從 SaaS 服務、電商平台到社群媒體,數位經濟的核心驅動力就是數據。然而,當商業模式的根基建立在蒐集、分析、利用使用者數據之上時,個資保護就從單純的法遵議題,上升為企業信任與核心競爭力的關鍵。
對於此,數位發展部已正式頒布數位經濟相關產業個人資料檔案安全維護管理辦法(下稱安維辦法),引入PDCA(Plan-Do-Check-Act)的管理方法,為業者提供了詳細的安全維護標準。本篇將結合法規要求,解析安維辦法下的核心管理義務,並進一步聚焦於用戶行為追蹤、跨境資料傳輸等數位經濟產業獨特的個資法規相關合規重點。
一、安維辦法的適用對象
根據安維辦法附表一,其適用的行業包括電子購物、軟體出版、資料處理、主機代管、網站代管以及電腦程式設計、諮詢與相關服務業等。
根據此法規,業者應在法規生效後的三個月內完成個人資料檔案安全維護計畫的制定。然而,至今已經超過法規規定的準備期,這意味著所有符合條件的業者如今應已全面實施該安全維護計畫,並且開始進行持續的風險評估和管理。
你的企業,準備好了嗎?
二、安維辦法下的資安系統 SOP
除了上述議題,安維辦法更對業者的內部管理設下了具體的 SOP 要求,是所有業者都必須建立的機制:
(一)訂定並對內公開「個資保護管理政策」(安維辦法第 4 條)
業者必須制定一份管理政策,對內周知,內容至少應包含:遵守法令、安全蒐集/處理/利用、設置聯絡窗口、緊急應變程序、監督受託者等七大事項。
(二)定期清查與風險評估(安維辦法第 6、7 條)
應定期盤點公司內部到底有哪些個資,並根據業務流程評估風險,採行相應的安全措施。此舉亦有助於落實個資法第 11 條第 3 項關於特定目的消失後應刪除資料之義務。
(三)建立詳細的內部管理程序(安維辦法第 9 條)
法規要求業者必須建立一套完整的內部 SOP,內容涵蓋如何檢視蒐集、處理、利用的合法性(對應個資法第 19 條、第 20 條);如何處理當事人行使權利(對應個資法第 3 條、第 10 條、第 11 條);以及如何在目的屆滿後刪除資料等。
(四)落實具體的技術與人員管理(安維辦法第 11 至 14 條)
- 技術面:明列了業者應採行的 10 項安全措施,包含建置防火牆、入侵偵測系統、異常存取監控機制、資料隱碼技術等。
- 人員面:應與員工約定保密義務、依業務需求設定存取權限並定期檢視、在員工離職時確實移除權限且要求返還資料。並對所屬人員定期施以個資保護的認知宣導及教育訓練。
- 資料面:應對存有個資的紙本、電腦、磁碟等儲存媒介物,建置保護設備、訂定管理規範,並對存放環境施以進出管制。
(五)事故應變與通報(安維辦法第 8 條)
當個資外洩事故危及正常營運或大量當事人權益時,應於知悉後 72 小時內通報數位發展部。此為安維辦法在個資法外新增之義務,補充了個資法第 12 條僅要求通知當事人之規定。
(六)稽核與紀錄保存(安維辦法第 15、16 條)
應建立內部稽核機制,定期檢查計畫執行狀況。此外,個資的蒐集、處理、利用紀錄、軌跡資料、以及計畫的執行證據,應至少保存 5 年。
(七)高密度查核要求(安維辦法第 18 條)
對於資本額達新臺幣 1000 萬元以上或保有個資達 5000 筆以上的業者,有更嚴格的要求,必須每 12 個月至少實施及檢討改善一次特定的安全措施(如風險評估、資料清查等)。
三、產業議題:蒐集用戶資料的起點── Cookie
數位廣告與個人化服務,其基礎往往來自於對用戶線上行為的追蹤。此類行為往往涉及個人資料之蒐集、處理與利用,而應受個人資料保護法(下稱個資法)規範。
(一)追蹤資訊之定性:間接個人資料
依據個資法第 2 條第 1 款規定,個人資料包含「得以直接或間接方式識別該個人之資料」。然而無論是 Cookie、IP 位址、裝置 ID 等,此類資訊雖不直接包含用戶姓名,然透過與其他資料(如瀏覽紀錄)之比對、連結、勾稽,已足以識別特定個人之輪廓,故在法律上應定性為「間接個人資料」,落入個資法之保護範圍。
(二)合法蒐集之前提:告知與同意
既經定性為個人資料,其蒐集、處理與利用,即應具備合法性基礎。對於行銷或分析型之追蹤行為,須依據個資法第 8 條,在蒐集前應履行法定告知義務以取得當事人同意。因此,企業在網站上部署任何追蹤工具前,皆須同時履行「告知」與「取得同意」兩項法定義務,而「Cookie 同意橫幅」(Cookie Banner)即為實務上實踐此二義務之主要機制。
(三)有效同意之實踐:Cookie 同意橫幅之設計要件
個資法第 7 條將「同意」定義為當事人經告知後所為允許之「意思表示」,並課予蒐集者「舉證責任」。為確保所取得之同意具備法律上之有效性,Cookie 同意橫幅之設計建議遵循以下原則,以滿足積極、明確之意思表示,並鞏固企業之舉證基礎:
- 選擇之自由與明確性:提供明確且對等的「同意」與「拒絕」選項,確保同意係出於當事人之自由意願。
- 同意之特定性與控制權:評估提供「客製化設定」選項,使當事人得就不同目的之 Cookie(例如:行銷、分析、個人化)分別為同意與否之意思表示。
- 告知義務之完整性:於橫幅上提供清晰之連結,引導使用者閱讀符合個資法第 8 條法定告知事項之完整隱私權政策。
- 積極同意之形式(Opt-in):為符合「意思表示」之積極性要件,在使用者做出選擇前,除網站運作絕對必要之 Cookie 外,其他所有追蹤工具皆應保持在「預設關閉」狀態,由使用者主動點擊或勾選,始為同意。此種「Opt-in」機制,是滿足企業取得同意義務之最佳實務作法。
四、產業議題:跨境資料傳輸
對於數位經濟業者而言,使用國外的雲端主機(如 AWS, Google Cloud)或將資料傳送至海外總部,是極為常見的營運模式。但此舉涉及個資法第 21 條所規範的國際傳輸,企業除須注意主管機關得對特定國家或地區下達「限制傳輸命令」的風險外,安維辦法第 10 條更對此設下了更嚴格的監督要求:
(一)法律基本要求
除了必須明確告知資料將被傳輸至哪個國家或區域外,企業還必須對資料接收方進行監督。
(二)監督的具體事項
監督內容應包含確保接收方處理個資的「範圍、類別、特定目的、期間、對象及方式」符合我國法規,並確保台灣的用戶能對海外的接收方行使其個資權利(個資法第 3 條)。一般來說,這通常需要透過簽訂嚴謹的「資料處理協議」(DPA)來落實,以確保接收資料的海外總部或雲端服務商,具備與台灣個資法所要求之同等水準的保護能力。
五、結論:合規是信任的基石
對於數位經濟業者而言,個資保護的挑戰無所不在。隨著安維辦法的施行,法遵已從抽象原則走向具體實踐。一家願意在用戶追蹤上給予使用者完整控制權、在演算法決策上保持透明、在內部管理上落實法規的企業,不僅能有效降低法律風險,更能贏得在這個時代最稀缺的資產——用戶的信任。
由於相關制度要求繁瑣,如果企業對於如何制定符合安維辦法的個資保護計畫、撰寫隱私權政策,或是有其他數位經濟相關的法遵議題需要進一步資訊,可以參考數位發展部數位產業署與資策會科法所提供的法遵資源,亦歡迎與本所聯繫,讓專業團隊提供量身打造的解決方案。