【威傳媒記者蘇松濤報導】
張毅超律師現擔任築律國際法律事務所所長暨主持合夥律師外,亦兼任兩岸經貿顧問有限公司總經理,曾任職於台灣麥當勞總公司法務暨法令遵循部,對於「大型企業如何在大規模用戶基數下落實合規制度」,具備相當完整的實務經驗。張毅超律師針對近期行動支付業者街口支付(JKOPay)又受罰一案,點出新版「個人資料保護法」要點。
過去有網友指出,街口支付疑外洩600萬筆用戶個資,包括用戶的ID、手機門號、身分證照片及銀行資料等機敏資訊紛紛流至暗網,涉及多位名人、網紅和藝人的個資,甚至有網友爆料這些個人資料包含政治人物,大量的身分證、隱私資料曝光。
張毅超律師指出,今年由於「街口電子支付股份有限公司」測試舊型主機,於停用下線前、遭駭客入侵致客戶個資外洩,基於未完善建立及未確實執行內部控制及稽核制,金管會開罰新臺幣120萬元。南韓電商酷澎去年發生大規模個資外洩事件,波及超過20萬名台灣用戶,台灣政府隨即要求酷澎通知受影響用戶,並設立專屬客服與補償方案。
國內大型企業個資外洩事件頻傳,民眾對個資保護重視的要求日益升高,社會各界呼籲政府嚴管企業的聲浪從未停歇。張毅超律師呼籲,民眾必須在第一時間直接播打165反詐專線舉報或直接打110報案,敏感個資恐成為詐騙集團的金礦來源。遇到個資外洩或身分被冒用,不僅影響個人名譽、信用、隱私等,倘若不小心成為「人頭帳戶」,陸續面對的刑事責任後果相當嚴重。
張毅超律師總經理認為,因應個資風暴,台灣去年底修正《個人資料保護法》,再次提高監管要求與裁罰力道。同時,作為未來關鍵監管機關的「個人資料保護委員會」(個資會)仍然處於籌備處階段,已於今年陸續發布多項子法草案,可見政府對個資保護之重視。
張毅超律師提醒,過去,企業常援引《個人資料保護法》第12條,主張須在「確認違反法規,且已致個資遭受侵害」後,始具備通報與通知義務,並藉由「仍在進行內部調查」作為拖延通知的理由。然而,2025年修法已出現明顯政策轉向,制度核心已由「結果確認」轉為「即時反應」。修正後,一旦企業發現疑似個資外洩情事,即須於法定期限內(例如:發現後 72 小時內)主動通報主管機關並通知當事人。
張毅超律師表示,新法強調雙重義務:對當事人「通知」,以及對主管機關「通報」。通知當事人:依據新法第12條第1項,知悉事故後應以適當方式通知當事人(如客戶、員工)。其目的是讓當事人能有所警覺(例如:儘速變更密碼、掛失信用卡),以自主維護權益。通報主管機關:依據新法第12條第2項及「個人資料事故通知通報及應變辦法」草案第3條,符合特定門檻時,必須向主管機關(個資會)通報。這是為了讓監管機關掌握事態,並視情況介入調查或提供協助。
張毅超律師更為企業提出核心關鍵作法,首當其衝建立完善的資安事件應變計畫(Incident Response Plan, IRP),並且依循三關鍵作法:建立標準作業程序(SOP),企業內部應事先建立並演練完整的資安事件處理流程。一旦事件發生,公關、法務與技術部門必須能同步啟動,形成有效的橫向聯動。落實法遵與合規稽核,資安與個資保護不應僅止於書面制度,而應定期進行流程「健檢」與演練,在平時即補強漏洞,而非事後補救。
最末,評估投保資安保險,隨著法律責任與可能賠償金額逐年攀升,透過資安保險轉嫁部分財務風險,已逐漸成為中大型企業的基本配備。新法的關鍵重點改變在於法律正式將「事件調查責任」與「通知義務」加以分離。企業已不得再以「責任尚待釐清」為由延遲對外通知,否則將直接面臨高額行政罰鍰風險。
張毅超律師建議,因個資外洩或身分被冒用而受到損害,民眾可透過165反詐騙專線或聯繫相關企業的官方客服確認,有權依照《民法》向加害人請求損害賠償,例如「非財產上損害」(精神慰撫金)。消費者務必妥善保存相關證據(例如簡訊、通聯紀錄等),並積極參與集體訴訟,這是目前最具效率且實務上成功率最高的維護權益的方式。
圖片提供:張毅超律師
(資料來源:威傳媒新聞-WinNews)
