近年來，個人資料外洩事件頻仍，不論為公務機關或上市櫃公司，對於資安管控皆負有一定程度之要求。上市上櫃公司應依循上市上櫃公司資通安全管控指引，建立內部資安風險控管機制；公務機關及非公務機關，則須遵循《個人資料保護法》之相關規範。

然而，2022年間我國發生高達2,357萬2,055筆戶政資料外洩，並於暗網遭公開販賣之重大資安事件，引發社會高度關注。部分民眾因此向戶政事務所申請重新配賦國民身分證統一編號，惟遭駁回，經提起訴願及行政訴訟後，近日由臺北高等行政法院判決撤銷原處分及訴願決定，並命戶政機關依判決意旨另為適法之處分¹。此一判決，亦凸顯現行制度下個資救濟途徑之重要性。

隨著AI時代的來臨，個人資料之蒐集、利用與風險型態日益複雜，我國亦同步推動法制調整。《個人資料保護法》(下稱個資法)已於2025年11月11日公布部分修正條文，除配合個人資料保護委員會之成立而進行制度性調整外，亦進一步強化公務機關之監督責任，並明定應設置「個人資料保護長」，負責統籌推動及督導相關保護措施。

本次修法中，尤應注意第12條有關個資事故通報義務之修正。該規定係參酌歐盟一般資料保護規則(GDPR)及日本、南韓相關立法例，將通報義務由公務機關擴及非公務機關。依修正後規定，凡個人資料遭竊取、竄改、毀損、滅失或洩漏等情形時，機關即應通知當事人；如達一定門檻，並應向主管機關進行通報。

此外，基於預防勝於事後救濟之思維，第18條亦配套修正，並呼應2022至2024國家人權行動計畫中數位人權保障項下編號第134號之政策方向，正式建立個人資料保護長機制，於事故發生時，機關除應即時採取有效應變措施、防止損害擴大，亦須完整記錄事件經過、影響範圍及處理措施，並妥善保存，以備主管機關後續查核。整體而言，本次個資法修正已朝向強化事前防護與事後監督並重之方向邁進，惟相關條文雖已經總統公布，其施行日期仍待行政院另定之，後續制度落實情形尚有待持續觀察。