Lex 法律鋪
首頁/法律知識/個資法合規自我檢查 50 題(2025 修正版完整對照)
合規2026-04-21

個資法合規自我檢查 50 題(2025 修正版完整對照)

台灣個資法 50 題自我稽核清單:蒐集告知、同意取得、委外處理、保留期限、刪除權、外洩通報、罰則。依個資法 §5-§54 + 2025 修正完整對照。

為什麼做個資法自我檢查?

2025 年個資法修正後罰則加重:未經同意蒐集/利用個資,可處 NT$20 萬-2000 萬罰鍰(§48); 情節重大可按日連續處罰。2026 年 NCC 更設立個資保護委員會(PDPC)統籌執法, 過去「個資法很少被罰」的僥倖心態會改變。

這份 50 題檢查清單依個資法 §5-§54 編排, 每題都對應具體法條,自評「有做到 / 部分 / 未做」即可定位合規風險。

一、蒐集合法性(§5-§8,共 10 題)

  1. §5 必要性原則:蒐集的個資是否在特定目的範圍內?(非必要者,如客戶姓名卻蒐集生日、血型就超出)
  2. §5 公平合法:蒐集方式是否公平合法?(不得以欺騙、脅迫、不當手段)
  3. §5 尊重:尊重當事人權益且誠信?
  4. §6 敏感個資:有無蒐集病歷、醫療、基因、性生活、健康檢查、犯罪前科?這些只能在 §6 特定情形下蒐集
  5. §8 告知義務 8 項:蒐集前是否告知:
    • (1) 蒐集機關名稱
    • (2) 蒐集目的
    • (3) 個資類別
    • (4) 利用期間、地區、對象、方式
    • (5) 當事人權利(§3 五項)
    • (6) 不提供之影響
  6. §9 非當事人提供:個資非由當事人自行提供時(如從第三方取得),是否於 3 個月內告知?
  7. §7 書面同意:需要書面同意的情形(§6 敏感個資、§16 特別目的外利用)是否有明確書面紀錄?
  8. 告知書有無中文版本
  9. 告知書是否明顯可見、不得隱藏在長篇隱私政策最底?
  10. 未成年人個資蒐集是否經法定代理人同意?

二、利用與目的外利用(§16-§20,共 8 題)

  1. §16 目的內利用:所有利用是否都在原本蒐集目的範圍?
  2. §16 但書:超出目的之利用是否符合 7 款例外(法律明文、公共利益、當事人書面同意等)?
  3. 行銷利用是否提供「首次表示拒絕」免費管道(§20 第 2 項)?
  4. 拒絕行銷後是否立即停止
  5. 跨部門使用個資是否仍在原目的範圍?
  6. 有無蒐集/利用個資用於 profiling 或演算法決策?
  7. 資料匿名化後才使用之流程是否落實?
  8. 公務機關共享個資是否有法律依據?

三、資料安全維護(§18、§27,共 8 題)

  1. §27 安全措施:是否有書面個資保護計畫
  2. 是否有個資清冊(項目、來源、保存位置、保存期限、利用對象)?
  3. 個資存放是否加密?
  4. 傳輸是否加密(HTTPS、VPN)?
  5. 存取權限是否最小必要原則
  6. 存取紀錄(log)保留 5 年?
  7. 員工離職時立即撤銷存取權?
  8. 備份資料是否也受保護?

四、委外處理(§8、§27 施行細則 §8,共 6 題)

  1. 委外對象(雲端、外包客服、行銷公司)是否簽書面委外合約
  2. 合約中是否明定委外處理範圍、保密義務、違約責任?
  3. 是否定期稽核委外對象?
  4. 委外對象再委託第三方是否經書面同意?
  5. 跨境傳輸個資是否符合 §21 跨境傳輸限制?
  6. 委外終止後資料是否歸還或銷毀?

五、當事人權利行使(§3、§10-§13,共 6 題)

  1. §3 五項權利:是否建立當事人行使以下權利的管道:
    • 查詢或請求閱覽
    • 請求製給複本
    • 請求補充或更正
    • 請求停止蒐集、處理或利用
    • 請求刪除
  2. 回應期限是否 15 日內(§13)?必要時可延長 15 日
  3. 查詢費用是否公告且合理?
  4. 刪除請求是否確實刪除(含備份)?
  5. 拒絕行使權利時是否書面告知理由?
  6. 是否有指定個資窗口 Email / 電話?

六、外洩通報(§12,共 5 題)

  1. 有無內部個資外洩通報 SOP
  2. 外洩發現後是否立即通知當事人(§12)?適當方式 + 內容至少含:
    • 個資外洩之事實
    • 已採取補救措施
    • 當事人可採取之措施
  3. 重大外洩是否通報主管機關?(2025 修正後強化)
  4. 外洩紀錄保留 5 年?
  5. 是否定期演練外洩應變?

七、資料保留與銷毀(§11、§28,共 4 題)

  1. 特定目的消失或期限屆滿時是否主動刪除?
  2. 保留期限有無明文(員工資料、客戶資料、交易紀錄差異大)?
  3. 刪除方式是否不可復原(消磁、粉碎、覆寫 3 次以上)?
  4. 紙本個資銷毀是否交專業處理?

八、組織與訓練(§27 + 施行細則,共 3 題)

  1. 是否指定個資管理人員(DPO 等)
  2. 員工是否每年個資法教育訓練
  3. 是否定期稽核個資保護計畫執行情形?

罰則對照(§41-§54)

違規非公務機關公務機關
§41 意圖營利非法蒐集/利用5 年以下徒刑 + 罰金 100 萬
§48 未依告知義務(§8/§9)NT$20-200 萬罰鍰(2025 提高)主管懲處
§48 未經同意使用敏感個資NT$100-2000 萬罰鍰
§50 違反停止蒐集通知NT$5-50 萬罰鍰 + 按日連續罰

50 題評分建議

  • 45+ 題全做到:合規健康,持續維護
  • 30-44 題:中度風險,建議 3 個月內補強
  • 15-29 題:高風險,NCC 抽查恐被開罰
  • 15 題以下:立即停止非必要蒐集,找律師做全面診斷

自動化稽核

想快速產出個資法合規報告(含缺口分析 + 改善建議 + 告知書範本):Lex 法律鋪 個資法合規稽核先行版免費(正式版 NT$1,500)。填組織名、產業、蒐集的個資類型,15 分鐘輸出報告 Word 檔。 重大爭議仍建議律師諮詢。

⚠️ 免責聲明

本文為法律資訊分享,不構成法律意見,亦不建立律師委任關係。 個案情境涉及具體爭議或訴訟時,請洽執業律師。

相關產品(先行版免費試用)

個資法合規 Checklist

依台灣個資法 + 2025 修正版

合約風險審閱(紅字版)

上傳對方合約 → AI 標紅字

其他法律知識

合約

2026 台灣 NDA 範本完整教學:5 種情境 + 違約金怎麼寫

勞動

台灣勞動契約必備 10 條款(2026 勞基法最新版)

新創

新創公司股東協議完整指南:cap table + vesting + 退場條款