本文更新時間:2026-04-28。跨境資料法規變動很快,本文供企業盤點合規風險使用;個案仍應以主管機關最新公告及當地法律意見為準。
資料放在哪裡,早就不只是資訊部門的架構選擇。
台灣母公司想把中國廠員工薪資資料匯回總部;越南子公司把門禁紀錄同步到台灣的人資系統;歐洲客戶資料放在美國雲端服務;印尼平台的使用者資料備份到新加坡。這些動作在工程上可能只是同步、備份或遠端存取,在法律上卻可能已經構成跨境傳輸。
企業常見的誤解是:「資料存在雲端,不算出境。」實務上正好相反。只要資料被傳到境外伺服器、由境外人員可存取,或由境外服務商處理,都可能被當作跨境資料流動來看待。
先把幾個名詞講清楚
資料在地化(Data Localization)是指法律要求特定資料必須存放、處理或保留在本國境內。跨境資料傳輸(Cross-border Data Transfer)則是資料離開某個法域,或由境外接收者、處理者取得存取權。
兩者不是同一件事。沒有強制資料在地化的國家,也可能對跨境傳輸設定條件;有資料在地化要求的國家,也可能允許特定例外。
本文會用到幾個縮寫,首次出現先列在這裡:
| 縮寫 | 中文說明 | 原文 |
|---|---|---|
| GDPR | 歐盟一般資料保護規則 | General Data Protection Regulation |
| SCCs | 標準契約條款 | Standard Contractual Clauses |
| ASEAN MCCs | 東南亞國家協會示範契約條款 | Association of Southeast Asian Nations Model Contractual Clauses |
| BCRs | 具拘束力企業規則 | Binding Corporate Rules |
| ROPA | 資料處理活動紀錄 | Records of Processing Activities |
| TIA | 傳輸影響評估 | Transfer Impact Assessment |
| PIPL | 中國個人資訊保護法 | Personal Information Protection Law |
| CIIO | 關鍵資訊基礎設施營運者 | Critical Information Infrastructure Operator |
| CAC | 中國國家互聯網資訊辦公室 | Cyberspace Administration of China |
| PDPL | 越南個人資料保護法 | Personal Data Protection Law |
| PSE / ESO | 印尼電子系統營運者 | Penyelenggara Sistem Elektronik / Electronic System Operator |
| APPI | 日本個人資訊保護法 | Act on the Protection of Personal Information |
| PIPA | 韓國個人資訊保護法 | Personal Information Protection Act |
| LGPD | 巴西一般資料保護法 | Lei Geral de Proteção de Dados Pessoais |
| DPDP Act | 印度數位個人資料保護法 | Digital Personal Data Protection Act |
另外要特別提醒:台灣、新加坡、泰國的個資法都常被簡稱為 PDPA(Personal Data Protection Act)。為避免混淆,本文會分別寫成「台灣個資法」、「新加坡 PDPA」及「泰國 PDPA」。
台灣企業最容易誤判的一件事:歐盟沒有給台灣充分性認定
先修正一個常見錯誤:截至 2026-04-28,歐盟委員會的 GDPR 充分性認定名單沒有台灣。
這代表歐洲經濟區的公司若要把個人資料傳給台灣公司,通常不能只說「台灣個資法保護足夠」就完成。實務上多半需要使用歐盟標準契約條款(SCCs)、具拘束力企業規則(BCRs),或其他 GDPR 第 46 條、第 49 條允許的機制。
反過來說,台灣公司把資料傳到歐盟,也不是用「EU-Taiwan 充分性認定」來處理。GDPR 的充分性認定主要是歐盟資料往第三國流動的機制;台灣端仍要看台灣個資法的蒐集、處理、利用與國際傳輸規定,以及雙方合約怎麼安排。
台灣個資法第 21 條也不是「充分性認定制度」。它的結構是:非公務機關國際傳輸個人資料時,如果涉及國家重大利益、國際條約或協定、接收國保護不足而可能損害當事人權益,或以迂迴方式規避台灣法,主管機關得限制該傳輸。
換句話說,台灣目前沒有全面要求資料必須存放在台灣,也沒有像歐盟那樣的正式充分性清單。企業不能把「沒有被禁止」理解成「不用管理」。
三種法規模型:不要把所有國家都叫做資料在地化
實務上可以先把各國規則分成三種模型。
| 模型 | 核心概念 | 常見例子 |
|---|---|---|
| 強制或高度在地化 | 特定主體或特定資料必須境內儲存,出境前要評估或核准 | 中國 CIIO、重要資料;俄羅斯公民資料;澳洲 My Health Record |
| 條件式跨境傳輸 | 原則上可以出境,但要有法定傳輸機制、保護措施或主管機關程序 | 歐盟 GDPR、新加坡 PDPA、泰國 PDPA、韓國 PIPA、日本 APPI、巴西 LGPD |
| 特定部門在地化 | 不是所有個資都在地化,而是公共服務、金融、醫療、電信等特定領域另有要求 | 印尼公共範圍 PSE、部分金融與健康資料規則 |
企業做合規盤點時,最忌諱只問「這個國家是不是要求資料在地化」。比較好的問法是:
- 這筆資料是誰的資料?
- 由哪一個法域的哪一個主體蒐集?
- 儲存在哪裡?
- 誰可以從境外存取?
- 出境的法律依據、契約依據或備案狀態是什麼?
中國:不是全部禁止出境,但門檻與程序要重新看
中國的資料跨境規範主要由三套法律共同構成:網路安全法、資料安全法,以及中國個人資訊保護法(Personal Information Protection Law, PIPL)。若涉及關鍵資訊基礎設施營運者(Critical Information Infrastructure Operator, CIIO)、重要資料或大量個人資訊,合規要求會明顯提高。
2024 年中國國家互聯網資訊辦公室(Cyberspace Administration of China, CAC)發布《促進和規範資料跨境流動規定》,對資料出境安全評估、個人資訊出境標準合約與個人資訊保護認證的適用門檻做了調整。台灣企業若仍沿用 2022 年版本的門檻,很容易判斷錯誤。
| 情境 | 主要要求 |
|---|---|
| CIIO 向境外提供個人資訊或重要資料 | 通常須境內儲存;確有業務需要出境時,須申報資料出境安全評估 |
| 非 CIIO 向境外提供重要資料 | 須申報資料出境安全評估;若未被主管機關告知或公開認定為重要資料,原則上不按重要資料申報 |
| 非 CIIO 自當年 1 月 1 日起累計向境外提供 100 萬人以上一般個人資訊,或 1 萬人以上敏感個人資訊 | 須申報資料出境安全評估 |
| 非 CIIO 自當年 1 月 1 日起累計向境外提供 10 萬人以上、不滿 100 萬人一般個人資訊,或不滿 1 萬人敏感個人資訊 | 通常採個人資訊出境標準合約或個人資訊保護認證 |
| 非 CIIO 自當年 1 月 1 日起累計向境外提供不滿 10 萬人一般個人資訊,且不涉及敏感個人資訊或重要資料 | 可免除安全評估、標準合約、認證三種出境機制,但仍要遵守 PIPL 的基本義務 |
| 依法制定的勞動規章制度與集體合約下,為跨境人力資源管理確有必要提供員工個人資訊 | 可適用特定豁免;但仍要檢查告知、必要性、資料安全與敏感資訊處理要求 |
以台商中國子公司把 3,000 名員工薪資資料傳回台灣為例,不能再簡化成「一定要標準合約備案」。若是一般員工資料,且符合跨境人力資源管理必要性與 2024 年規定的豁免條件,可能不需要走標準合約或安全評估。但如果資料包含指紋、臉部影像、健康資料或其他敏感個人資訊,就要重新評估。
指紋打卡、臉部辨識門禁等生物特徵資料,在中國 PIPL 下通常屬於敏感個人資訊。即使不觸發安全評估,也不能忽略單獨同意、必要性說明、保存期限與安全保護措施。
越南:2026 年起已不是 Decree 13 的舊架構
越南的規則也已經更新。越南個人資料保護法(Personal Data Protection Law, PDPL,Law No. 91/2025/QH15)已於 2026-01-01 生效,並由 Decree No. 356/2025/ND-CP 細化執行要求;Decree No. 13/2023/ND-CP 已停止適用。
越南法對跨境傳輸的定義很廣,包括:
- 把在越南蒐集、儲存的個人資料移到境外伺服器或外國雲端服務;
- 越南境內的機關、組織或個人把資料傳給境外接收者;
- 把越南蒐集的個人資料傳到境外平台進一步處理。
這不是單純的「全面禁止」。越南目前的重點是:進行跨境傳輸時,通常要準備跨境傳輸影響評估文件,並在開始跨境傳輸日起 60 日內提交給個資主管機關。主管機關可要求補正,也可在涉及國防、國安或違反個資保護規定時要求停止傳輸。
Decree No. 356/2025/ND-CP 也列出若干例外,包括依法進行的新聞傳播、已依法公開的個人資料、緊急保護生命健康與財產安全、符合勞動規章與集體協約的跨境人力資源管理,以及跨境運輸、物流、匯款、支付、旅宿、簽證、獎學金等特定合約或程序所需的資料提供。
對台灣企業而言,越南員工資料不是「一定不能傳回台灣」,但不能只靠集團內部管理需求一句話帶過。比較穩健的作法是:
- 在越南保留主要人力資源(Human Resources, HR)系統與必要原始紀錄;
- 只把薪資結算、財務合併或區域管理必要的資料傳回總部;
- 為跨境傳輸建立影響評估文件、資料流圖、接收者責任文件與保存刪除政策;
- 避免把臉部影像、指紋、健康資料等高風險資料同步到境外,除非已確認必要性與法定條件。
印尼:個資法管跨境傳輸,資料在地化主要看 PSE 分類
印尼第 27/2022 號個人資料保護法(Law No. 27 of 2022 on Personal Data Protection)本身不是全面資料在地化法。它的跨境傳輸架構比較接近條件式傳輸:控制者要確認接收國有足夠保護,或有適當且具約束力的保護措施;若仍不符合,才進一步考慮取得資料主體同意。
真正牽涉資料存放地點的,通常是電子系統營運者(Penyelenggara Sistem Elektronik, PSE;英文常稱 Electronic System Operator, ESO)的規則。依 Government Regulation No. 71/2019,公共範圍 PSE 原則上應在印尼境內管理、處理或儲存電子系統及電子資料;私人範圍 PSE 則可在境外處理或儲存,但要確保主管機關監督與執法存取能有效進行。
因此,台灣電商、金融科技、物流平台或軟體即服務(Software as a Service, SaaS)進入印尼時,第一步不是直接租雅加達資料中心,而是先確認自己是否屬於公共範圍 PSE、私人範圍 PSE,或另受金融、電信等部門規範。
歐盟與英國:重點是傳輸工具,不是「資料一定要放歐洲」
歐盟一般資料保護規則(General Data Protection Regulation, GDPR)沒有要求所有個人資料都必須放在歐盟境內。真正的重點是:從歐洲經濟區把個人資料傳到第三國時,必須有 GDPR 第五章允許的機制。
常見工具包括:
- 充分性認定:例如日本、韓國、英國、紐西蘭、瑞士、烏拉圭、巴西、參與歐盟-美國資料隱私框架(EU-US Data Privacy Framework)的美國商業組織等;
- 標準契約條款(Standard Contractual Clauses, SCCs);
- 具拘束力企業規則(Binding Corporate Rules, BCRs);
- 經核准的行為準則或認證機制;
- 特定例外,例如為履行與資料主體的合約所必要、明確同意、重大公共利益或法律請求。
如果歐洲子公司要把客戶資料、員工資料或供應商聯絡資料傳給台灣母公司,不能引用不存在的「EU-Taiwan 充分性認定」。通常應評估 SCCs、BCRs,並依 Schrems II 之後的實務做傳輸影響評估(Transfer Impact Assessment, TIA)。
英國脫歐後有自己的 UK GDPR 與國際傳輸工具。英國與歐盟之間的充分性安排已於 2025 年底延續,但從英國傳到台灣仍要看英國的國際傳輸規則,不能直接套用歐盟 SCCs 後就不再檢查。
日本、韓國、新加坡、泰國、巴西、印度:常見傳輸機制速覽
| 法域 | 主要邏輯 | 台灣企業常見注意點 |
|---|---|---|
| 日本 APPI | 對外國第三方提供個人資料時,通常需要本人同意、接收國被日本認定具同等水準,或接收方建立符合日本標準的保護體制 | 日本與歐盟、英國有互認架構;台灣不在同一套互認中 |
| 韓國 PIPA | 第 28-8 條允許在單獨同意、法律或條約、履行與資料主體契約所必要且已告知或揭露、接收方取得韓國個人資訊保護委員會(Personal Information Protection Commission, PIPC)認證、或 PIPC 認可接收國保護水準等情況下跨境傳輸 | 韓國資料往台灣通常要確認是否有同意、契約必要性或其他法定基礎 |
| 新加坡 PDPA | 組織須確保境外接收者提供與新加坡 PDPA 相當的保護;可使用契約、企業規則或 ASEAN MCCs | 新加坡往台灣傳資料時,契約與供應商管理很重要 |
| 泰國 PDPA | 第 28、29 條採充分保護、同意、法定例外、同集團政策或適當保護措施等模式 | 若使用區域共享系統,應先確認是否有可用的集團政策或契約保護措施 |
| 巴西 LGPD | 可依充分性、標準契約條款、特定契約條款、全球企業規則、同意等機制跨境傳輸;巴西國家資料保護機關(Autoridade Nacional de Proteção de Dados, ANPD)已於 2024 年通過國際傳輸規則與標準契約條款 | 舊說法「巴西沒有官方 SCCs」已不正確;歐盟也已於 2026 年把巴西列入充分性認定 |
| 印度 DPDP Act | 採負面清單思路;原則上可跨境處理,中央政府可通知限制特定國家或地區,且其他部門法可有更嚴格要求 | 目前不宜寫成「印度全面資料在地化」;金融、支付、政府資料等仍要看部門規則 |
台灣個資法:沒有全面在地化,但要管理國際傳輸
台灣個人資料保護法(Personal Data Protection Act,下稱台灣個資法)沒有要求一般企業把個人資料全部存在台灣。台灣企業處理跨境資料時,仍要先確認幾件事:
- 蒐集、處理、利用是否有特定目的及合法基礎;
- 告知事項是否包含利用期間、地區、對象與方式;
- 是否涉及第 6 條所列特種個資,例如病歷、醫療、基因、性生活、健康檢查或犯罪前科;
- 委外處理是否有合約、稽核與安全維護措施;
- 國際傳輸是否落入第 21 條主管機關得限制的情形;
- 當事人依第 3 條及第 11 條行使查詢、閱覽、補充、更正、停止處理利用、刪除等權利時,企業是否有流程可回應。
2025 年台灣個資法修正已把「個人資料保護委員會」寫入主管機關架構,但全國法規資料庫顯示相關修正條文的施行日期由行政院另定;截至本文更新日,官方網站仍為個人資料保護委員會籌備處。企業寫內規時,建議保留彈性:現行流程要能對應目前主管機關,也要能在個資會正式運作後銜接集中監管。
ROPA 應該新增「資料位置」欄位
許多企業的資料處理活動紀錄(Records of Processing Activities, ROPA)只寫資料類別、處理目的與保存期限,卻沒有寫資料存放地、備份地、遠端存取地。這在跨境合規上不夠。
建議至少增加下列欄位:
| 欄位 | 要記錄的內容 |
|---|---|
| 主要儲存地 | 資料庫、物件儲存、文件系統所在國家或雲端區域 |
| 備份與災難復原地 | 備份、快照、日誌、災難復原環境所在國家 |
| 境外存取者 | 境外母公司、子公司、供應商、客服、維運團隊 |
| 跨境傳輸機制 | SCCs、BCRs、標準合約、認證、同意、法定例外、影響評估文件 |
| 高風險資料標記 | 生物特徵、健康、兒少、金融、位置、犯罪紀錄、員工監控資料 |
| 到期與更新日 | 傳輸機制、備案、評估文件、供應商審查的下次更新日 |
一個簡化範例如下:
| 資料類別 | 主要儲存地 | 是否跨境 | 主要機制或待辦 |
|---|---|---|---|
| 台灣員工人事資料 | 台灣 | 區域 HR 團隊可存取 | 更新告知事項、委外合約與權限控管 |
| 中國員工薪資資料 | 中國 | 可能傳回台灣總部 | 先判斷是否屬 HR 管理必要、是否含敏感個人資訊、是否觸發 CAC 出境機制 |
| 越南員工出勤資料 | 越南 | 可能傳回台灣總部 | 建立跨境傳輸影響評估文件;避免傳輸原始生物特徵資料 |
| 歐盟客戶資料 | 歐盟 | 傳給台灣客服或總部 | 使用 SCCs / BCRs,並完成 TIA |
| 印尼平台用戶資料 | 印尼或區域雲端 | 依 PSE 分類判斷 | 確認公共或私人範圍 PSE;檢查跨境傳輸條件 |
ROPA 不只是法遵文件,也應該變成資訊架構、採購、法務與資安共同維護的資料地圖。
雲端架構:不要只看主要資料庫
跨境風險常常不在主要資料庫,而在周邊系統:
- 備份與快照是否複製到境外;
- 日誌、監控、錯誤回報是否含個人資料;
- 客服工具、工單系統、客戶關係管理系統是否由境外供應商處理;
- 原廠維運人員是否可從境外登入;
- 測試環境是否使用未去識別化的正式資料;
- 人工智慧(Artificial Intelligence, AI)訓練或分析資料集是否混入員工、客戶或供應商個資。
企業採購雲端服務時,不應只問「有沒有台灣區域」或「有沒有新加坡區域」。比較實用的問題是:
- 客戶資料、備份、日誌、支援存取分別在哪些國家?
- 供應商是否會把資料交給次處理者?
- 可以限制資料區域與支援存取地嗎?
- 資料刪除後,備份與快照多久清除?
- 供應商的資料處理附約是否涵蓋 SCCs、子處理者通知、稽核、事故通報與刪除返還?
個人可以怎麼看自己的資料流向
對一般使用者來說,不需要讀完每一部外國法律,但可以養成幾個習慣:
- 看隱私權政策裡的資料儲存地、境外接收者與供應商清單;
- 留意服務是否把資料用於 AI 訓練、廣告投放或跨平台追蹤;
- 對不必要的生物辨識、身分證件上傳、通訊錄讀取保持保留;
- 依台灣個資法第 3 條、第 11 條,必要時向業者請求查詢、閱覽、更正、停止處理利用或刪除;
- 若是跨國平台,確認業者是否提供所在地主管機關、資料保護長或申訴管道。
不是單純收緊,而是分流管理
未來幾年,資料跨境規則會呈現兩個方向同時發生。
一方面,國家安全、關鍵基礎設施、兒少資料、生物特徵與大型 AI 訓練資料會更嚴格。另一方面,國際貿易、雲端服務、跨境物流與集團 HR 管理又需要更順暢的資料流動,因此各國也會提供標準契約、認證、白名單、負面清單或主管機關備案等工具。
對企業來說,重點不是把所有資料都鎖在本國,而是建立一張持續更新的資料流地圖:知道資料在哪裡、誰能看、為什麼要出去、用什麼法律機制出去,以及什麼時候該停。
延伸閱讀與參考來源
- 歐盟委員會,GDPR 充分性認定名單:https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- 歐盟委員會,標準契約條款(SCCs):https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
- 台灣個人資料保護法,全國法規資料庫:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021
- 個人資料保護委員會籌備處:https://www.pdpc.gov.tw/Default
- 中國 CAC,《促進和規範資料跨境流動規定》:https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm
- 中國 CAC,《個人資訊出境標準合約辦法》:https://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
- 越南 Law No. 91/2025/QH15,政府公報:https://congbao.chinhphu.vn/van-ban/luat-so-91-2025-qh15-45578.htm
- 越南 Decree No. 356/2025/ND-CP,政府公報:https://congbao.chinhphu.vn/van-ban/nghi-dinh-so-356-2025-nd-cp-468371.htm
- 印尼 Law No. 27 of 2022 on Personal Data Protection:https://peraturan.bpk.go.id/Details/229798/uu-no-27-tahun-2022
- 印尼 Government Regulation No. 71 of 2019:https://www.peraturan.go.id/id/pp-no-71-tahun-2019
- 日本個人情報保護委員會,日 EU / 日英資料越境移轉:https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/
- 韓國 PIPA 英文法規資料庫:https://elaw.klri.re.kr/eng_service/lawTwoView.do?hseq=62389
- 新加坡個人資料保護委員會,ASEAN MCCs:https://www.pdpc.gov.sg/help-and-resources/2021/01/asean-data-management-framework-and-model-contractual-clauses-on-cross-border-data-flows
- 泰國 PDPA 英文譯本,泰國數位經濟與社會部:https://www.mdes.go.th/law/detail/1905-Personal-Data-Protection-Act–B-E–2562–2019-
- 巴西 ANPD,國際資料傳輸規則與標準契約條款:https://www.gov.br/anpd/pt-br/assuntos/assuntos-internacionais/transferencia-internacional-de-dados/international-affairs
- 印度 Digital Personal Data Protection Act, 2023,India Code:https://www.indiacode.nic.in/handle/123456789/22037?locale=en