壹、訂定目的
　　個人資料保護法於99年5月26日修正公布，該法第27條明定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。」本辦法爰依據上述個人資料保護法之授權而訂定。
貳、訂定意旨
　　有鑑於內政部業管警政類非公務機關為經營業務需要，經手管理相關個人資料，為防止個人資料被竊取、竄改、毀損、滅失或洩漏，非公務機關對所保有之個人資料檔案應採行適當之安全措施，爰依個人資料保護法第27條第3項規定授權，並參酌個人資料保護法施行細則第12條規定，擬具內政部指定警政類非公務機關個人資料檔案安全維護管理辦法，以資內政部指定警政類非公務機關遵循。
參、預告期間人民意見之處理
      本案預告期間共有3則民眾留言，內容如下：
一、本辦法與現行之「保全業個人資料檔案安全維護管理辦法」、「當舖業個人資料檔案安全維護管理辦法」、「槍砲彈藥刀械業個人資料檔案安全維護管理辦法」差異為何？既有上開三辦法，再訂定本案之原因或必要性何在？本案發布施行後，「保全業個人資料檔案安全維護管理辦法」、「當舖業個人資料檔案安全維護管理辦法」、「槍砲彈藥刀械業個人資料檔案安全維護管理辦法」等三辦法如何處理？
二、第8條、第15條均以「五千筆個資」為條件，事先有徵詢利害關係團體、專家學者意見或與相關業者討論協商嗎？為何「五千筆」以上的個人資料事故，非公務機關要書面通報主事務所所在地之地方主管機關，這個數字是怎麼評估出來的？
三、為周全保護個人資料，建議刪除第8條第2項「達五千筆以上」之條件限制。
針對上述民眾留言，回應意見如下：
一，本辦法與現行之三個辦法差異處在於：定明非公務機關遇有達五千筆以上之個人資料被竊取、洩漏、竄改或其他侵害之重大個人資料事故時，負通報義務。並定明事故通報時點及應通報事項。中央及地方主管機關並得對於前述重大個人資料事故採取之措施及後續行政檢查。本辦法係整合內政部警政署業管之三個辦法，將原先依行業類別各別訂定之管理辦法整合為一法案，避免依各別行業逐一規範造成法令龐雜。本辦法發布施行後，三個辦法將廢止，後續依本辦法之規範辦理。
二，參考「製造業及技術服務業個人資料檔案安全維護管理辦法」第2條規定，係以保有消費者個人資料筆數達五千筆以上之業者應依該辦法之規定，規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫，爰定明非公務機關遇有達五千筆以上之個人資料被竊取、洩漏、竄改或其他侵害之重大個人資料事故時，負通報義務；以及非公務機關使用資通訊系統蒐集、處理或利用消費者個人資料達五千筆以上者，應採取強化資訊安全措施。本案另邀集法務部、國家發展委員會、臺北市政府、新北市政府、桃園市政府、臺中市政府、臺南市政府、高雄市政府等相關機關召開法規審查會議討論通過。
三，考量非公務機關之業務規模及特性差異甚大，為避免保有個人資料筆數較少且規模較小之非公務機關負擔過高之成本，參酌「製造業及技術服務業個人資料檔案安全維護管理辦法」第2條規定，定明非公務機關遇有達五千筆以上之個人資料被竊取、洩漏、竄改或其他侵害之重大個人資料事故時，應負通報義務。未來將視個人資料保護、非公務機關之業務規模發展等情節，適時滾動修正調整以符合時代之需要。

行政院公報刊登網頁：
https://gazette.nat.gov.tw/egFront/detail.do?metaid=127898&log=detailLog

發表人：侯博文
聯絡電話：02-23215974
聯絡人：劉展佑
聯絡電話：02-27666633