一、根據個人資料保護法第五十三條規定，主管機關雖規定為法務部，惟行政院於107年5月24日第3601次院會責成國發會成立「個人資料保護專案辦公室」，加強跨部會因應GDPR事宜之協調整合，並監督各部會落實執行個人資料法之情形。然而目前實務上，該個人資料保護專案辦公室無相關法源依據僅為任務編組，對於個資保護似有不彰，更有流於形式之疑慮。而我國個資法雖賦予中央目的事業主管機關「執法」權力，但在「指導」任務部分卻較國外法例不足，使得我國公務機關及非公務機關僅能依中央目的事業主管機關的「被動解釋」，於個案摸索、拼湊個資法的全貌。另，近期更發生戶政資料外洩及民眾健保個資長期遭到公務人員違法查詢，更顯示出，我國在落實監督個資保護上應有專責單位負責處理。

二、參酌歐盟於107年施行一般資料保護規則（GDPR），並於該架構第五十一條規範各會員國應設立至少一個獨立公務機關。查，憲法法庭憲判字第13號判決提及「由個資法或其他相關法律規定整體觀察，欠缺個人資料保護之獨立監督機制，對個人資訊隱私權之保障不足，有違憲之虞，相關機關應自本判決宣示之日起3年內，制定或修正相關法律，建立相關法制」，另，國發會委託研究之「個人資料保護專責機關予資料在地化之法制研究」亦指出，個資保護除了需具備「專責性」更需具備「獨立性」，以使職權行使不受干預，顯示出無論國際趨勢或是相關研究均指出個人資料保護需以獨立機關為之。

三、依本條現行規定，二級獨立機關以三個為限，參酌我國現有二級獨立機關，有中央選舉委員會、公平交易委員會及國家通訊傳播委員會，已達法定上限。爰為配合後續增設個人資料保護委員會，將現行本條法定上限由三個改為四個。