近來非公務機關個資外洩事件頻仍，且外洩個資易遭犯罪集團不法利用，為避免個資外洩損及當事人權益，行政院通過「防止非公務機關個資外洩精進措施」，責由各部會成立「個資行政檢查小組」，相關事業主管機關應每年擬定行政檢查計畫，優先針對高風險業者，強化例行性行政查核，並輔導業者提升個資保護意識及防護措施。有關非公務機關個資事件與行政檢查等情形如下:

(一)非公務機關個資外洩事件頻仍，引發社會大眾高度關切

KPMG安侯建業所屬數位智能風險顧問股份有限公司發布「2022年臺灣企業資安曝險調查報告」，調查結果顯示多數臺灣企業，僅具備一般技術駭客就能入侵，且發現企業大多輕忽社群媒體所衍生網路攻擊，尚有各產業資安人員能量嚴重不足、供應鏈核心產業亟需加強網路防護等問題待克服，而金融業網路防護表現最佳，但仍面臨高度挑戰等問題。

自2020年新冠疫情(COVID-19)爆發，國內企業積極應用雲服務、物聯網等新興科技，推動遠端工作及智慧生產，且民眾透過網路進行消費與購物行為大幅增加，相對資安風險亦成為大眾關注之焦點；而近來非公務機關個資外洩事件頻仍(詳表3.3.1)，引發社會大眾高度關切。

表3.3.1 近年來非公務機關重大資通安全事件一覽表

時間

資通安全事件摘要

備註

112-05-20

YouBike系統遭攻擊 2.1萬筆會員交易外洩。

聯合報第A14版-社會新聞

112-05-05

新華航業股份有限公司負責臺馬航線（臺馬之星）及南竿－東引航線（臺馬輪）營運，惟該2航線線上訂位系統自112年2月起發生旅客個人資料外洩情事，有消費者因此受到詐騙，經監察委員申請自動調查。

監察院官網

112-02-09

和泰集團旗下(和雲行動股份有限公司)共享汽車服務iRent出現用戶個資外洩事件，公路總局認定有疏失，開罰20萬限期改正。

自由時報電子報及交通部資料

112-01-15

華航驚傳1月初遭駭客勒贖，會員資料庫疑似外洩，包括60位政商名流個資外洩。

工商時報第A3版-財經要聞

111-08-09

交通部觀光局辦理各項國旅住宿優惠補助案，核有35家受補助旅宿業者冒用或收購他人身分證個資作為人頭，偽造入住紀錄詐領各項國旅住宿優惠補助款情事，相關稽核機制亟待加強。

監察院官網

說 明：表列時間係為專案調查公布日期或報導日期。

資料來源：整理自監察院官網及相關新聞報導。

(二)非公務機關個資行政檢查能量仍有提升空間，且裁罰處分亟待有效落實

依個人資料保護法(以下簡稱個資法)第27條規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫，並執行例行性業務檢查。就中央政府12個部會提供所轄非公務機關個資管理之行政檢查情形分析(詳表3.3.2)，110至112年各年皆實施例行性檢查者，計有經濟部、交通部、衛生福利部、數位部、國科會及金融監督管理委員會等6個主管機關；財政部係於111及112年辦理行政檢查，而教育部與文化部110及111年針對接獲情資之案件進行檢查，兩年合計分別為9案及3案，並於112年規劃資安檢查或訪視，其餘3個部會自112年起推動之。

表3.3.2 110至112年中央目的事業主管機關辦理非公務機關個資行政檢查情形彙整表

機關別

主要辦理情形

內政部主管

112年預計檢查業者為槍砲彈藥刀械業及警械製造售賣業(110及111年未辦理所轄非公務事業之個資行政檢查)。

財政部主管

1.111年個資行政檢查如下：

(1)1家公益彩券發行機構，該銀行已於111年12月依檢查結論，就個人資料安全事故之處理訂定內部作業SOP。

(2)促請地方政府檢查所轄營業中之菸酒事業保有個資業者(菸酒製造業者及進口業者)計有812家，811家已訂定個人資料檔案安全維護計畫，自我檢查結果符合規定。

(3)接獲2起報關業通報個資外洩案件，已依「行政院及所屬各機關落實個人資料保護聯繫作業要點」第8點辦理行政檢查，經查尚未違反個資法規定。

2.112年已規劃預計檢查之行業(包括菸酒事業、公益彩券、記帳士、記帳及報稅代理人、報關業、保稅倉庫及物流中心)、家數比率及時程表。

教育部主管

1.110及111年就接獲檢舉之洩漏及竊取等9案進行行政檢查（110年3案，111年6案），7案已完成相關改善並結案，餘2案仍待偵查及調查中。

2.112年預計檢查私校、短期補習班及體育團體等業者，於第3季及第4季辦理行政檢查。

法務部主管

112年預計對律師業者辦理個資行政檢查(110及111年未辦理所轄非公務事業之個資行政檢查)。

經濟部主管

1.對於公用天然氣事業、電業、石油及資訊服務業者之行政檢查，尚無發現重大缺失，而網際網路零售及平台業者計有5家發生個資洩漏或處理欠完備等情事。

2.112年分別於上半年及下半年辦理16家業者(高風險及非高風險各8家)之行政檢查。

交通部主管

1.110及111年辦理觀光產業及汽車運輸業之行政檢查(包括書面及實地檢查)家數共計29家。

2.112年度預計針對曾發生重大矚目案件、保有消費者個人資料筆數超過一定數量或列入高風險事業等觀光產業、汽車運輸業及民用航空業者之行政檢查(區分為必要檢查與機動抽查)。

農業委員會主管

112年預計辦理個資行政檢查(110及111年未辦理)。

衛生福利部主管

1.110及111年共計辦理醫療機構、醫藥衛生協學公會、社福公益團體、藥粧醫材業及食品業等行政檢查，完成結案49件。

2.112年預計檢查業者家數17家。

文化部主管

1.110及111年針對受理非公務機關疑似個資外洩案件3件，辦理資安訪視。

2.112年預計每年進行1至2家自行架設網路平台販售書籍(以曾獲報個資外洩業者優先)之出版社及2至3家電影院進行資安訪視。

數位部主管

1.原監理機關通傳會自106年起辦理固定通信、行動通信、二類電信等事業之電信機房安全行政檢查實施計畫，每年採取抽樣方式，進行電信機房等實地查核；111年依規定督導通傳事業研訂資通安全維護計畫，並據以實施稽核作業。

2.自111年8月27日起，由數位部主責通訊網路及通傳領域關鍵基礎設施、數位經濟相關產業類等業者之行政檢查。

國科會主管

1.自110年第1季起，依據內政部警政署來文，每季辦理個人資料保護法案件行政檢查，所轄非公務機關均無個資外洩情形。

2.112年預計於第3季辦理所轄科學園區內倉儲業個人資料檔案安全維護行政檢查計畫。

金融監督管理委員會主管

1.110及111年辦理金控(14家)、銀行業(105家)、證券(20家)、投信(29家)、保險公司(51)、電子支付專營機構(6家)、票券(7家)及信用卡(3家)等個人資料保護檢查共計235家，並要求涉及個資保護缺失業者改善，且持續追蹤。

2.112年持續辦理金融機構個資保護相關檢查，另預計進行80家證券商(48家)及期貨商(32家)之個資檢查。

資料來源：依各部會112年5月提供資料或官網(數位部)彙整。

再就個資法罰款統計，以金融監督管理委員會主管裁罰金額最高，109至111年共裁處11家金融機構1,480萬元，經濟部主管裁處4家業者共計200萬元次之(詳表3.3.3)，其餘10個部會近3年來未為裁罰處分。

表3.3.3 109及111年主管部會涉及個資法罰款統計表

單位:新臺幣千元

主管別

109年

110年

111年

合計

經濟部主管

100

100

0

200

金融監督管理委員會主管

480

300

700

1,480

資料來源：整理自相關部會提供資料。

復參閱內政部警政署刑事警察局112年3月12之公告敘及，自111年6月至112年2月間，已函送數位部、衛生福利部、交通部、教育部、經濟部、文化部及通傳會等7部會共計上百家疑似外洩個資之電商，惟發動行政檢查要求改善者僅約占少數1成，且近1年來均無裁罰紀錄，故促請各目的事業主管機關加速違規業者之行政裁罰以改善資安，共同防堵詐騙事件發生。以上顯示，中央目的事業主管機關對於非公務機關個資行政檢查之強度仍有提升空間，且裁罰處分亦待有效落實。

(三)允宜確實推動防止非公務機關個資外洩精進措施，提升行政檢查能量並輔導業者強化防護措施

鑒於近來部分業者相繼發生個資外洩案件，恐影響民眾權益，為提升非公務機關個資防護能力，行政院於112年3月2日通過國家發展委員會提報之「防止非公務機關個資外洩精進措施」，該措施包括三項策略，除明定各主管應機關應提升業者個資防護能力、精進案件通報與監督程序及落實執法外，並指定經濟部、衛福部、交通部、金管會及數位部等機關，就個資外洩高風險事業實施行政檢查。

前述精進措施對重大矚目案件處理之強化流程如下，主管機關針對重大矚目案件應於知悉後3日內進行行政調查、10日內完成調查報告；截至112年5月底，依各主管機關統計，完成重大個資料外洩案件之行政調查計7案，包括交通部所轄4家、經濟部、文化部及數位部各1家(詳表3.3.4)，除文化部管轄之威秀影城股份有限公司外，其餘4家業者分別依行政調查結果進行裁罰。

表3.3.4 112年非公務機關重大個資外洩事件調查情形表

部會別

行政調查處理概述

交通部

和雲行動服務股份有限公司因違反個人資料保護法第27條及汽車運輸業個人資料檔案安全維護計畫及處理辦法第3條規定，爰依同法第48條規定處新臺幣20萬元罰鍰。

格上汽車租賃股份有限公司因違反個人資料保護法第27條規定及汽車運輸業個人資料檔案安全維護計畫及處理辦法第3條規定，爰依個資法第48條規定處新臺幣10萬元。

統聯汽車客運股份有限公司違反個人資料保護法第48條規定，已命其於限期改善，並規劃8月份辦理新版售票系統上架作業，再行安排第3方資安檢測、售票系統與資安事件演習相關事宜。

中華航空股份有限公司因違反個人資料保護法第27條第1項規定，且未依限改正完成，爰依同法第48條規定處新臺幣20萬元罰鍰。

經濟部

微風廣場實業股份有限公司保有個資所採安全措施有未盡事宜，依個人資料保護法第48條及第50條，將針對公司及其代表人罰鍰，綜合違失情節各處新臺幣20萬元罰鍰，共計40萬元。

文化部

威秀影城股份有限公司在發生假冒威秀影城名義電話詐騙案後，即緊急應對，採取反詐騙宣導之作為，在消費者可能接觸之各種管道盡到宣導，並及時通知個資可能外洩之消費者警示詐騙之簡訊，尚符合個資法第12條規定。

數位部

誠品生活股份有限公司帳號管理上執行未確實，要求事後提供之補充或佐證資料，惟個資盤點資料仍不完整，且針對委外廠商監督管理未落實執行，依個人資料保護法第48條併第50條規定處分，業者併同其負責人處新臺幣10萬元罰鍰。

資料來源：整理自各部提供資料。

此外，刑事警察局於112年5月2日公布2023年1季高風險賣場，前五名高風險業者皆為電商賣場，已函送數位部查處，據數位部所屬數位產業署表示，自該部成立後，陸續接獲個資外洩通報74家次，皆已完成行政處理；另針對社會矚目及個資外洩頻傳電商進行輔導與行政檢查，包括蝦皮拍賣、旋轉拍賣、one boy、松果購物、買對動漫及未來實驗室等電商，對其違規情節已於1月至4月間函請限期改改正，除要求業者採取適當之安全措施或裁處罰款外，並輔導其落實法令遵循及內部管理缺失之改善。