個資法

一個常被忽略的洩漏環節

2025 年，某家台灣半導體供應商的雲端資料處理者遭到勒索軟體攻擊，數萬筆客戶訂單與員工身份資料外洩。事後調查發現：這家處理者同時替十幾家台灣企業處理資料，但沒有一家控制者曾在合約中約定「處理者事故發生後的通報時效」——導致多數母公司是在新聞報導後才得知，而非依賴處理者的正式通知。

這不是個案。在個人資料管理系統（Personal Information Management System, PIMS）中，處理者（Processor）治理是最容易被空洞化的環節：合約裡寫得完整，實際上卻從未執行。當事故發生，監理機關裁罰的對象是控制者（Controller），而非處理者。處理者的過失，最終由控制者承擔。

本文以 2026 年初的研究發現為基礎，深度解析：處理者治理的七個強制條款、各國制度差異、為何多數企業的處理者稽核形同虛設，以及台灣跨國企業該如何建立可執行的處理者治理系統。

在執行個人資料盤點與適法性評估時，企業常習慣性選擇「當事人同意」作為法律依據。然而，依據《個人資料保護法》第19條，「與當事人有契約或類似契約之關係，且已採取適當之安全措施」 往往是更穩固且合適的選擇。

我們要回到個資保護最根本的邏輯：「合法性基礎」。非公務機關要處理個資，必須有一個合法的理由。這兩個條款代表了兩種截然不同的權利來源： 兩者差異的核心在於資料處理的驅動力：

• 契約關係（交易驅動）： 基於「必要性」。為了履行對您的承諾（如：交付商品、支付薪資），企業「必須」處理您的資料。若無此資料，契約將無法執行。
• 同意（授權驅動）： 基於「自願性」。該資料處理對履行核心契約並非絕對必要，但企業「想要」進行（如：精準行銷、數據分析），因此需要當事人的額外授權。