2026-05-09
劉博文 律師
,
0

[個資與隱私法 1] 個資法總論:從個資法第 19 條到 GDPR 的當代隱私挑戰

個人資料保護不只是法律議題,更是當代社會對「個人在數位環境中的尊嚴」的根本承諾。本文以個資法的核心架構、GDPR 與我國法的對照、企業合規的實務路徑、特殊行業的延伸規範四個面向,建立讀者進入個資法世界的整體框架。

個資法總論|魔幻寫實平面 flat:中央個資雲、歐盟旗台灣旗呼應、個人剪影張開雙手仰望、藍紫資料感

本文重點

每天,你的姓名、電話、地址、消費紀錄、瀏覽軌跡、生物特徵、社群關係、健康資料,都在被各種機構蒐集、儲存、分析、傳輸。個人資料保護法就是這一切活動背後的法律規則。它不只是合規負擔,更是當代社會對「個人在數位環境中的尊嚴」的根本承諾。本文是「個資與隱私法」系列的開篇之作,從個資法的核心架構、GDPR 與我國法的對照、企業合規的實務路徑、到特殊行業的延伸規範,建立讀者進入個資法世界的整體框架。

I
壹 CHAPTER

個資法的當代意義:從合規到尊嚴

為什麼個資不只是法律議題

個人資料保護(以下簡稱個資保護)的法律設計,過去常被視為單純的「合規負擔」——填表、設密碼、做稽核。但隨著資料在當代社會的角色擴張,個資保護的真正意義已從技術合規上升到個人在數位環境中的尊嚴維護。當你的健康資料能精準預測你的疾病、你的消費紀錄能準確描繪你的偏好、你的社群關係能反推你的政治立場,「對個資的保護」就成為「對個人作為主體性的保護」。

2010

我國個資法施行年

前身為民國 84 年「電腦處理個人資料保護法」,99 年大幅修正,101 年施行

2018

歐盟 GDPR 全面適用

全球個資保護的最高標準,域外效力廣泛

4%

GDPR 最高罰金率

全球年營業額 4% 或 2,000 萬歐元(較高者),嚇阻效果顯著

II
貳 CHAPTER

個資法的三段式架構

蒐集 → 處理 → 利用 — 規範整個生命週期

我國個資法將個資處理的完整生命週期,分為蒐集、處理、利用三個階段。每個階段對應不同的法律規範與實務要求。理解這三段式架構,是進入個資法世界的第一個鑰匙。

STAGE I

蒐集 Collection

須有特定目的 + 法定事由(法律明文、契約關係、當事人同意、增進公共利益等)。違反第 19 條可處刑事責任。

STAGE II

處理 Processing

限於蒐集目的範圍內的內部運用(儲存、檢索、分析、修改、刪除)。需採適當安全措施。

STAGE III

利用 Use

對外揭露、提供、轉移。原則上限於蒐集目的範圍內,目的外利用須符合特別事由(第 20 條)。

三階段在實務上並非絕對切割,但作為法律分析的結構性思維工具極為重要。當企業面對個資爭議時,第一個動作就是釐清:這是蒐集階段的問題(同意有效性?目的明確?),還是利用階段的問題(目的外利用?跨境傳輸?),抑或是處理階段的問題(安全措施不足?)。

蒐集原則

特定目的 + 法定事由

  • 個資法第 19 條第 1 項列七種事由
  • 法律明文、契約關係、當事人公開、學術研究、當事人同意、增進公共利益、不違反當事人權益
  • 七種事由皆需與「特定目的」連結
  • 「目的」應具體明確,不可泛稱「業務需要」

利用原則

目的範圍內 + 例外列舉

  • 個資法第 20 條第 1 項:原則上限於蒐集目的範圍內
  • 目的外利用之例外:法律明文、增進公共利益、為免危害當事人或第三人權益、學術研究、當事人書面同意等
  • 違反目的拘束依第 41 條可處刑事責任
  • 對 AI 訓練是當前最大爭議

蒐集與利用兩個階段的核心原則,在現行個資法中是明確且嚴格的。「目的拘束」(蒐集時的目的限制了後續利用範圍)是個資法的根本精神。當前 AI 訓練面臨的最大法律爭議,即在於以「客戶服務」目的蒐集的個資,能否用於「訓練 AI 模型」這個明顯不同的新目的。本系列第 3 篇(AI 與個資法)對此議題有深入分析。

III
參 CHAPTER

當事人五項權利 · 完整鏈

查詢、複製、更正、停止、刪除 — 個資自主的五個面向

個資法第 3 條賦予當事人五項基本權利。這五項權利不只是法律條文,而是當代「資料自主權(Data Autonomy)」的具體展現。每一項權利都對應企業的相應義務,構成完整的權利義務鏈。

個資法當事人五項權利 · 完整鏈

第一權

查詢或請求閱覽權

第 3 條第 1 款 · 第 10 條

當事人有權查詢自己的個資被誰、為何、如何處理。企業應於 15 日內回覆(可延長一次)。

第二權

請求製給複製本權

第 3 條第 2 款

當事人有權取得自己個資的複本,可作為轉至其他機構或自行運用的基礎。企業可收取必要費用。

第三權

請求補充或更正權

第 3 條第 3 款 · 第 11 條第 1 項

當事人發現個資不正確時,有權要求企業補充或更正。企業有義務確保資料正確。

第四權

請求停止蒐集處理利用權

第 3 條第 4 款 · 第 11 條第 3 項

當事人有權要求企業停止對其個資的特定處理。企業除有特別事由外,應停止。

第五權

請求刪除權

第 3 條第 5 款 · 第 11 條第 3 項

當事人有權要求企業刪除其個資。GDPR 進一步發展為「被遺忘權」,在 AI 場景面臨特殊挑戰。

實務上,當事人權利行使最常出現爭議的是第四權(請求停止處理)第五權(請求刪除)。前者涉及企業是否可主張「為履行契約必要」而拒絕停止;後者在 AI 時代涉及更複雜的技術困難——當資料已被吸收進 AI 模型權重,如何「徹底」刪除?歐盟發展出的「被遺忘權(Right to be Forgotten)」進一步擴張此權利,我國個資法雖無同樣明確的條文,但學說與實務見解逐漸採類似立場。

IV
肆 CHAPTER

個資的四級保護分級

從敏感個資到去識別化 — 不同等級不同保護

並非所有個資的保護要求都相同。我國個資法區分「特種個資(敏感個資)」「一般個資」,給予不同強度保護。實務上可進一步細化為四個保護等級。

個資的四級保護分級

LEVEL 1

敏感個資 / 特種個資

病歷、醫療、基因、性生活、健康檢查、犯罪前科 — 第 6 條原則禁止蒐集,例外情況才允許,且要求書面同意

LEVEL 2

高度識別性個資

身分證號、護照號、信用卡號、生物特徵 — 須採高強度安全措施(加密、存取控制、稽核)

LEVEL 3

一般識別性個資

姓名、聯絡方式、消費紀錄、IP 位址、Cookie — 一般保護要求,須遵循蒐集處理利用規範

LEVEL 4

去識別化資料

已徹底去識別化、無法回推個別當事人 — 不屬個資,可較寬鬆使用,但「徹底去識別化」標準嚴格

等級劃分對企業的實務意義是:不同等級的個資需採不同強度的安全措施與內部控管。對特種個資,企業應採加密儲存、嚴格存取控制、定期稽核、書面同意等嚴格措施;對去識別化資料,則可較寬鬆運用於分析與研究。但需特別注意:「徹底去識別化」的技術標準在當代日益困難——透過大量資料的交叉比對,看似去識別化的資料仍可能被重新識別。

V
伍 CHAPTER

我國個資法 vs. GDPR · 國際對照

跨國服務必須掌握的差異地圖

當企業跨國服務,個資合規不再只是我國法律問題,而需同時應對多國法律。歐盟 GDPR 是全球個資保護的最高標準,美國加州 CCPA 則是美國最具影響力的州級個資法。台灣企業若服務歐盟、美國市場,皆需理解差異。

我國個資法 vs. GDPR vs. CCPA · 主要面向對照

面向我國個資法歐盟 GDPR美國加州 CCPA
立法年101 年施行(99 年大修)2018 年適用2020 年適用
適用範圍我國境內;部分跨境延伸處理歐盟居民個資者皆適用(域外效力)加州居民個資 + 達一定門檻企業
同意要求蒐集時告知 + 同意(可推定)明確、特定、可撤回的積極同意消費者可選擇加入/退出
當事人權利查詢、複本、補充更正、停止處理、刪除上述 + 資料可攜權、被遺忘權、自動化決策異議權知悉權、刪除權、選擇退出權、不被歧視權
跨境傳輸相對寬鬆,主管機關可限制須適足性決定或標準契約條款(SCC)無特別跨境限制
違反罰金行政罰鍰最高 50 萬元;情節重大可處刑事最高 2,000 萬歐元 / 全球年營收 4%每次違反 2,500-7,500 美元 + 集體訴訟
DPO 義務無明確強制要求特定情況強制設置無明確要求

三套法律的最大差異在於「域外效力」「罰金嚴厲程度」。GDPR 對「處理歐盟居民個資的所有企業」皆適用,即使企業在台灣;違反最高可處全球年營業額 4% 或 2,000 萬歐元(較高者),嚴重程度與行銷詐欺案的處罰相當。對台灣 SaaS、電商、平台、AI 服務業者,若有歐盟用戶,合規不再是選項而是必須。

VI
陸 CHAPTER

企業個資合規 · 持續循環的四階段

從盤點到稽核 — 合規不是專案,是常態

個資合規最常見的錯誤,是把它當作「一次性的專案」——做完盤點、發完同意書、寫完隱私政策就結束。但個資處理是持續演化的過程:新業務不斷上線、新合作夥伴不斷加入、員工不斷流動、法規不斷調整。合規必須是持續循環的常態活動

企業個資合規 · 四階段持續循環 I個資盤點資料流向、儲存位置II同意與告知蒐集時的法定事由III安全措施技術 + 組織控制IV權利處理當事人請求處理機制

四階段中,個資盤點是最基礎也最常被低估的工作。許多企業誤以為「我們有隱私政策」就等於合規,但實際上若不知道「我們現在掌握哪些個資、儲存在哪裡、誰能存取、流向何方」,後續所有合規努力都是浮沙築塔。建議企業至少每年進行一次完整盤點,並在新業務上線時做點狀更新。

VII
柒 CHAPTER

我國個資法律的演進

從 1995 到 2024 — 三十年的法制建構

我國個資保護法律經歷三十年的逐步演進。每一次修法都反映了當代資料處理技術與社會期待的調整。理解此演進歷程,有助於企業預判未來修法方向。

我國個資法律發展 · 30 年演進

84 年(1995)

電腦處理個人資料保護法

我國首部個資專法,僅規範八大行業(徵信、銀行、醫院等)

99 年(2010)

個人資料保護法大幅修正

擴及所有行業與所有人,引入特種個資概念,刑罰加重

101 年(2012)

個人資料保護法施行

我國正式進入全面個資保護時代

104 年(2015)

第二次部分修正

第 6 條特種個資修正、第 41 條刑罰修正

112 年(2023)

第三次部分修正

引入個人資料保護委員會制度、提升違反罰鍰、強化跨境傳輸監督

113 年(2024)

個人資料保護委員會籌備

我國個資專責主管機關正式成立,提升個資保護的執法能力

進行中

GDPR 適足性決定爭取

我國持續向歐盟爭取適足性決定,促進台歐間資料流通

2024 年成立的個人資料保護委員會是我國個資保護的重要里程碑。過去個資法的執法分散於各部會(衛福部處理醫療個資、金管會處理金融個資、NCC 處理電信個資),統合度不足。專責主管機關的成立,將大幅提升個資保護的執法能力與一致性。本系列後續第 12 篇將深入此議題。

VIII
捌 CHAPTER

結語:個資是當代法律的長期戰場

本系列的編寫立場

個資保護是當代法律最快速演化的領域之一,也是企業最容易忽視風險的領域之一。當技術讓「蒐集個資」變得像呼吸一樣自然,法律就必須提供清楚的規則,讓「個人」這個主體不被「資料」這個客體吞噬。

附 記

個資保護的核心承諾是「個人對自己資料的自主控制」。本系列接下來將深入蒐集處理利用三段、跨境傳輸、DPO 制度、GDPR 域外效力、外洩 SOP 等專題,構成完整的個資合規地圖。對企業而言,個資合規不是事件式的應急,而是長期治理的累積——每一份合理的同意書、每一次妥善的權利處理、每一場有紀錄的內部稽核,都是企業在數位時代的長期信任資本。

常見問題

Q. 我國個資法保護的「個資」範圍有多大?

A. 依個資法第 2 條,個資是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。範圍極廣,包含 IP 位址、Cookie、消費紀錄、瀏覽軌跡、生物特徵等當代數位足跡。企業在判斷某資料是否為個資時,應採「廣義」立場,確保最大保護。

Q. 企業違反個資法會被處罰多重?

A. 依違反態樣不同:一般違反處新台幣 5 萬到 50 萬元行政罰鍰,情節重大可處 50 到 500 萬元並命令停業;涉及刑事責任(意圖營利、不當蒐集處理利用)可處 5 年以下有期徒刑、得併科 100 萬元以下罰金;企業負責人有共同責任。此外當事人可請求民事損害賠償,每人每事件 500 元到 2 萬元;集體訴訟可達數千萬。建議企業將個資合規視為核心治理項目,而非可有可無的事項。

Q. 我們是中小企業,真的有必要建立完整個資合規架構嗎?

A. 視業務規模與個資處理量而定。若僅處理少量基本聯絡資料(姓名、電話),可採簡化合規(基本同意書、安全儲存、員工教育);若處理大量客戶資料、敏感個資、跨境業務,則需完整合規架構(個資盤點、隱私政策、權利處理機制、定期稽核)。判斷標準不是企業規模,而是「資料的敏感度與風險」。建議至少完成最低限度合規(同意機制 + 安全措施 + 權利處理),為日後爭議預留證據。

Q. 我們的網站使用 Cookie 與分析工具,需要哪些合規動作?

A. 三件事:第一,Cookie 政策(網站揭露使用 Cookie 的類型、目的、第三方接收者);第二,使用者同意機制(對非必要 Cookie 應徵詢同意,GDPR 要求積極同意);第三,當事人權利處理(提供關閉 Cookie、撤回同意的機制)。涉及歐盟用戶時要求更嚴格,需採完整 GDPR 合規架構。建議委請熟悉個資法與 GDPR 的律師建立完整 Cookie 合規方案。

Q. AI 訓練可以使用客戶個資嗎?

A. 原則上需重新評估。若原本以「客戶服務」為目的蒐集個資,後續用於「訓練 AI 模型」可能屬於目的外利用,需符合特別事由(法律明文、學術研究、增進公共利益、當事人書面同意等)。實務建議:第一,在告知同意時明確列入 AI 訓練用途;第二,提供分項同意,讓當事人可選擇是否同意 AI 訓練;第三,對既有資料若要新增 AI 訓練用途,應取得新同意或進行充分去識別化。本系列第 3 篇與 AI 系列第 3 篇有深入分析。

個資與隱私法系列(規劃中,陸續上線)

作者 劉博文 律師