跳转至

台湾个资法 2025 修法

台湾《个人资料保护法》(个资法、PDPA)自 2010 年大修以来,几次小幅调整都没有触动制度核心。2023 年起进入新一轮修法程序,2024 年底成立独立的「个人资料保护委员会」(个保会),2025 年起进入完整施行架构。这页把这一轮修法的重点面向整理为长期参考文件,并追踪子法待补的部分。

本文不是法律意见,个案问题请咨询专业。具体条文与适用范围以个保会公告为准。

修法背景

过去个资法的主管机关依资料持有者性质分散在不同部会(金融业归金管会、医疗业归卫福部等),缺乏统一的解释与裁罚口径。2018 年欧盟 GDPR 上路后,台湾与欧盟之间是否能取得「适足性认定」(adequacy decision)成为跨境资料流动的关键问题,制度面落后成为实际商务障碍。2022 年宪法法庭在「全民健保资料库案」释字中,也明确要求设立独立监督机构。

这一轮修法回应的主要诉求:

  • 独立监督机关:把分散的主管机关权责集中到个保会
  • 与国际接轨:朝 GDPR 看齐,提高跨境传输保障与罚则威慑力
  • 强化个人救济管道:明确化外泄通知义务、简化求偿程序

个保会的设立

个人资料保护委员会(简称个保会)作为行政院下的独立机关,2024 年底挂牌、2025 年开始实质运作。职权主要包含:

  • 政策统合:研拟个资保护政策与法规修正
  • 监督裁罚:对违反个资法的个案调查与裁罚
  • 行为指引:发布行政指导、产业规范范例
  • 跨境协调:与外国资料保护机关的对口互动
  • 个人救济:受理个人申诉

设立后,原本分散在金管会、卫福部、数位发展部等部会的个资相关职权会逐步移交。实际移交时程依个别事项,要看个保会的公告。

跨境传输规范

修法后,跨境传输的限制条件更明确。简化版本:

  • 跨境传输个资需要符合个保会公告的「适足保护地区」清单,或符合特定例外(当事人同意、契约必要、公共利益等)
  • 不在清单中的目的地,需要采取补充保障措施(标准契约条款、企业约束规则等),具体要件由个保会发布
  • 个保会可命令暂停或限制特定地区的跨境传输

对使用境外云端服务(AWS、Google Cloud、Microsoft Azure 等)的台湾企业来说,这个改动会影响合约条款与技术设计(资料储存地理位置、加密密钥所在地等)。

罚则调整

修法把行政罚锾上限明显提高,并新增按比例计算的选项:

  • 过去个资法的行政罚锾上限多为新台币 50 万元,被批评不足以对大型企业形成嚇阻
  • 修法后对重大违反事件,可按企业营业额一定比例计算罚锾(类似 GDPR 的设计)
  • 对个资外泄未依规定通报、资料处理超出搜集目的等态样,分别有对应罚责

具体罚锾金额与计算方式以条文与个保会函释为准。

资料外泄通报义务

修法明确化两个层次的通知义务:

  • 通知个保会:资料控制者在发现外泄事件后,需在规定时间内通知个保会(具体时间以条文为准,趋近 GDPR 的 72 小时架构)
  • 通知当事人:当外泄可能对当事人造成严重风险时,需通知受影响的当事人

对组织来说,这代表内部需要建立外泄侦测、评估、通报的 SOP。对个人来说,这代表你应该在收到通知时当真,并启动账号保护动作(换密码、开两步验证等,参考 紧急求救 的「账号被盗或被异常登录」段落)。

对个人的影响

  • 更明确的查询、更正、删除权:个资控制者收到请求后须在规定时限内回应,超期可向个保会申诉
  • 同意机制更严谨:搭售式同意(不勾选就无法使用服务)在修法后受到限制,个资搜集目的需具体列举
  • 资料可携权:朝 GDPR 对齐的方向发展,个人可要求把自己的资料以结构化、机器可读格式取出
  • 集体诉讼管道:藉由消费者保护团体进行的群体救济更容易启动

实务上要看个保会公告的施行细则才能知道个别权利的执行门槛。

对组织的影响

组织端的义务调整可分为三层:

流程面

  • 搜集前的个资告知书要更明确(目的、保留期限、跨境情形、权利行使管道)
  • 内部「个资管理制度」的建立与稽核成为事实上的最低标准
  • 委外处理需要签订个资处理契约,明订受托者义务

技术面

  • 资料最小化原则(只收必要的)有更清楚的法律根据
  • 加密、假名化、去识别化等技术措施成为可主张的「采取适当保护措施」证明
  • 日志、稽核轨迹的保存要求加强

角色面

  • 大型组织建议设立「个资保护长」(Data Protection Officer,DPO)
  • 跨部门的个资治理委员会运作

与 GDPR 的对照

修法后的台湾个资法在制度设计上明显向 GDPR 靠拢,但仍有差异:

面向 GDPR 修法后台湾个资法
监督机关 各成员国资料保护机关(DPA) 个人资料保护委员会(个保会)
跨境传输 适足性认定 + 标准契约条款 + 企业约束规则 个保会公告适足保护地区 + 补充保障措施
罚锾上限 全球年营业额 4% 或 2,000 万欧元(取高者) 按比例计算(具体上限以条文为准)
资料外泄通报 72 小时通知监督机关 规定时间内通知个保会
DPO 设置 特定情形强制 建议性质,特定产业可能强制
适用范围 全球性域外效力 在台从事个资处理之自然人、法人

这个对照只是让有跨境业务的组织能比较合规工作的对应点,不在比谁越像 GDPR 越好。

待补的子法与行政指导

修法后仍有相当部分要靠子法、施行细则、个保会函释补齐:

  • 适足保护地区清单
  • 资料外泄通报的具体时限与内容
  • 罚锾的具体计算公式
  • 各产业的特别行政指导(医疗、金融、电子商务、教育)
  • 个保会的内部组织架构与争议审议程序

子法陆续发布中,建议定期回看个保会官网的「公告」与「函释」专区。

为什么匿名网络社群会关心这件事

我们推广 Tor、Tails、OONI 这类匿名工具,与个资法看似是「保护」与「回避」两个相反方向,但实际上是同一个问题的两面:

  • 个资法保护的对象是「可识别到特定个人」的资料,匿名工具的目标就是让行为「无法识别到特定个人」
  • 假名化、去识别化技术是个资法允许的合法保护手段,这跟匿名工具的技术本质高度相关
  • 对个人来说,个资法给了「向组织主张权利」的管道,匿名工具给了「不留下可被主张的资料」的选项

两者搭配运用,个人才能在不同情境下选择最适合的保护策略。

中国对应制度速览

对照参考、不取代主轴

本节为对照参考,取代台湾个资法的讨论主轴。法规细节与执法实务持续变动,以下内容截至 2026 年初的公开资料,社群成员审核后纳入。本文不是法律意见,海外华语读者若需具体案件咨询,请寻求当地法律专业。

中国关于个人资料保护的法规架构由数个法律组成,与台湾个资法的对应可参考:

  • 《个人信息保护法》(PIPL,2021/11/01 施行):被视为中国版 GDPR,定义「个人信息处理者」义务、跨境传输安全评估、敏感个人信息特别保护、最高罚款可达上一年度营业额 5%。条文与官方解读见 国家网信办 PIPL 专区、英文翻译见 China Law Translate
  • 《数据安全法》(2021/09/01 施行):搭配 PIPL 使用,重点在「数据」(不限个人资料)的分级管理、跨境流动安全评估、政府对「重要数据」的管控权。
  • 《网络安全法》(2017/06/01 施行):网络运营者的资料本地化要求、关键信息基础设施的特别义务。
  • 《数据出境安全评估办法》(2022/09 施行,2024 修订):跨境传输的强制安全评估制度。

与台湾个资法的主要差异点:

  • 无独立监督机关:中国 PIPL 由国家网信办(CAC)主管,CAC 同时是网络内容审查与信息基础设施安全的主管单位,与台湾「个保会」作为独立机关的设计不同。
  • 跨境传输门槛高:传输个人信息出境需通过安全评估、订定标准合同或获得保护认证,对一般企业的合规成本明显高于 GDPR / 台湾。
  • 国家安全例外广泛:PIPL 第 13 条对「履行法定职责或法定义务所必需」给主管机关较大裁量空间,与 GDPR 的「公共利益例外」框架不同。
  • 罚锾对个人责任重:PIPL 对违法的「直接负责的主管人员」可处人民币 1 万至 100 万罚款,比台湾对个人的罚责严格。

外部研究:

制度差异意味着同样名为「个人信息保护」,台湾、欧盟、中国三套体系下的实际权利与救济管道有显著不同。海外华语读者评估自身处境时,请依实际所在司法管辖判断。

参考来源

如果你掌握个保会发布的最新子法或函释,欢迎透过 社群自架服务 提供,我们会更新本页。