24123淺談新個資法草案：設立「個人資料保護長」制度之影響

Grant Thornton Taiwan正大聯合會計師事務所法務經理 陳虹宇

2024年12月20日，台灣個人資料保護委員會籌備處預告了《個人資料保護法（下稱「個資法」）》修正草案，旨在建立獨立監督機制，並設置專責人員以確保個人資料保護相關事宜的有效執行。其中，設立「個人資料保護長」制度，將進一步提升台灣在個人資料保護領域的專業性與監督效能。

1. 「個人資料保護長」制度之設立

新個資法草案的創新之一是要求公務機關設置「個人資料保護長」，該職位由機關首長指派副首長或其他適當人員兼任，負責推動和監督機關內部的個人資料保護工作。對於規模較大或業務特殊的非公務機關，主管機關也可要求設立此職位。同時，草案還強調主管機關應為「個人資料保護長」提供專業訓練，以確保其能有效履行職責。

此等制度的建立不僅強調公私部門在資料保護上的共同責任，藉由設置專責人員，更提升機構在資料保護領域的專業能力與法遵意識。

2. 國際背景與啟發

歐盟於2018年實施的《一般資料保護規範》（General Data Protection Regulation, GDPR）設立了資料保護的新標準，要求公務機關及處理大量個人資料的機構設立資料保護長（Data Protection Officer）。GDPR還規定資料保護長應具備專業知識，要求組織提供充足資源與支持，以確保資料保護長能有效執行任務。

從這一角度來看，新個資法草案設立「個人資料保護長」制度，顯然受到GDPR的啟發，並將其理念引入台灣本土法律體系。此制度不僅能提升資料保護工作的專業性，還有助於台灣與國際標準接軌，符合全球對個人資料保護日益嚴格的要求。

3. 引領機構文化轉變與運作專業化

「個人資料保護長」之設立，象徵政府對個人資料保護工作的高度重視，也透過政府的引領作用，藉由機關內「高層基調」（the Tone from the Top）為個人資料保護工作提供了明確支持，並塑造重視資料保護的風氣和價值觀，進而引領整體文化的轉變。

此外，此制度也體現了機構運作的專業化。長期以來，個人資料保護與資訊安全之間的界線模糊，許多機構將個人資料保護工作歸入資訊部門的職責範疇。然而，儘管兩者存有交集，其核心關注點卻有所不同：資料保護側重於保障個人資料的合法使用，而資訊安全則強調資訊和資料的機密性與完整性。設立「個人資料保護長」一職，能有效劃分兩者的職責範疇，並賦予該職位相應的權限，從而促進各部門在處理相關業務時實現專業分工與協作，提升工作效率。

結語

總結來看，台灣個人資料保護法修正草案提出設立「個人資料保護長」制度，強調專責人員對資料保護工作的推動與監督。此舉不僅彰顯政府對資料保護的重視，還借鑒歐盟GDPR模式，進一步提升資料保護領域的專業性與法遵意識，並促進台灣與國際標準的接軌。

「個人資料保護長」制度也有助於改變機構文化，透過明確劃分資料保護與資訊安全的職責範疇，提升機構在資料保護領域的協作和效率，為台灣未來在個人資料保護上的長期發展奠定堅實基礎。

以上訊息由正大聯合會計師事務所提供