法律人 LawPlayer logo
編章節定位
📚資料來源:全國法規資料庫、立法院法律系統🕑閱讀時間 7 分鐘

個人資料保護法 第 20-1 條

  1. 1.公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
  2. 2.前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
用 AI 讀這條

白話與解析 AI 輔助整理,以原文為準

重點摘要個資法第20條之1規定,非公務機關保有個資檔案者應辦理安全維護,防止資料被竊取、竄改、毀損、滅失或洩漏,違反者依第29條負損害賠償責任。

Q · 公司被駭客攻擊導致我的個資外洩,公司能用「被駭不是我們的錯」推託嗎?

依個人資料保護法第20條之1規定,非公務機關保有個人資料檔案者,應採取安全維護事項以防止資料被竊取、竄改、毀損、滅失或洩漏。即使是被駭客攻擊,企業若未做到主管機關辦法規定的具體措施(如加密、存取控制、定期稽核、事故應變、員工訓練),仍違反本條。受害當事人可依第29條請求損害賠償,舉證重點從抽象的「未盡注意義務」轉為逐項勾稽辦法列舉的項目。

白話解讀

每週都有資料外洩新聞,但多數人以為那只是「公司倒楣被駭」,頂多怪一下資安廠商。第20條之1告訴你一件不一樣的事:保有個人資料檔案的公司,有法定的「安全維護義務」,這是義務不是自律。沒做到、或做得不到位,一旦發生資料被竊取、竄改、毀損、滅失、洩漏,就是違反本條,可以是行政罰鍰的基礎,也可以是你依第29條請求損害賠償的核心論據。這條是2025年新增的,從原本散落在第27條的規範拉出來放在第三章,配上主管機關可以訂「安全維護辦法」的授權。它背後的意義是:台灣正式把個資安全從「業界良心」升級為「法遵紅線」。實務上會被問的不是「公司有沒有做資安」,而是「公司有沒有做到主管機關辦法規定的那些項目」,證明責任翻轉到公司身上。

法律定性

個人資料保護法第20條之1(民國114年10月17日制定)建立非公務機關之個人資料檔案安全維護義務,明文要求企業應採取防止資料被竊取、竄改、毀損、滅失或洩漏之具體措施,並授權主管機關(個人資料保護委員會)訂定統一辦法,將安全維護從業界自律性原則升級為可逐項勾稽的法定義務。

試算與流程 AI 輔助整理,結果僅供參考

🗺 判斷流程

流程圖載入中…

大家也在問 AI 輔助整理

Q1個資法第20條之1是什麼?

2025年10月新增條文,明定非公務機關有法定的個人資料安全維護義務,是台灣個資安全從自律升級為法遵的里程碑。

Q2安全維護義務具體包含哪些項目?

依授權的辦法,涵蓋組織編制、人員管理、稽核機制、技術措施(加密/存取控制)、事故應變、定期教育訓練等完整體系。

Q3公司被駭就一定違反第20條之1嗎?

不必然。但公司必須證明已落實主管機關辦法列舉的具體措施。拿不出計畫、稽核紀錄、應變程序,被駭就是防護不足的證明。

Q4違反第20條之1會被罰多少?

可面臨行政罰鍰(依個資法第48條等規定),另加上第29條損害賠償責任,多名受害者可形成集體訴訟壓力。

Q5個資外洩後我能告公司嗎?

可以。依第29條請求損害賠償,並可主張非財產上損害(每人每事件新臺幣500元至2萬元)。

Q6「主管機關訂的辦法」是指哪一份?

個人資料保護委員會發布的「非公務機關個人資料檔案安全維護管理辦法」(2025年配合本條同步發布或修正)。

Q7公務機關也適用第20條之1嗎?

不適用。第20條之1僅規範非公務機關。公務機關之安全維護義務散見第18條(個人資料保護長)及其他相關條文。

Q8委外給雲端服務商,安全維護義務還在我身上嗎?

在。第4條規定受託處理者視同委託機關。委託方須對受託方進行可驗證的監督,不能因「資料不在台灣」或「外包出去了」而免責。

容易搞混的概念 AI 輔助整理

比較面向old_law_27new_law_20_1
舉證責任原則上由原告證明被告未盡注意義務(抽象構成要件)比對主管機關辦法列舉項目,企業需自證已落實(清單式檢核)
規範位階散落於第27條,與其他義務雜陳獨立移列第三章核心條文,位階突顯
授權密度原則性,各行業自訂自律規範主管機關(個資會)統一訂定辦法,跨行業一致
違反效果概括性違反,行政罰鍰判斷模糊可逐項認定違反,行政罰鍰與民事賠償併行清晰

其他國家怎麼規定 6 國

🇯🇵 日本個人情報の保護に関する法律 第23条(安全管理措置)
🇰🇷 韓國개인정보 보호법 제29조(안전조치의무)
🇨🇳 中國中華人民共和國個人信息保護法 第51條(個人信息處理者的安全保障義務)
🇩🇪 德國DSGVO Art. 32(Sicherheit der Verarbeitung)
🇫🇷 法國RGPD art. 32 + Loi Informatique et Libertés art. 121
🇺🇸 美國California CCPA § 1798.100(e) + NY SHIELD Act § 899-bb(reasonable safeguards)

AI 輔助整理之對應參考,非官方對照,以各國原文為準

🔒

登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)

法條整合閱讀 · ArticleV09
原始資料來源:全國法規資料庫、立法院法學系統。AI 加值內容僅供理解輔助,法律效力以原文為準。
⊞ 對照台 0
滑到條文裡的引用,點懸停卡的「對照台」
把多條並列逐欄比較
引用