個人資料保護法 第 20-1 條
- 1.非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
- 2.前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
白話與解析 AI 輔助整理,以原文為準
重點摘要個資法第20條之1規定,非公務機關保有個資檔案者應辦理安全維護,防止資料被竊取、竄改、毀損、滅失或洩漏,違反者依第29條負損害賠償責任。
Q · 公司被駭客攻擊導致我的個資外洩,公司能用「被駭不是我們的錯」推託嗎?
依個人資料保護法第20條之1規定,非公務機關保有個人資料檔案者,應採取安全維護事項以防止資料被竊取、竄改、毀損、滅失或洩漏。即使是被駭客攻擊,企業若未做到主管機關辦法規定的具體措施(如加密、存取控制、定期稽核、事故應變、員工訓練),仍違反本條。受害當事人可依第29條請求損害賠償,舉證重點從抽象的「未盡注意義務」轉為逐項勾稽辦法列舉的項目。
白話解讀
每週都有資料外洩新聞,但多數人以為那只是「公司倒楣被駭」,頂多怪一下資安廠商。第20條之1告訴你一件不一樣的事:保有個人資料檔案的公司,有法定的「安全維護義務」,這是義務不是自律。沒做到、或做得不到位,一旦發生資料被竊取、竄改、毀損、滅失、洩漏,就是違反本條,可以是行政罰鍰的基礎,也可以是你依第29條請求損害賠償的核心論據。這條是2025年新增的,從原本散落在第27條的規範拉出來放在第三章,配上主管機關可以訂「安全維護辦法」的授權。它背後的意義是:台灣正式把個資安全從「業界良心」升級為「法遵紅線」。實務上會被問的不是「公司有沒有做資安」,而是「公司有沒有做到主管機關辦法規定的那些項目」,證明責任翻轉到公司身上。
法律定性
個人資料保護法第20條之1(民國114年10月17日制定)建立非公務機關之個人資料檔案安全維護義務,明文要求企業應採取防止資料被竊取、竄改、毀損、滅失或洩漏之具體措施,並授權主管機關(個人資料保護委員會)訂定統一辦法,將安全維護從業界自律性原則升級為可逐項勾稽的法定義務。
試算與流程 AI 輔助整理,結果僅供參考
🗺 判斷流程
大家也在問 AI 輔助整理
Q1個資法第20條之1是什麼?▾
2025年10月新增條文,明定非公務機關有法定的個人資料安全維護義務,是台灣個資安全從自律升級為法遵的里程碑。
Q2安全維護義務具體包含哪些項目?▾
依授權的辦法,涵蓋組織編制、人員管理、稽核機制、技術措施(加密/存取控制)、事故應變、定期教育訓練等完整體系。
Q3公司被駭就一定違反第20條之1嗎?▾
不必然。但公司必須證明已落實主管機關辦法列舉的具體措施。拿不出計畫、稽核紀錄、應變程序,被駭就是防護不足的證明。
Q4違反第20條之1會被罰多少?▾
可面臨行政罰鍰(依個資法第48條等規定),另加上第29條損害賠償責任,多名受害者可形成集體訴訟壓力。
Q5個資外洩後我能告公司嗎?▾
可以。依第29條請求損害賠償,並可主張非財產上損害(每人每事件新臺幣500元至2萬元)。
Q6「主管機關訂的辦法」是指哪一份?▾
個人資料保護委員會發布的「非公務機關個人資料檔案安全維護管理辦法」(2025年配合本條同步發布或修正)。
Q7公務機關也適用第20條之1嗎?▾
不適用。第20條之1僅規範非公務機關。公務機關之安全維護義務散見第18條(個人資料保護長)及其他相關條文。
Q8委外給雲端服務商,安全維護義務還在我身上嗎?▾
在。第4條規定受託處理者視同委託機關。委託方須對受託方進行可驗證的監督,不能因「資料不在台灣」或「外包出去了」而免責。
容易搞混的概念 AI 輔助整理
| 比較面向 | old_law_27 | new_law_20_1 |
|---|---|---|
| 舉證責任 | 原則上由原告證明被告未盡注意義務(抽象構成要件) | 比對主管機關辦法列舉項目,企業需自證已落實(清單式檢核) |
| 規範位階 | 散落於第27條,與其他義務雜陳 | 獨立移列第三章核心條文,位階突顯 |
| 授權密度 | 原則性,各行業自訂自律規範 | 主管機關(個資會)統一訂定辦法,跨行業一致 |
| 違反效果 | 概括性違反,行政罰鍰判斷模糊 | 可逐項認定違反,行政罰鍰與民事賠償併行清晰 |
其他國家怎麼規定 6 國
AI 輔助整理之對應參考,非官方對照,以各國原文為準
登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)
把多條並列逐欄比較