企業個資委外非卸責藉口 法律義務仍以甲方為主

個資法相當重視當事人隱私權及資料合理利用之衡平性，因此，對於委外管理之重點，即在於委託者有無對受託者進行適當之監督。而個資法要求之監督事項，以該法施行細則第8條為主，包含：預定蒐集、處理或利用個資之範圍、類別、特定目的及其期間，有無採取同法施行細則第12條要求之適當安全維護措施，有複委託時之約定，通知及補救措施，業務終止之處理等要求，並且委託者應定期確認受託者執行之狀況。以下將用二個案例來說明企業將涉及個資的業務委外時的法律規範與責任。

案例1：須先判斷是否屬委外管理

某A電子商務業者，內部載有會員資料之伺服器係向某B公司長期租用，惟B公司提供之服務不涉具體資料之處理，依我國個資法之規定，A會有那些義務或責任？

依我國現行司法實務，個資委外之判斷依據在於個資之蒐集、處理或利用係以何人名義為之，故須以個案事實為主。舉例來說，受託者已明白告知當事人，係受其他公務或非公務機關委託，並以受託者自身名義進行個資之蒐集、處理或利用，即屬典型之委託關係（如甲委託乙、由乙進行蒐集、處理或利用個資，此時甲為委託機關、乙為受託者），適用個資法第4條之規範。

亦即上述案例的個資之蒐集、處理或利用仍以A公司名義為之。因此，這類型的委外，涉A公司所保有之會員資料，具體管理應回歸個資法對蒐集者之要求，如A公司蒐集時是否已採取適當之安全措施，且符合個資法施行細則第12條之規定，可防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施等。

案例2：涉個資委外之管理

如果是某A業者委託某C專業客服公司，處理相關會員之申請建檔／?退出、資料修改等資料庫維運及管理相關業務，依個資法規定，A之監督管理又會有那些要求呢？

國內廠商如果考量人力、成本等因素，如案例2之情形，將部分涉個資業務委外處理，宜先審酌有能力是否符合我國個資法之規定。因為，依個資法施行細則第7條及實務見解，受託者係受委託機關（可再區分公務或非公務機關）之委託，故不論是遵法行為、個資蒐集時之特定目的，或是適用之法律關係都以委託機關為主。

舉例而言，如果委託機關是非公務機關，原則上受託者個資之蒐集、處理或利用係依個資法第19、20條之規定，除踐行告知事項（直接蒐集依個資法第8條之規定、間接蒐集依第9條）外，尚須有特定目的及法定情形。而在委託機關合法蒐集之特定目的及要件下，受託者可蒐集、處理或利用相關個資。但受託者違反個資法規定時，相關民、刑事責任亦以委託機關為主。

目前對於個資業務委外之監督，於非公務機關實務方面，常以契約約定方式為之，且內容多以責任轉嫁或分攤為主，意即發生個資事故時，受託者須與委託機關共同承擔等；或甚至提供已取得資料隱私保護標章（dp.mark）之證明，以彰顯個資保護與管理之能力。但在公務機關部分，則多採要求受託者管理機制及契約約定事項併同為之，如經濟部訂有「委外廠商查核項目」，其依人員及資源配置、界定個人資料、風險評估等11大項分別列出（即個資法施行細則第12條第2項之要求），請受託者先行自評，委託機關再據以檢視，以符合個資法要求之監督。並將個資法定要求及違反責任等，納入相關計畫契約內。

強化力度確保個資安全

由於個資法施行細則第8條規定，委託機關應對受託者為適當之監督。然實務上，是否得以簽訂契約，或要求廠商填寫查核或自評表等方式，即已滿足適當監督之要求？坦言之，目前並無定論，司法實務上仍以具體個案為斷，因為是否符合適當之監督涉及有無過失之判斷，前述簽約或填表等方式，在訴訟上皆可做為判斷佐證，惟最後之認定仍宜尊重法院。

最後，有鑑於實務上IT相關業務委外實屬常態，且如臺灣個人資料保護與管理制度（TPIPAS）、ISO 27001資安管理系統等，均將委外管理視為重要之規範或控制要項，為深化個人資料保護與管理，建議國內企業主或IT部門主管，除簽訂契約、要求受託者符合個資安全管理機制，亦可考量自身及要求委外廠商通過具公信力之個資或資安相關驗證，以期強化監督之力度，俾符我國個資法委外之規範。

＜本文作者：資訊工業策進會科技法律研究所（資策會科法所）為國內首屈一指之科技及產業政策法制智庫，研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題，詳細資訊可參閱官網https://stli.iii.org.tw/。本文作者為資策會科法所蘇柏毓律師/專案經理、陳宏志專案經理，目前共同協助推廣臺灣個人資料保護與管理制度（TPIPAS），並關注於反托拉斯法及我國廠商至國外營運可能之法制風險等議題。＞