立法院於2025年10月17日三讀通過「個人資料保護法」（下稱「個資法」）部分條文修正，該修正條文尚待總統公佈。本次修正主要系因應個人資料保護委員會（下稱「個資會」）成立，賦予個資會相關執法權限，基於其作為我國個人資料保護獨立監督機關之定位，將原由其他機關負責之「非公務機關個人資料保護監督事務」移由個資會統籌辦理，並優先納管原未有明確主管機關之非公務機關；至於原已有明確主管機關者，則透過過渡條款，分階段將監督權責移交個資會，以期逐步建立統一的監管體系。本次修正亦增訂對公務機關之監督機制，包括增訂公務機關應負擔個資保護義務，個資事故發生時通知當事人及通報主管機關、建立監督機制、設置個資保護長等，藉此補足過往體制之缺口。此外，本次修正並增加非公務機關之個資保護義務，以健全我國個人資料保護制度。

本文暫不多著墨於對公務機關增訂之相關細部規範，擬先就民間企業（個資法下所稱之非公務機關）法令遵循角度，說明本次修正條文應留意之重要內容如下：

1. 修正向個資當事人通知個資事故義務：

個資法修正前，若因非公務機關「違反個人資料保護法」、進而導致個資事故發生時，非公務機關於「查明後」應通知個資當事人。個資法修正條文刪除現行法下「違反本法規定」以及「查明後」之要件，而要求非公務機關於知悉個資事故發生時，即應通知個資當事人。是故，未來非公務機關不得再以未違反個資法或尚未查明為由，而不履行通知個資當事人之義務。

2. 增訂向主管機關通報個資事故之義務：

個資法修正前並未明定非公務機關對於個資事故是否應通報主管機關，而僅于目的事業主管機關就特定事業訂定之個人資料檔案安全維護管理辦法規範之。個資法修正條文則明定於發生個資事故，並於符合一定通報範圍時，非公務機關應通報主管機關。同時，個資法修正條文亦明定非公務機關應採取應變措施、並應保存相關紀錄。若有違反者，主管機關得處以新臺幣最高20萬元之罰鍰、未改正則按次處罰。

3. 修正對非公務機關之行政檢查：

個資法修正條文增訂主管機關啟動行政檢查之要件，並明確規範其程序。根據修正條文之立法說明，主管機關發現非公務機關有違法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步瞭解其落實個資法情形及以公權力介入之必要者，即得發動行政檢查。為行政檢查時，主管機關得命非公務機關陳述意見，提供必要文書、資料、物品或為其他配合措施，派員至現場進入檢查等。

4. 增訂個資會權限過渡之相關規範
   1. • 非公務機關個人資料保護事務監督權限變動之過渡條款：為因應漸進達成非公務機關個人資料保護事務監督權限之一元化，增定權限變動之過渡條款，明訂對非公務機關之個資保護事項監督管理。於過渡期間內，由個資會報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣市政府監管其個人資料保護事項，並分階段將該監管權限逐步改由個資會管轄，及各該目的事業主管機關于過渡期間之相關執法配套規範。在此等修正條文下，於過渡期間，仍由相關中央目的事業主管機關或直轄市、縣市政府就非公務機關之個人資料遵循狀況進行監督，包括對非公務機關個資遵循狀況得進行行政檢查；此外，就該等行業適用之個人資料安全維護計畫或業務終止後個人資料處理方法，仍由各該中央目的事業主管機關定之，且得為更嚴格之規定。
      • 行政救濟事項之處理：鑒於個資會為獨立機關，增訂對個資會依個資法所為行政處分不服者，應徑行提行政訴訟救濟。就前述第4.(1)點下，對過渡期間由相關中央目的事業主管機關依個資法所為行政處分不服者，應向個資會提起訴願。另外，於本次修正條文施行前依個資法所為之行政處分不服者，于修正施行後提起訴願者，應向個資會為之；但于修正條文施行前已受理但尚未終結之訴願案件，于修正條文施行後，仍由原受理訴願機關依訴願法終結之。

注：以上內容以立法院網站公告之關係文書為依據整理而成，正式版本請以立法院公報為准。