個人資料(以下簡稱為個資)一旦外洩,發生個資事故,委任蒐集處理個資企業(GDPR稱為controller)通常被課有通報義務,由於個資涉及個人隱私,目前層出不窮的詐騙案件,多利用所獲取之個資(無論是否為合法取得)對當事人進行各式各樣的金錢財物騙取。而民眾日常生活中若收到簡訊通知,提醒注意恐有不肖業者與會員聯繫,通常就表示企業發生個資外洩事故。
我國個人資料保護法並未明文規範通報主管機關或通知當事人的時限,由各目的事業主管機關作細部規範。GDPR第三十三條規範於個人資料侵害發生時,controller
應於發現後 72 小時內通報主管機關,但個人資料侵害無造成對當事人權利及自由之風險時,不在此限。至於對當事人的通知,則是於
個人資料侵害可能導致當事人權利及自由之高風險時,controller應與資料主體溝通個人資料侵害,不得無故遲延(GDPR第三十四條)。GDPR要求的通報內容包含描述個人資料侵害之本質,包括相關資料主體之類型及大致數量,及相關個人資料紀錄之類型及大致數量、個資長(data privacy officer)姓名及聯絡細節,以及個資侵害之可能結果(GDPR第三十三條)。
亞太各國規範仍是以GDPR為模板進行程度不一的調整修改。通知對象都是主管機關與當事人為主,然未必有期限限制,如有,通常也是要求於發現後 72 小時內通報。比較特別規範的是印尼,規定如個資事故對公眾有重大影響時,應通知公眾;而南韓網路法則要求,應於入侵事故發生24小時內通報主管機關。
法令要求controller儘速通報的原因,當然是為了將對當事人發生的傷害盡力降到最低;然,前一篇討論過,controller法遵義務之履行多仰賴processor(受委任企業)之協力,由於controller個資蒐集處理鮮少完全由自身內部負責,甚至可以說幾乎都是經由processor進行,而因通報義務違反常伴隨罰則,且延遲通報對於當事人權益影響恐甚鉅,故如何向processor宣導立即通報的重要性,以避免超過法定通報時限,同時符合法定通報義務要求的完整內容,於筆者所任職的外商公司,將其列為processor最首要的協力義務!是故,筆者建議
controller在與processor在合作上,務必嚴格要求於個資事故發生processor應立即且不晚於24至72小時內通知controller,以免遭致處罰進而嚴重影響商譽。
