個資法專欄

在執行個人資料盤點與適法性評估時，企業常習慣性選擇「當事人同意」作為法律依據。然而，依據《個人資料保護法》第19條，「與當事人有契約或類似契約之關係，且已採取適當之安全措施」 往往是更穩固且合適的選擇。

我們要回到個資保護最根本的邏輯：「合法性基礎」。非公務機關要處理個資，必須有一個合法的理由。這兩個條款代表了兩種截然不同的權利來源： 兩者差異的核心在於資料處理的驅動力：

• 契約關係（交易驅動）： 基於「必要性」。為了履行對您的承諾（如：交付商品、支付薪資），企業「必須」處理您的資料。若無此資料，契約將無法執行。
• 同意（授權驅動）： 基於「自願性」。該資料處理對履行核心契約並非絕對必要，但企業「想要」進行（如：精準行銷、數據分析），因此需要當事人的額外授權。

在數位經濟時代，資料是企業最寶貴的資產之一，而個人資料的保護更是重中之重。隨著台灣《個人資料保護法》及各行業主管機關的法規日趨嚴謹，許多企業開始意識到，單憑IT部門的努力，已不足以應對複雜的個資保護挑戰。於是，「個人資料保護專責人員」、「管理人員」、「查核人員」這些名詞應運而生。

然而，許多企業主、法務、甚至IT人員，對於這三個角色的具體差異仍然一知半解：

• 這三個職位有什麼不同？可以由同一個人擔任嗎？
• 我們公司需要設立哪些職位？法規有強制要求嗎？
• 他們分別需要具備什麼樣的知識和技能（學能）？
• 如何從零開始，在企業內部建立起這套制度？

本文將為您徹底剖析這三個角色的本質區別，提供具體的建置建議，讓您一次搞懂企業個資保護的「治理鐵三角」。