随着新版“个人资料保护法”于2025年11月11日公布,确立了“个人资料保护委员会”(下称个资会)作为独立专责机关的地位,许多企业最关心的问题莫过于:“以后我是归个资会管,还是归原本的主管机关(如金管会、经济部)管?”
答案并非一成不变,而是一个长达6年的动态过程。本篇将带您解读新法第51条之1的“过渡期间”设计,并透过最新预告的“个人资料保护法第五十一条之一第一项所称由中央目的事业主管机关或直辖市、县(市)政府管辖之非公务机关列表”草案(下称非公务机关列表草案),协助企业厘清自己的法遵对口单位。
1. 为什么会有“双轨制”?6年过渡期的设计逻辑
依据新法第1条之1,原则上个资保护的权责应统一由个资会管辖。然而,考量全台湾非公务机关(企业、团体)数量庞大且样态多元,若个资会一成立就瞬间接管所有产业的监理工作,恐因资源不足而导致监管真空。
因此,新法第51条之1特别设计了“6年过渡期间”。在个资会成立后的6年内,采取“双轨制”:
- 名单内(原机关管辖):经行政院公告列入名单的产业,仍由原中央目的事业主管机关(如经济部、卫福部)继续监管。
- 名单外(个资会管辖):未列入名单的产业,直接由个资会监管。
2. 我在名单上吗?解读“过渡期间管辖列表”草案
个资会2026年2月预告的非公务机关列表草案,共列出了388项非公务机关类型,涵盖了绝大多数特许行业及具规模的产业。以下为您整理几类重点产业的归属:
- 金融业(金管会):金控、银行、保险、证券期货、电子支付,以及近期备受关注的虚拟资产服务业等。
- 电商与资讯业(数位发展部):从事以网际网路方式零售商品业(网购)、第三方支付服务业、软体出版业、电脑程式设计业等。
- 医疗与社福(卫福部): 医院、长照机构、医事人员(医师、护理师等)、社福机构。
- 一般商业与制造业(经济部):零售业、各类制造业(如半导体、食品、纺织、机械等)、物流中心。
- 教育业(教育部):私立学校、短期补习班、幼儿园。
- 运输观光(交通部):旅行业、观光旅馆业、计程车客运服务业,以及外送平台。
企业应先查询这份草案列表。如果所属产业在名单上,在过渡期内的个资保护业务(如安维计划备查、行政检查)原则上仍对应原主管机关。若不在名单上,则直接对应个资会。
3. “原机关”管辖标准会较宽松吗?
许多企业可能会有疑问:“既然还是归原主管机关管,那是不是就不用担心新法的严格标准?”
新法第51条之1第4项明确规定,中央目的事业主管机关在过渡期间订定的安全维护办法,必须“比照”个资会的标准,且“不得低于”个资会的基础水准。
甚至,依据“个人资料档案安全维护管理办法”草案第27条,如果企业的主管机关没有订定专属的安维办法,或者其规定的标准比个资会的共通办法还宽松,那么将直接适用个资会较严格的规定。换言之,无论主管机关是谁,法遵标准都将全面提高。
4. 两年一轮的“动态移转机制”
这份管辖名单并非固定不变。新法规定,个资会应每2年检讨一次,报请行政院“减列”公告范围。换言之,未来的6年内,将会有产业分批从原主管机关移交给个资会。这是一个动态的整并过程,最终目标是实现监理事务权的统一。
此外,为了避免多头马车,新法也授权个资会召开“个人资料保护政策推进会议”,作为跨机关协调的平台,解决管辖权争议并统一执法标准。
5. 企业该如何因应?
面对这6年的变动期,本所建议企业采取以下步骤:
- 确认身分:下载草案列表,确认自己是否属于“公告范围”内的非公务机关。
- 锁定法规:
- 若在名单内:密切关注所属产业的主管机关(如金管会、经济部)是否配合新法修正了该产业的“个资档案安全维护办法”。
- 若不在名单内: 直接依据个资会预告的“个人资料档案安全维护管理办法”草案,这将是企业的法遵依据。
- 预备升级:无论归属哪个主管机关监管,请以个资会的“共通性安维办法”作为底线,检视内部的个资盘点、风险评估与事故应变机制是否达标。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于主管机关判定、安全维护计划修订或新旧法规适用有任何疑问,欢迎随时联系本事务所,我们将由专业律师团队为您提供精准的法律分析与解决方案。
※特别提醒:本文所提及之相关子法草案(如非公务机关列表、安全维护办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
