾期罰新台幣 2 萬至 200 萬,情節重大可一次處罰。

Q4通知當事人和通報主管機關有什麼差別?

通知對象是被害當事人;通報是向主管機關報告,使其得以監理介入。前者個別救濟,後者公共監理。

Q5資料被刪掉也算個資外洩嗎?

算。本條列舉「竊取、竄改、毀損、滅失或洩漏」五種事故,內部疏失(誤刪、硬碟損壞)也在內。

Q6什麼樣的外洩規模才要通報主管機關?

符合主管機關訂定的「一定通報範圍」者,目前由各目的事業主管機關依辦法判定,金融、電商、醫療等重災區門檻較低。

Q7個資外洩可以求償嗎?怎麼算?

依第 28、29 條,每人每事件 500 元至 2 萬元,總額上限 2 億元;事證明確時可走團體訴訟。

Q8公司外洩個資後該怎麼啟動應變?

立刻阻斷攻擊面、保全證據、評估範圍、依時限通知通報、製作事故紀錄備查。

容易搞混的概念 AI 輔助整理

比較面向通知當事人通報主管機關
啟動門檻知悉事故即啟動符合「一定通報範圍」始啟動
對象個別當事人主管機關 + 目的事業主管機關
目的讓被害人自救(改密碼、警覺詐騙)讓國家評估系統性風險、啟動調查
違反法效民事賠償(第 28、29 條)+ 行政罰(第 48 條)行政罰為主,主管機關可命限期改正、加重罰鍰
2024 修法變化事故類型統一為五類,更明確新增義務,舊版無此規定

其他國家怎麼規定 6 國

🇯🇵 日本個人情報保護法 第 26 条(漏えい等の報告及び本人通知)
🇰🇷 韓國개인정보 보호법 제 34 조(개인정보 유출 통지 등)
🇨🇳 中國个人信息保护法 第 57 条(个人信息泄露应急处理及通知义务)
🇩🇪 德國DSGVO Art. 33(Meldung an Aufsichtsbehörde)+ Art. 34(Benachrichtigung der betroffenen Person)
🇫🇷 法國RGPD Art. 33 + Art. 34(Notification de violation de données personnelles)
🇺🇸 美國California Civ. Code § 1798.82(CCPA breach notification)+ HIPAA Breach Notification Rule 45 CFR §§ 164.400-414

AI 輔助整理之對應參考,非官方對照,以各國原文為準

🔒

登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)

法條整合閱讀 · ArticleV09
原始資料來源:全國法規資料庫、立法院法學系統。AI 加值內容僅供理解輔助,法律效力以原文為準。
⊞ 對照台 0
滑到條文裡的引用,點懸停卡的「對照台」
把多條並列逐欄比較
引用