2026-05-09
劉博文 律師
0

[個資與隱私法 7] 資料外洩的緊急處理 SOP

資料外洩是企業最不願面對卻最可能發生的個資危機。本文以四階段 SOP、通報義務、損害控制、後續救濟,梳理當代資料外洩處理的完整地圖。

資料外洩 SOP|純平面繽紛 flat:紅色警示燈、72小時倒數鐘、破洞資料庫、應變團隊持滅火器衝向漏洞

個 資 與 隱 私 法 · 第 七 篇 · 外 洩 處 理

資料外洩
緊急處理 SOP

從發現外洩到主管機關通報,從受害者保護到品牌修復——資料外洩的緊急處理需要事前準備的完整 SOP。

劉博文律師 · 和鼎律師事務所主持律師

本文導讀

本文涵蓋:資料外洩四階段 SOP(發現、評估、通報、修復)、GDPR 72 小時通報、我國個資法外洩通報義務、實務危機應對。

I

第 壹 章

外洩四階段 SOP

從發現到修復的標準作業

72小時

GDPR 通報時限

外洩發生後 72 小時內須通知主管機關(風險低者除外)

4階段

處理流程

發現 → 評估 → 通報 → 修復,每階段有具體任務

2

民事時效

當事人請求權知悉時起 2 年消滅(民法第 197 條)

資料外洩處理 · 四階段 SOP I發現與隔離立即停損 + 證據保存II評估與調查規模、類型、影響評估III通報主管機關 + 當事人IV修復與檢討技術修復 + 制度檢討
II

第 貳 章

通報義務的對照

我國 vs GDPR

我國個資法 vs GDPR · 外洩通報對照

面向我國個資法GDPR
主管機關通報依個資法第 12 條,具體外洩通報義務72 小時內(嚴格時限)
當事人通知應通知,具體時限視個案高風險外洩需立即通知
通知內容事件類型、影響範圍、補救措施更詳細(含 DPO 聯絡、可能後果)
違反責任罰鍰 + 民事賠償4% 全球營業額 / 2,000 萬歐元
III

第 參 章

時間軸的危機應對

四階段具體任務

PHASE I

發現後立即(0-2 hr)

啟動 IRT(事件處理小組)、隔離受影響系統、保存證據、緊急通訊鏈啟動。

PHASE II

初步評估(2-12 hr)

外洩類型、規模、敏感度評估;判斷是否需通報;律師與資安團隊介入。

PHASE III

通報執行(12-72 hr)

主管機關通報、當事人通知(高風險者)、媒體聲明準備、客服窗口開啟。

PHASE IV

修復與檢討(72 hr+)

技術根因修復、流程改善、員工再教育、長期監控、責任檢討、保險理賠。

「資料外洩不是「會不會發生」,而是「何時發生、多嚴重」。事前 SOP 是企業在風暴中保住信任的唯一錨。」

— 本文觀點

IV

第 肆 章

結語 · 下一篇:員工個資與監控

附 記

資料外洩處理是個資合規最考驗團隊的時刻。建議企業事前備妥 SOP + 模擬演練 + 建立律師資安顧問關係。本所協助多家企業建立外洩 SOP 並處理實際事件,如有需要請聯絡諮詢。

常見問題

Q. 資料外洩多大規模需要通報?

A. 視外洩類型、敏感度、影響人數綜合判斷。原則:涉及特種個資(健康、金融、性別等)、大規模外洩(>1,000 人)、可能造成重大損害,皆應通報。GDPR 採嚴格 72 小時時限;我國雖無明確時限,但越快越好。建議:發現外洩立即啟動 SOP,4-12 小時內完成評估與決策。

Q. 外洩後通報主管機關,會被加重處罰嗎?

A. 通報本身不是加重事由,反而體現企業負責態度。主管機關處罰時會綜合考量:外洩規模、企業因應、補救措施、是否盡防範義務。不通報反而是嚴重事由,可能加重處罰。建議:依法通報,並完整記錄處理過程,作為日後申辯基礎。

Q. 發現是內部員工外洩,該怎麼處理?

A. 三步驟:第一,立即隔離(撤回該員工存取權限、保存電子證據);第二,內部調查(確認外洩範圍與動機);第三,法律處理(委請律師評估 – 民事損害賠償、刑事告訴侵占/洩密、勞動契約解除)。實務上內部外洩比外部攻擊更難處理,需兼顧法律、勞資關係、調查證據。

Q. 外洩後當事人可以告我們嗎?

A. 可以。當事人可主張:第一,民事侵權(個資法第 28 條,每人每事件 500-2 萬,集體訴訟可達數千萬);第二,刑事告訴(若涉及第 41 條意圖不法利益);第三,消保法集體訴訟(消保官代表)。建議:發生事件後主動提供當事人協助(免費信用監控、補償方案)可降低訴訟意願。

Q. 外洩處理有保險可保嗎?

A. 有。「網路安全保險」(Cyber Insurance)涵蓋:外洩處理費用、通報成本、律師費、當事人賠償、業務中斷損失、品牌修復成本。台灣已有多家保險公司提供。建議大型企業 + 處理大量個資企業優先投保,保額視業務規模而定。

個資與隱私法系列(規劃中,陸續上線)

作者 劉博文 律師