隨著新版「個人資料保護法」於2025年11月11日公布,確立了「個人資料保護委員會」(下稱個資會)作為獨立專責機關的地位,許多企業最關心的問題莫過於:「以後我是歸個資會管,還是歸原本的主管機關(如金管會、經濟部)管?」
答案並非一成不變,而是一個長達6年的動態過程。本篇將帶您解讀新法第51條之1的「過渡期間」設計,並透過最新預告的「個人資料保護法第五十一條之一第一項所稱由中央目的事業主管機關或直轄市、縣(市)政府管轄之非公務機關列表」草案(下稱非公務機關列表草案),協助企業釐清自己的法遵對口單位。
1. 為什麼會有「雙軌制」?6年過渡期的設計邏輯
依據新法第1條之1,原則上個資保護的權責應統一由個資會管轄。然而,考量全台灣非公務機關(企業、團體)數量龐大且樣態多元,若個資會一成立就瞬間接管所有產業的監理工作,恐因資源不足而導致監管真空。
因此,新法第51條之1特別設計了「6年過渡期間」。在個資會成立後的6年內,採取「雙軌制」:
- 名單內(原機關管轄):經行政院公告列入名單的產業,仍由原中央目的事業主管機關(如經濟部、衛福部)繼續監管。
- 名單外(個資會管轄):未列入名單的產業,直接由個資會監管。
2. 我在名單上嗎?解讀「過渡期間管轄列表」草案
個資會2026年2月預告的非公務機關列表草案,共列出了388項非公務機關類型,涵蓋了絕大多數特許行業及具規模的產業。以下為您整理幾類重點產業的歸屬:
- 金融業(金管會):金控、銀行、保險、證券期貨、電子支付,以及近期備受關注的虛擬資產服務業等。
- 電商與資訊業(數位發展部):從事以網際網路方式零售商品業(網購)、第三方支付服務業、軟體出版業、電腦程式設計業等。
- 醫療與社福(衛福部):醫院、長照機構、醫事人員(醫師、護理師等)、社福機構。
- 一般商業與製造業(經濟部):零售業、各類製造業(如半導體、食品、紡織、機械等)、物流中心。
- 教育業(教育部):私立學校、短期補習班、幼兒園。
- 運輸觀光(交通部):旅行業、觀光旅館業、計程車客運服務業,以及外送平臺。
企業應先查詢這份草案列表。如果所屬產業在名單上,在過渡期內的個資保護業務(如安維計畫備查、行政檢查)原則上仍對應原主管機關。若不在名單上,則直接對應個資會。
3. 「原機關」管轄標準會較寬鬆嗎?
許多企業可能會有疑問:「既然還是歸原主管機關管,那是不是就不用擔心新法的嚴格標準?」
新法第51條之1第4項明確規定,中央目的事業主管機關在過渡期間訂定的安全維護辦法,必須「比照」個資會的標準,且「不得低於」個資會的基礎水準。
甚至,依據「個人資料檔案安全維護管理辦法」草案第27條,如果企業的主管機關沒有訂定專屬的安維辦法,或者其規定的標準比個資會的共通辦法還寬鬆,那麼將直接適用個資會較嚴格的規定。換言之,無論主管機關是誰,法遵標準都將全面提高。
4. 兩年一輪的「動態移轉機制」
這份管轄名單並非固定不變。新法規定,個資會應每2年檢討一次,報請行政院「減列」公告範圍。換言之,未來的6年內,將會有產業分批從原主管機關移交給個資會。這是一個動態的整併過程,最終目標是實現監理事權的統一。
此外,為了避免多頭馬車,新法也授權個資會召開「個人資料保護政策推進會議」,作為跨機關協調的平台,解決管轄權爭議並統一執法標準。
5. 企業該如何因應?
面對這6年的變動期,本所建議企業採取以下步驟:
- 確認身分:下載草案列表,確認自己是否屬於「公告範圍」內的非公務機關。
- 鎖定法規:
- 若在名單內:密切關注所屬產業的主管機關(如金管會、經濟部)是否配合新法修正了該產業的「個資檔案安全維護辦法」。
- 若不在名單內:直接依據個資會預告的「個人資料檔案安全維護管理辦法」草案,這將是企業的法遵依據。
- 預備升級:無論歸屬哪個主管機關監管,請以個資會的「共通性安維辦法」作為底線,檢視內部的個資盤點、風險評估與事故應變機制是否達標。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於主管機關判定、安全維護計畫修訂或新舊法規適用有任何疑問,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供精準的法律分析與解決方案。
※特別提醒:本文所提及之相關子法草案(如非公務機關列表、安全維護辦法等)均為個人資料保護委員會籌備處於 2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
