個資侵害事故

依《個人資料保護法施行細則》第22條，指個人資料被竊取、洩漏、竄改或其他侵害方式，致當事人權益遭受損害之事故。 不論是駭客攻擊、內部人員疏失或系統漏洞，只要造成未經授權的存取或揭露，企業依法即負有通知當事人及主管機關的義務。

台灣《個資法》修正案已大幅提高罰則，對情節重大者，主管機關可直接裁處最高新台幣1,500萬罰鍰並命改正。 事故不僅重創企業商譽與客戶信任，更可能影響在全球供應鏈中的地位。特別是為半導體、汽車或金融等產業提供服務的企業，健全的個資保護是贏得台積電、聯發科等國際大廠信賴的基礎。

主要相關標準為 ISO/IEC 27701（隱私資訊管理系統），它延伸了 ISO/IEC 27001（資訊安全管理系統）的要求。具體而言，ISO/IEC 27001 的 A.16 資訊安全事故管理，以及 ISO/IEC 27701 的 6.13.1 條款，皆對事故應對、通報與改善有明確規範。 此外，歐盟的 GDPR 也對個資侵害事故的通報有嚴格要求。

積穗科研是全台最早結合 ERM、科技法律與資料科學的顧問公司。我們由具預防法學背景的創辦人帶領，團隊整合科技法律師與 ISO 主導稽核員，能協助企業將 ISO 27701 等認證與公司治理、內控制度垂直整合，不僅是取得證書，更能有效預防與應對個資侵害事故，避免制度疊床架屋，建立具備韌性的管理體系。