台灣個資法 2025 修法¶
台灣《個人資料保護法》(個資法、PDPA)自 2010 年大修以來,幾次小幅調整都沒有觸動制度核心。2023 年起進入新一輪修法程序,2024 年底成立獨立的「個人資料保護委員會」(個保會),2025 年起進入完整施行架構。這頁把這一輪修法的重點面向整理為長期參考文件,並追蹤子法待補的部分。
本文不是法律意見,個案問題請諮詢專業。具體條文與適用範圍以個保會公告為準。
修法背景¶
過去個資法的主管機關依資料持有者性質分散在不同部會(金融業歸金管會、醫療業歸衛福部等),缺乏統一的解釋與裁罰口徑。2018 年歐盟 GDPR 上路後,台灣與歐盟之間是否能取得「適足性認定」(adequacy decision)成為跨境資料流動的關鍵問題,制度面落後成為實際商務障礙。2022 年憲法法庭在「全民健保資料庫案」釋字中,也明確要求設立獨立監督機構。
這一輪修法回應的主要訴求:
- 獨立監督機關:把分散的主管機關權責集中到個保會
- 與國際接軌:朝 GDPR 看齊,提高跨境傳輸保障與罰則威懾力
- 強化個人救濟管道:明確化外洩通知義務、簡化求償程序
個保會的設立¶
個人資料保護委員會(簡稱個保會)作為行政院下的獨立機關,2024 年底掛牌、2025 年開始實質運作。職權主要包含:
- 政策統合:研擬個資保護政策與法規修正
- 監督裁罰:對違反個資法的個案調查與裁罰
- 行為指引:發布行政指導、產業規範範例
- 跨境協調:與外國資料保護機關的對口互動
- 個人救濟:受理個人申訴
設立後,原本分散在金管會、衛福部、數位發展部等部會的個資相關職權會逐步移交。實際移交時程依個別事項,要看個保會的公告。
跨境傳輸規範¶
修法後,跨境傳輸的限制條件更明確。簡化版本:
- 跨境傳輸個資需要符合個保會公告的「適足保護地區」清單,或符合特定例外(當事人同意、契約必要、公共利益等)
- 不在清單中的目的地,需要採取補充保障措施(標準契約條款、企業約束規則等),具體要件由個保會發布
- 個保會可命令暫停或限制特定地區的跨境傳輸
對使用境外雲端服務(AWS、Google Cloud、Microsoft Azure 等)的台灣企業來說,這個改動會影響合約條款與技術設計(資料儲存地理位置、加密金鑰所在地等)。
罰則調整¶
修法把行政罰鍰上限明顯提高,並新增按比例計算的選項:
- 過去個資法的行政罰鍰上限多為新臺幣 50 萬元,被批評不足以對大型企業形成嚇阻
- 修法後對重大違反事件,可按企業營業額一定比例計算罰鍰(類似 GDPR 的設計)
- 對個資外洩未依規定通報、資料處理超出蒐集目的等態樣,分別有對應罰責
具體罰鍰金額與計算方式以條文與個保會函釋為準。
資料外洩通報義務¶
修法明確化兩個層次的通知義務:
- 通知個保會:資料控制者在發現外洩事件後,需在規定時間內通知個保會(具體時間以條文為準,趨近 GDPR 的 72 小時架構)
- 通知當事人:當外洩可能對當事人造成嚴重風險時,需通知受影響的當事人
對組織來說,這代表內部需要建立外洩偵測、評估、通報的 SOP。對個人來說,這代表你應該在收到通知時當真,並啟動帳號保護動作(換密碼、開兩步驟驗證等,參考 緊急求救 的「帳號被盜或被異常登入」段落)。
對個人的影響¶
- 更明確的查詢、更正、刪除權:個資控制者收到請求後須在規定時限內回應,超期可向個保會申訴
- 同意機制更嚴謹:搭售式同意(不勾選就無法使用服務)在修法後受到限制,個資蒐集目的需具體列舉
- 資料可攜權:朝 GDPR 對齊的方向發展,個人可要求把自己的資料以結構化、機器可讀格式取出
- 集體訴訟管道:藉由消費者保護團體進行的群體救濟更容易啟動
實務上要看個保會公告的施行細則才能知道個別權利的執行門檻。
對組織的影響¶
組織端的義務調整可分為三層:
流程面¶
- 蒐集前的個資告知書要更明確(目的、保留期限、跨境情形、權利行使管道)
- 內部「個資管理制度」的建立與稽核成為事實上的最低標準
- 委外處理需要簽訂個資處理契約,明訂受託者義務
技術面¶
- 資料最小化原則(只收必要的)有更清楚的法律根據
- 加密、假名化、去識別化等技術措施成為可主張的「採取適當保護措施」證明
- 日誌、稽核軌跡的保存要求加強
角色面¶
- 大型組織建議設立「個資保護長」(Data Protection Officer,DPO)
- 跨部門的個資治理委員會運作
與 GDPR 的對照¶
修法後的台灣個資法在制度設計上明顯向 GDPR 靠攏,但仍有差異:
| 面向 | GDPR | 修法後台灣個資法 |
|---|---|---|
| 監督機關 | 各成員國資料保護機關(DPA) | 個人資料保護委員會(個保會) |
| 跨境傳輸 | 適足性認定 + 標準契約條款 + 企業約束規則 | 個保會公告適足保護地區 + 補充保障措施 |
| 罰鍰上限 | 全球年營業額 4% 或 2,000 萬歐元(取高者) | 按比例計算(具體上限以條文為準) |
| 資料外洩通報 | 72 小時通知監督機關 | 規定時間內通知個保會 |
| DPO 設置 | 特定情形強制 | 建議性質,特定產業可能強制 |
| 適用範圍 | 全球性域外效力 | 在台從事個資處理之自然人、法人 |
這個對照只是讓有跨境業務的組織能比較合規工作的對應點,不在比誰越像 GDPR 越好。
待補的子法與行政指導¶
修法後仍有相當部分要靠子法、施行細則、個保會函釋補齊:
- 適足保護地區清單
- 資料外洩通報的具體時限與內容
- 罰鍰的具體計算公式
- 各產業的特別行政指導(醫療、金融、電子商務、教育)
- 個保會的內部組織架構與爭議審議程序
子法陸續發布中,建議定期回看個保會官網的「公告」與「函釋」專區。
為什麼匿名網路社群會關心這件事¶
我們推廣 Tor、Tails、OONI 這類匿名工具,與個資法看似是「保護」與「迴避」兩個相反方向,但實際上是同一個問題的兩面:
- 個資法保護的對象是「可識別到特定個人」的資料,匿名工具的目標就是讓行為「無法識別到特定個人」
- 假名化、去識別化技術是個資法允許的合法保護手段,這跟匿名工具的技術本質高度相關
- 對個人來說,個資法給了「向組織主張權利」的管道,匿名工具給了「不留下可被主張的資料」的選項
兩者搭配運用,個人才能在不同情境下選擇最適合的保護策略。
參考來源¶
- 個人資料保護委員會(成立後的官方網站)
- 個人資料保護法(全國法規資料庫)
- 行政院個人資料保護法修正草案總說明(搜尋「個人資料保護法 修正草案」)
- 憲法法庭 111 年憲判字第 13 號(全民健保資料庫案)
- European Commission: Adequacy decisions(瞭解適足性認定機制)
如果你掌握個保會發布的最新子法或函釋,歡迎透過 社群自架服務 提供,我們會更新本頁。