「個人資料保護法部分條文修正草案」，請審議案。

本院委員王美惠、蔡易餘、莊瑞雄等18人，鑑於近年個資外洩事件頻傳，如2022年10月傳出我國近2,300餘萬筆戶政資料遭販賣、2023年健保資料遭健保署前主秘竊取、我國知名租車業者個資外洩案等，顯見無論是公家機關或私人企業，皆面臨著有心人士竊取個資的問題，乃至於遭國安單位認證已形成國際嚴重犯罪問題。為落實憲法所保障之隱私權、回應歐盟一般資料保護原則（General Data Protection Regulation, GDPR）精神，爰擬具「個人資料保護法部分條文修正草案」。是否有當？敬請公決。

一、對於同一原因事實造成超過一名當事人受到權力侵害之事件，經當事人請求損害賠償者，其合計最高總額原以新臺幣二億元為限。惟迄上次修正損害賠償總額上限已逾十二年，且近年科技發展快速，公務或非公務機關之發展已資訊化，各機關蒐集、處理、利用或國際傳輸個人資料之情形日益普遍。為督促個人資料蒐集及持有之公務及非公務應負有維護責任，提升損害賠償之最高總額實屬必要。
二、營利社團法人憑藉科技之進步，得以自身產品或服務，透過雲端、大數據、物聯網等科技應用成果，極易獲取大量個人資料。為避免上述資料受侵害，實應提升營利社團法人損害賠償最高總額之限制。且營利社團法人之規模大小與獲取之資料量應為正相關，故參照歐盟GDPR第八十三條之規定，增訂損害賠償最高總額亦得以前一會計年度全球年營業額之百分之二為上限，兩者取最高者為準。
三、現行違反本法第六條第一項、第十九條及第二十一條第一項，最高僅可處以新台幣五十萬元罰鍰。惟企業大型資料庫進行資安維護、個資保護之成本，與現行罰則相比極度不符合比例原則，對於企業無嚇阻之效果，爰適當調高此項罰鍰至五百萬元。
四、企業落實社會責任，個人資料安全之維護應為最低基本責任，若有觸犯者應給予罰鍰。惟現行裁罰金額過低，與企業進行資安維護之成本有極大之差距，故適當提高本條之罰鍰，以符合比例原則，更可促使企業落實完善資安之保護。