过去企业在建置个资保护制度时，常面临“多头马车”的困扰。制造业归经济部管、网购归数位部管，各部会订定的“个人资料档案安全维护计划”标准不一，让跨业经营的企业无所适从。 

随着新法修正，个资会预告“个人资料档案安全维护管理办法”草案（下称安维办法草案），这将是一部适用于所有公务机关与非公务机关的“共通性”法规。本篇将为您解析草案第二章（第5条至第15条）所规范的“共通安全维护措施”。这些是无论企业规模大小、营收多寡，都必须落实的合规底线。 

1. 一切的起点：资料盘点与范围界定 

许多企业发生个资外泄时，甚至搞不清楚自己到底弄丢了什么资料。安维办法草案第5条明确要求，企业应“定期清查”确认所保有的个资现况，并界定管理范围。 

换言之，企业不能再以“资料太杂乱”为借口。您必须知道公司里有哪些个资（客户名单、员工资料）、存放在哪里（纸本库房、云端硬盘、员工笔记本电脑），以及搜集的法律依据为何。唯有透过盘点，才能划定防守范围，这是所有资安治理的基础。 

2. 人员管理：保密协定与权限控管 

“内鬼”往往比骇客更难防。草案第7条针对“人员管理”提出了具体要求： 

1. 识别权责：需辨识出业务内容涉及个资搜集、处理或利用的人员。 
2. 签署保密：必须与接触个资的人员约定保密义务。 
3. 最小权限：帐号权限应采“最小权限原则”，非业务必要不开放存取。 
4. 离职交接：人员异动时，必须确实收回权限、缴回载有个资的设备或删除资料。 

此外，草案第8条也规定应定期对所属人员进行认知宣导及教育训练。这不再是“有空才做”的选项，而是必须留存纪录的法定义务。 

3. 设备与实体安全：该更新的不能省 

针对储存个资的电脑与场所，草案第9条与第10条设立明确指标： 

1. 设备安全：电脑应安装防毒软件并设定自动更新病毒码、作业系统与软件应适时更新修补漏洞。换言之，使用不再支援更新的旧版作业系统（如Windows 7）将直接构成违规。 
2. 实体安全：针对存放个资的机房或档案库房，应有门禁管制、监视录影系统或实体门锁，防止未经授权人员进入。 

4. 特种个资：加密传输是标配 

若您的企业保有的资料涉及“个人资料保护法”第6条的特种个资（如病历、医疗、基因、健康检查、犯罪前科等），依据草案第11条，必须采取更严格的保护措施： 

1. 纸本管制：订定专门的纸本与可携式设备（如U盘）管制规范。 
2. 传输加密：电子档案在传输过程中必须采取加密措施，不能以明文传送。 
3. 备份保护：备份资料应比照原件进行高规格保护。 

5. 系统日志与资料删除：凡走过必留痕迹 

针对企业自行或委外开发的资通系统，草案第12条至第15条要求： 

1. 帐号管理：应定期清查帐号，并强制设定复杂密码。 
2. 日誌留存：系统应具备记录登入、存取、删除等行为的功能（Log），且日志应保存适当期间（后续条文建议至少6个月）。 
3. 删除纪录：业务终止后，个资应确实销毁或删除，且删除纪录应至少保存5年，以供日后查核。 

6. 建议：检视“安维计划” 

上述规范是所有非公务机关的“最低标准”。无论是路边的诊所、中小企业还是大型跨国公司，只要保有个资，就必须落实这些措施。如果发生个资事故，主管机关来检查时，首先看的就是这些基本功是否扎实。本所建议企业应立即检视现有的内部规范，确认是否符合新版草案的要求，特别是“资料盘点”与“系统日志”往往是企业最容易忽略的环节。 

本所拥有丰富的企业个资法务与合规导入经验，若贵公司对于安全维护计划的撰写、修订或内部流程检视有任何需求，欢迎随时联系本事务所，我们将由专业律师团队为您提供精准的法律分析与解决方案。 

---

※特别提醒：本文所提及之相关子法草案（如安全维护办法等）均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日，相关草案仍处于意见征集阶段，正式施行条文可能视各界意见进一步调整，请读者持续留意最新法规动态。