在新版“个人资料保护法”的架构下,主管机关的角色已从过去的被动受理检举,转变为主动的监理机关。许多企业误以为只要不发生个资外泄,就不会引起主管机关的注意。然而,依据2025年修正的个人资料保护法第22条及最新预告的“检查非公务机关落实个人资料保护法情形作业办法”草案(下称检查办法草案),主管机关发动行政检查的门槛已大幅降低,且具备明确的筛选指标。
本篇将解析主管机关的检查权限、筛选对象的逻辑,以及企业应建立的受检标准作业程序(SOP)。
1. 发动门槛:不需违法证据,只因“认有必要”
依据新法第22条第1项规定,主管机关发动行政检查的要件有二:
- 有违反本法规定之虞:即已有违法迹象或检举。
- 为检视其落实本法情形而认有必要:此为新法强化的重点。即使企业未发生事故,主管机关为了确认企业是否合规(例如是否有订定安全维护计划),亦可主动发动检查。
换言之,行政检查将成为一种常态性的监理手段,而非仅是处罚前的调查程序。
2. 谁会被盯上?年度检查规划的筛选指标
主管机关资源有限,不可能普查所有企业。依据检查办法草案第2条及第3条,主管机关将制定“年度检查规划”,并综合评估下列因素来择定检查对象:
- 规模与类型:企业的组织规模、保有个人资料的数量与类型(如是否涉及特种个资)。
- 管理与技术:企业搜集、处理或利用个资的技术方法,以及內部的管理情况。
- 事故纪录:过去发生个资事故的情况及频率。
- 受检历史:历年接受检查的频率及结果。
- 外部因素:当年度政府施政重点、民众日常生活相关领域(如电商、金融、交通)、以及国际个资保护趋势。
若企业属于“保有大量会员资料”、“曾发生过资安事件”或“与民众生活密切相关(如零售、数位服务)”的产业,被列入年度优先检查名单的机率极高。
依据本所实务经验,早在新法全面上路前的2025年,经济部即已针对多家大型零售业者启动密集的行政检查,显示主管机关对于拥有大量消费者数据的企业,监管力道正持续加强。
3. 检查程序:一个月前的“预告”与突袭的可能性
依据检查办法草案第6条规定,若是基于年度计划所办理的例行性检查,主管机关原则上应于检查日一个月前,以书面通知受检企业,给予企业一段准备期间,用以整理文件与检视流程。
然而,若检查是基于“有违反本法规定之虞”(如发生重大外泄事故、证据有灭失之虞),主管机关仍可能依行政程序法及个资法第22条的授权,在未预告的情况下直接到场进行证据保全。
4. 现场权限:企业的协力义务
一旦检查人员到场(可能包含主管机关人员及随同的资讯、法律专业人员),其权限相当广泛。依据新法第22条第1项至第3项,检查人员得采取以下作为:
- 命为说明:要求企业人员进行说明或提供相关证明资料。
- 进入场所:进入办公处所、机房进行检查。
- 扣留复制:对于得没入或可为证据的个资或档案,得扣留或复制(如备份硬盘、封存主机)。
企业对此负有协力义务,不得无故规避、妨碍或拒绝。若无正当理由拒绝检查,依据新法第49条,可处新台币2万元以上20万元以下罚锾,且主管机关可采强制措施进行检查。
5. 建议:企业受检SOP
面对可能随时到来的行政检查,建议企业建立以下应对机制:
- 指定单一窗口:明确指定由法务长、首席信息安全官(CISO)或专责人员担任检查应对窗口,避免非相关人员错误发言。
- 备妥“安维计划”:这是检查人员必看的“第1号文件”。企业应随时备妥最新的安全维护计划相关文件、风险评估报告及执行纪录(如教育训练签到表、会议纪录)。
- 演练受检流程:模拟检查情境,确保IT部门知道如何配合调阅Log或系统参数,同时确保机密营业资讯(Trade Secrets)与受检个资适当隔离,避免不必要的资讯外流。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于行政检查的模拟演练、应对策略制定或受检文件整备有任何疑问,欢迎随时联系本事务所,我们将由专业律师团队为您提供精准的法律分析与解决方案。
※特别提醒:本文所提及之相关子法草案(如检查作业办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
