個資法專欄

場景一：你在人力銀行投了履歷，系統幾秒後回覆：「感謝您應徵，此職缺已找到合適人選。」你不知道的是，這份履歷可能從來沒有被任何人類看過。招募系統已經根據學歷、工作經驗、語意特徵，甚至履歷中的空白期與用字模式，替你打了分數，然後把你的檔案歸類到「不優先考慮」。

場景二：你任職的公司上線了一套新的「智慧考勤系統」，用臉部辨識取代傳統打卡鐘。人力資源部門說這是「提升效率」。但沒有人清楚說明，影像資料會不會被上傳到雲端、供應商位於哪個國家、臉部特徵模板會保存多久，或者離職後是否會刪除。

場景三：公司引進 AI 績效評估系統，每週根據鍵盤輸入節奏、會議參與率、電子郵件回覆速度與任務系統紀錄，自動計算「組織貢獻指數」。你的年終獎金、晉升機會，甚至是否被列入改善名單，都可能受一個你從未看過、也難以挑戰的模型影響。

這三個場景分別對應三種就業場域的自動化決策風險：招募篩選中的歧視、生物特徵監控中的隱私侵害，以及績效評估中的黑箱演算法。在 AI 大量進入人力資源管理之後，勞工隱私早已不是「有沒有被監控」的問題，而是「監控到什麼程度、由誰決定、能不能理解與挑戰」的問題。

某個下午，台北總部收到中國子公司的資安通報：內部人力資源（Human Resources, HR）系統疑似遭入侵，受影響資料包含台灣派駐人員、中國當地員工，以及少量歐洲子公司借調員工資料。

這時候，問題不只是「要不要通知當事人」。法務、資安與人資很快會被一串更麻煩的問題追著跑：中國子公司把員工資料同步回台灣，是不是符合中國《個人信息保護法》（Personal Information Protection Law, PIPL）的資料出境規則？歐洲借調員工資料曾經傳到台灣總部，當時有沒有歐盟《一般資料保護規則》（General Data Protection Regulation, GDPR）的傳輸工具？台灣母公司把資料放在新加坡雲端區域，是否觸發新加坡《個人資料保護法》（Personal Data Protection Act, PDPA）或其他供應商所在地的要求？如果外洩發生在跨國系統，通報時鐘要從哪一個法域開始算？

跨境資料傳輸的難點，從來不是「資料有沒有出國」這麼簡單。真正困難的是：同一筆資料，在不同方向、不同角色、不同目的下，可能同時落入好幾套規則。

本文更新時間：2026-04-28。跨境資料法規變動很快，本文供企業盤點合規風險使用；個案仍應以主管機關最新公告及當地法律意見為準。

資料放在哪裡，早就不只是資訊部門的架構選擇。

台灣母公司想把中國廠員工薪資資料匯回總部；越南子公司把門禁紀錄同步到台灣的人資系統；歐洲客戶資料放在美國雲端服務；印尼平台的使用者資料備份到新加坡。這些動作在工程上可能只是同步、備份或遠端存取，在法律上卻可能已經構成跨境傳輸。

企業常見的誤解是：「資料存在雲端，不算出境。」實務上正好相反。只要資料被傳到境外伺服器、由境外人員可存取，或由境外服務商處理，都可能被當作跨境資料流動來看待。

把資料留在本地，不會自動讓你更安全；它只會把你的治理問題，從「跨境」改成「境內也失控」。

這兩年很多企業面對跨境與 AI 專案時，第一個直覺都是：「那就不要出境」。 但實務上，資料在地化（data localisation）只能解決一部分監理可近性問題，無法取代流程治理、權限治理與證據治理。

2026 年還把 AI 合規當成「法務文件專案」的企業，風險不在法條不熟，而在治理系統不會動。

這一波監理變化已經不是「預告」，而是「分階段生效」。如果你的團隊還停在彙整法規摘要，卻沒有把流程、角色與證據鏈接進日常營運，真正的斷點會出現在跨境傳輸、當事人權利請求（DSR）與 AI 專案上線的交會點。

企業現在最大的風險，不是「不知道法規」，而是「知道很多法規，卻沒有一套能落地的控制矩陣」。

結果就是：文件很多，控制很少。合規看起來完整，營運一出事就斷點。

很多企業把「個資事件調查」想成危機發生後的補救程序：先止血、再寫報告、最後交代。
但在實務上，真正決定事件損害大小的，往往不是你出事後有沒有寫出漂亮報告，而是你出事前有沒有把調查機制設計進日常治理。

事故辨識與分級、證據保全、根因分析、通報決策、改善落地。這些能力如果只在事故當天才臨時啟動，通常都太晚。

一個常被忽略的洩漏環節

2025 年，某家台灣半導體供應商的雲端資料處理者遭到勒索軟體攻擊，數萬筆客戶訂單與員工身份資料外洩。事後調查發現：這家處理者同時替十幾家台灣企業處理資料，但沒有一家控制者曾在合約中約定「處理者事故發生後的通報時效」——導致多數母公司是在新聞報導後才得知，而非依賴處理者的正式通知。

這不是個案。在個人資料管理系統（Personal Information Management System, PIMS）中，處理者（Processor）治理是最容易被空洞化的環節：合約裡寫得完整，實際上卻從未執行。當事故發生，監理機關裁罰的對象是控制者（Controller），而非處理者。處理者的過失，最終由控制者承擔。

本文以 2026 年初的研究發現為基礎，深度解析：處理者治理的七個強制條款、各國制度差異、為何多數企業的處理者稽核形同虛設，以及台灣跨國企業該如何建立可執行的處理者治理系統。

前陣子一位企業客戶問我：「我們想在官網放員工合照，需要簽個資同意書嗎？」

我反問他：「你覺得這是肖像權的問題，還是個資法的問題？」

他愣了一下：「這兩個不一樣嗎？」

這個反應非常典型。肖像權和個資法對臉部特徵的保護，很多人以為是同一件事，但其實它們的法律基礎、保護客體、判斷標準和救濟方式都不同。搞混的後果就是：你以為簽了同意書就沒事，結果只處理了一半的風險。

這篇文章就是要把這兩套法律架構拆開來講清楚。

一場精心排演的合規秀

我走進會議室時，桌上已經擺好三本厚厚的程序書、一疊教育訓練簽到表，還有一份剛印出來的個資盤點清冊。 負責人很自豪地說：「我們制度都建好了，文件也都有，每年也有辦教育訓練。」 我翻開程序書，問了一個問題：「這本程序書最後一次被拿出來用，是什麼時候？」

沉默。

這個場景，我這幾年做輔導時看過太多次了。醫學中心有，連鎖餐飲有，國際零售品牌有，非營利組織也有。差別不在產業，而在制度是不是平常就在跑。有些公司的制度是活的，碰得到、用得到；有些制度平常收在櫃子裡，等到稽核快到了才想起來。

問題是：你怎麼知道自己的制度屬於哪一種？

這篇文章不是法條逐條解說，也不是制度建置手冊。我只是想把自己在現場最常用的五個判斷點整理出來。你可以把它當成一面鏡子，照一下自己的制度目前到底是在運作，還是在撐場面。對 DPO（個資保護管理人／專責人員）、資安主管、法遵主管，或正在考慮把制度做起來的經營者來說，這五個問題都很實用。