臺灣個人資料保護法規:個人資料保護法與個人資料保護委員會(2026年指南)

臺灣個人資料保護法規:個人資料保護法與個人資料保護委員會(2026年指南)
臺灣之個人資料保護法(個資法,PDPA)最初於2010年制定,並於2025年11月經重大修正,規範中華民國(臺灣)公私部門對個人資料之蒐集、處理及利用。2025年11月11日之修正案正式成立個人資料保護委員會(個資會,PDPC),作為獨立、集中之監督機關,並新增強制性資料外洩通報義務、加重行政罰鍰,以及新的資料保護長設置要求。
本文資訊最後查證日期為2026年5月19日。本文尚未經中華民國(臺灣)合格執業律師審閱。
法域範圍: 本文係就中華民國(臺灣)依個人資料保護法(個資法)及個人資料保護委員會所發布之命令與解釋所建構之資料保護法律加以說明。本文不涉及中華人民共和國、香港或澳門之資料保護制度。有關臺灣之錄音及監察法律,請參閱臺灣錄音錄影法規。
快速解答:臺灣的個人資料保護法規如何運作?
臺灣透過個資法保護個人資料,該法同時適用於政府機關及非公務機關(企業、組織及個人)。個資法要求個人資料之蒐集、處理或利用須具備合法依據,賦予當事人查詢、更正及刪除等權利,並就違法行為課予刑事、民事及行政罰則。2025年11月11日之修正案,標誌著臺灣資料保護制度世代性的轉變:首次由單一獨立機關,即個資會,對全體經濟社會領域擁有集中之監督及執法權限,而非任由各業務主管機關各自為政。
個人資料保護法:架構與適用範圍
立法沿革
臺灣之資料保護法制,始於1995年制定之電腦處理個人資料保護法,惟其適用範圍僅限於特定行業。立法院於2010年以現行個資法取代該法,將適用範圍擴及所有行業及各種形式之個人資料處理,不再侷限於電腦處理之資料。
個資法其後歷經多次修正。2015年之修法使執法相關規定正式施行。2023年5月之修正案新增第1條之1,指定尚待成立之個資會為本法之主管機關。2025年11月11日之修正案,則帶來完整之機關組織架構:獨立之個資會、強制性資料外洩通報義務、加重罰鍰,以及對公務機關之資料保護長設置要求。
現行個資法適用於政府機關,以及在臺灣境內蒐集、處理或利用個人資料,或其行為對臺灣產生影響之自然人、法人及其他非政府組織(合稱「非公務機關」)。
個人資料之定義
個資法對個人資料採廣義定義。依本法規定,個人資料係指得直接或間接識別特定自然人之任何資訊,包括:
- 姓名、出生日期及國民身分證統一編號
- 護照號碼及聯絡方式
- 指紋、生理特徵及婚姻狀況
- 家庭資訊、學歷及職業
- 病歷、基因資料、性生活及健康檢查結果
- 犯罪前科、財務狀況及社會活動
個資法另就受限制之敏感個人資料類別,稱之為「特種個人資料」,予以獨立規範,包括:病歷、醫療、基因、性生活、健康檢查及犯罪前科等資料。除有特定法定例外情形外,此等特種個人資料原則上禁止蒐集、處理及利用。
屬地及事項適用範圍
個資法適用於受規範主體所持有及處理之全部個人資料,不論該處理是否採自動化方式為之。個資法並未包含類似GDPR第3條第2項之明文域外效力條款,惟預期個資會將於發展其運作架構之過程中,透過指引就適用範圍相關問題予以說明。
蒐集及處理之合法依據
政府機關
臺灣政府機關於履行法定職務所必要,且已採取適當安全維護措施之情況下,得蒐集、處理及利用個人資料。其利用範圍應限於原蒐集目的之範圍內,除非有法定例外規定允許為特定目的外之利用。
非公務機關
非公務機關於蒐集或處理個人資料前,須符合下列合法依據之一:
- 當事人同意: 當事人已為明確、知情且具體之同意。
- 契約必要性: 蒐集係履行當事人為當事人一方之契約,或應當事人請求而為締約前之必要措施所需。
- 法定義務: 蒐集係法律所要求。
- 重大利益: 蒐集係為保護當事人或第三人之生命、身體或財產所必要,且無法及時取得當事人同意。
- 已公開之資料: 該資料業經當事人自行合法公開,或以其他合法方式已為公眾所知悉。
- 正當利益: 蒐集係為研究、統計或調查所必要,且該資料已經適當去識別化,或未對當事人權益造成過度影響。
就敏感個人資料而言,合法依據較為狹窄。除有特定法定例外情形,例如法定義務、公共利益要求,或當事人之書面同意者外,原則上禁止蒐集。
告知義務
蒐集個人資料之前或當下,蒐集之機關須告知當事人下列事項:(一)蒐集機關之名稱;(二)蒐集之目的;(三)擬蒐集之個人資料類別;(四)利用之期間、地區及方式;(五)當事人依個資法所享有之權利;(六)拒絕提供資料之後果。
當事人權利
個資法賦予當事人得對抗政府機關及非公務機關之五項核心權利:
| 權利 | 說明 |
|---|---|
| 查詢及閱覽權 | 當事人得請求確認某機關是否持有其個人資料,並得請求閱覽該資料。 |
| 複製權 | 當事人得請求取得其個人資料之複本。 |
| 補充或更正權 | 當事人得請求就不正確之個人資料予以補充或更正。 |
| 限制或停止處理權 | 當事人得請求停止蒐集、處理或利用其資料。 |
| 刪除權 | 當事人得請求刪除其個人資料。 |
政府機關非有正當法律依據,不得拒絕當事人之請求。非公務機關則須於合理期間內回覆,具體期限將由個資會之相關子法另行明定。
上述權利並非絕對。若履行該等請求將損害國家安全、公共利益或第三人權益,或該資料係履行法定義務所必要者,機關得拒絕該請求。

個資會:臺灣新設之獨立資料保護主管機關
憲法法庭之誡命(2022年8月)
臺灣資料保護制度之發展,於2022年8月12日出現重大轉折,憲法法庭作成111年憲判字第13號判決(全民健康保險研究資料庫案)。該判決認為,現行個人資料保護機制,不足以滿足中華民國憲法第22條所保障之資訊自主權此一憲法上權利。法院具體指出,欠缺獨立監督機關之情況下,公部門之資料控管者未受可信之獨立監督。
法院給予立法機關三年之緩衝期,要求於2025年8月前建立獨立之資料保護監督機制。
憲法法庭於111年憲判字第13號判決中認為,「為確保個人資料之保護及憲法第22條所保障之隱私權,有設立獨立監督之個人資料保護機制之必要」。
2023年之立法回應:第1條之1
立法院於2023年5月16日通過個資法修正案,回應上述判決,新增第1條之1。該條規定指定個人資料保護委員會為整部個資法之主管機關,取代原先由各業務主管機關於各自領域執行本法之制度。國家發展委員會過去雖曾扮演協調機關及個資法解釋之預設角色,惟其並不具有執法上之優先地位。
籌備處(2023年12月5日)
行政院於2023年12月5日成立個人資料保護委員會籌備處。籌備處自2024年1月1日起,接手原由國家發展委員會負責之個資法解釋業務。其於籌備階段之主要任務包括:
- 研擬完整個資會之組織法規
- 研議、解釋及協調個資法之修正
- 研訂子法,包括安全管理相關規則
- 就資料保護標準辦理公眾諮詢
籌備處本身並非完整之個資會,其欠缺憲法法庭所要求之獨立執法權限,而係作為未來完整委員會成立之機關基礎。
2025年11月11日之修正案:完整之個資會
2025年11月11日,中華民國總統公布個資法之重大修正案。該次修正正式成立個人資料保護委員會,使其成為完整之獨立監督機關,完成2022年憲法法庭判決所啟動之三年進程。
依修正後之個資法,個資會之主要職權包括:
- 就個資法作成解釋及具拘束力之指引
- 對非公務機關進行行政檢查,並與各業務主管機關及地方政府協調檢查作業
- 於檢查過程中留存或複製個人資料作為證據
- 課予行政罰鍰及裁處改正命令
- 與國際資料保護機關進行協調合作
- 訂定子法,包括依第20條之1規定之安全維護相關規則
2025年11月修正案之施行日期,將由行政院另行訂定,預期於2026年內施行。籌備處已於2026年初就多項子法草案,包括安全維護及管理規則草案,公開徵詢各界意見。
個資會成立前之執法現況
在個資會成立之前,個資法之執法權責分散於二十餘個業務主管機關及地方政府。金融監督管理委員會負責金融服務業之個資法執法;衛生福利部負責醫療業;國家通訊傳播委員會負責電信業;其餘各受規範產業則依此類推。地方政府則負責執法未受任何全國性業務主管機關管轄之企業。
此一分散式架構造成解釋不一致、執法寬嚴不均,以及跨產業之監理套利現象。個資會之權限整合,旨在首次建立全國一致之統一標準。
強制性資料外洩通報義務
修正後第12條之新義務
2025年11月修正案透過修正後之第12條,將強制性資料外洩通報義務明文法制化。當非公務機關發生個人資料外洩事件時,該機關須:
- 通知受影響之當事人;及
- 於該外洩事件屬個資會所指定之「特定通報範圍」時,向個資會通報。
修正後條文明定,通知當事人為最優先之義務,且明文規定該義務不以機關已先「查明全部事實」為條件。向個資會通報之具體門檻、時限、內容及方式,將由個資會另行訂定子法,該等子法於2026年初仍處於草案階段。部分業別之子法已於特定情形要求須於72小時內通報業務主管機關;個資會未來之規則將訂定統一之全國標準。
未履行資料外洩通報義務之罰則
未依規定向個資會通報者,每次違規處新臺幣2萬元以上20萬元以下罰鍰。經命限期改正而屆期未改正者,就每次違規另處同一金額範圍內之罰鍰。
第20條之1所定之安全維護義務
2025年11月修正案新增第20條之1,要求非公務機關對個人資料檔案採取適當之技術上及組織上安全措施。個資會將以子法訂定具體要求。未能符合該等要求之組織,處新臺幣2萬元以上200萬元以下罰鍰。經改正命令後未於期限內改正者,每次違規將處新臺幣15萬元以上1,500萬元以下之加重罰鍰。
資料保護長
修正後個資法第18條現已要求各政府機關均須指派資料保護長(DPO)。資料保護長負責推動及監督該機關之資料保護作業,並作為當事人及個資會之聯絡窗口。
資料保護長之設置要求目前僅適用於公部門機關。非公務機關依現行修正後個資法尚無須指派資料保護長,惟未來業別子法或個資會之指引可能就此另作規範。
跨境資料傳輸
一般原則上之許可性

個人資料之跨境傳輸,於個資法下原則上係屬允許。與GDPR所採之方式不同,臺灣並未要求組織須取得適足性認定、採用標準契約條款,或以企業拘束性規則作為國際傳輸之預設條件。
政府限制權限(第21條)
個資法第21條授權主管機關(現為個資會),得於下列三種情形限制個人資料之跨國傳輸:
- 該項傳輸可能涉及重大國家利益。
- 接收國之資料保護法制不足,可能損害臺灣當事人之權益。
- 該項傳輸係以間接方式規避個資法已施加之限制。
依2025年11月修正案規定,第21條所定之跨境傳輸限制權限,將由各業別主管機關統一移轉至個資會。此一集中化措施意謂,企業日後就允許之傳輸方式尋求指引時,僅須洽詢單一機關,而不須分別諮詢各主管機關。
業別特定限制
部分產業已存在業別特定之傳輸限制規定。金融監督管理委員會就金融個人資料傳輸至臺灣境外設有相關規定。醫療院所須遵循衛生福利部就病歷資料傳輸所定之規則。受規範產業之組織,於個資會發布整合性指引前,應持續遵循其業別特定要求。
罰則與執法
行政罰則
下表彙整修正後個資法所定之主要行政罰鍰範圍:
| 違規類型 | 罰鍰範圍 | 改正罰則 |
|---|---|---|
| 未依規定通報個資會(資料外洩) | 新臺幣2萬元至20萬元 | 每次未改正處新臺幣2萬元至20萬元 |
| 違反安全維護措施(第20條之1) | 新臺幣2萬元至200萬元 | 每次未改正處新臺幣15萬元至1,500萬元 |
修正後個資法所定之全部行政罰鍰,均由個資會裁處。在2025年11月修正案施行前,罰鍰係由各業務主管機關裁處,導致執法標準不一。
刑事罰則
個資法就故意違法行為訂有刑事罰則。第41條規定,意圖營利或意圖損害他人,故意違反本法有關個人資料蒐集、處理或利用之規定者,處五年以下有期徒刑,得併科新臺幣100萬元以下罰金。
行為人若係意圖不法營利而為之,得併處有期徒刑及罰金。刑事規定與行政罰則各自獨立運作;同一組織可能同時面臨相關責任人員遭刑事訴追,以及該組織本身遭處行政罰鍰之情形。
民事責任
因違反個資法而受有損害之當事人,得向民事法院請求損害賠償。個資法就每一事件、每一當事人,訂有新臺幣500元至2萬元之法定賠償金額,使實際損害難以量化之情形下,當事人仍得請求賠償。單一事件之最高累計賠償總額為新臺幣2億元。
個資法亦容許團體訴訟。經指定之消費者保護團體,得代表多數受影響之當事人提起團體訴訟,形成與個資會行政執法權限並存之私人執法機制。
特定產業之額外要求
金融服務業
金融監督管理委員會(FSC)已就銀行、保險公司、證券商及支付機構,訂定廣泛之業別資料保護規則。此等規則之義務範圍,經常超出個資法之基本要求,包括資料共享限制、開戶時之客戶同意要求,以及跨境傳輸核准等規定。個資會全面運作後,金管會與個資會於執法上之協調方式,將成為值得持續關注之重要領域。
醫療業
醫療機構、醫院及健康保險相關單位,須遵循醫療法及衛生福利部相關規定,該等規定就病歷及病患資料訂有特定保障措施。個資法將健康檢查結果、病歷及基因資料列為敏感個人資料,意謂醫療機構於處理該等資料時,須符合更高之合法依據要求。
電信業
國家通訊傳播委員會規範電信業者對用戶資料、通訊詮釋資料及位置資訊之處理方式。此等要求與個資法之基本義務有所重疊,惟仍屬獨立規範。
實務合規考量
於臺灣經營業務之組織,於準備因應個資會全面運作啟動之過程中,宜優先處理下列事項:
-
檢視處理之合法依據。 盤點現行同意條款、契約條文及正當利益評估內容,確認每一項處理行為均具備符合個資法要求之合法依據。
-
建立外洩偵測及通報程序。 修正後個資法要求須及時通知當事人,無須等待查明全部事實。內部事件應變流程應反映此一標準。待個資會公布通報範圍相關規則後,須將相關時限納入事件應變程序中。
-
檢視第20條之1安全措施之合規情形。 個資會之安全維護規則草案訂有最低技術及組織標準。組織應將現行資訊安全計畫與未來要求進行比對檢視。
-
公務機關:指派資料保護長。 政府機關依第18條負有法定資料保護長設置義務。民間組織則應持續留意個資會之指引是否將資料保護長義務擴及非公務機關。
-
檢視跨境傳輸安排。 待個資會集中掌管第21條之傳輸限制權限後,組織宜建立單一窗口以取得傳輸相關指引。業別特定之傳輸核准,屆時可能須依個資會之架構重新確認。
-
更新隱私權政策。 隱私權政策應載明個資會為主管監督機關,並就個資法所定之當事人權利提供必要之揭露事項。
近期發展(2022至2026年)
本文僅供一般資訊參考之用,並不構成法律意見。臺灣之個人資料保護法仍持續進行立法及法規發展;截至本文撰寫之日,2025年11月修正案之施行日期及其相關子法尚未底定。組織如需就其具體情況取得法律意見,應諮詢於中華民國(臺灣)具執業資格之律師。本文資訊最後查證日期為2026年5月19日。
Frequently Asked Questions
臺灣主要的資料保護法律是什麼?
個人資料保護法(個資法,PDPA)最初於2010年制定,最近一次於2025年11月11日修正,係臺灣主要之資料保護法律。該法規範政府機關及民間組織於臺灣經濟社會各領域對個人資料之蒐集、處理及利用。
臺灣的個人資料保護委員會(個資會,PDPC)是什麼機構?
個人資料保護委員會(個資會,PDPC)係臺灣新設之獨立資料保護主管機關,依2025年11月11日之個資法修正案成立。個資會對整部個資法擁有集中之監督、解釋及執法權限,取代先前由各業務主管機關各自於其領域內執行本法之制度。
個資會是何時成立的?其成立歷程為何?
個資會之成立歷經三年進程。憲法法庭於2022年8月12日作成111年憲判字第13號判決,要求設立獨立之資料保護機關。立法院於2023年5月將第1條之1新增於個資法中,指定個資會為主管機關。個資會籌備處於2023年12月5日成立,並自2024年1月1日起接手個資法解釋業務。完整之個資會則依2025年11月11日之修正案正式成立,其實際運作日期將由行政院於2026年內另行公布。
臺灣是否要求強制性資料外洩通報?
是的。2025年11月之個資法修正案,透過修正後第12條,明文引進強制性資料外洩通報義務。非公務機關於知悉外洩事件後,須立即通知受影響之當事人,無須等待查明全部事實。若該外洩事件屬個資會未來子法所定之通報範圍,機關並須向個資會通報。未依規定向個資會通報者,每次違規處新臺幣2萬元至20萬元罰鍰。
違反臺灣個資法有哪些罰則?
罰則分為三類。違反安全維護措施之行政罰鍰為新臺幣2萬元至200萬元,其後每次未改正另處新臺幣15萬元至1,500萬元之改正罰鍰。依第41條規定,意圖營利或損害他人而故意違法者,最高可處五年以下有期徒刑及新臺幣100萬元罰金之刑事處罰。民事責任方面,每一事件、每一當事人得請求新臺幣500元至2萬元之法定賠償金,單一事件最高累計上限為新臺幣2億元。
臺灣是否允許資料跨境傳輸?
個資法原則上允許跨境傳輸。臺灣並未要求以適足性認定或標準契約條款作為傳輸之前提要件。惟依個資法第21條規定,主管機關得於接收國欠缺適足保護,或該傳輸可能損害國家利益之情形下,限制該項傳輸。依2025年11月修正案,此項限制權限將由各業別主管機關移轉至個資會,由其研訂統一之傳輸指引。
在臺灣,誰須指派資料保護長?
依2025年11月修正後個資法第18條規定,臺灣所有政府機關均須指派資料保護長(DPO)。資料保護長負責推動及監督該機關內部之資料保護作業。目前非公務機關(民間部門)尚無相同之資料保護長設置要求,惟未來個資會之指引可能就此另作規範。
臺灣個資法與GDPR相比有何異同?
個資法與GDPR均要求處理行為具備合法依據,均承認須特別加強保護之敏感資料類別,均賦予當事人查詢、更正及刪除等權利,且均要求採取安全措施。主要差異在於:個資法未要求跨境傳輸須取得適足性認定或採用標準契約條款;目前僅公務機關須指派資料保護長;臺灣尚未底定具體之資料外洩通報時限;且民事賠償架構採每一事件之法定金額,而非按營業額比例計算之罰鍰。
哪些產業在基本個資法規定之外另有額外之資料保護要求?
金融服務業(由金融監督管理委員會規範)、醫療業(由衛生福利部依醫療法規範)及電信業(由國家通訊傳播委員會規範),均訂有超出個資法基本義務之業別特定資料保護規則。上述產業之組織須同時遵循個資法及其業別特定要求。
2025年11月的個資法修正案何時生效?
2025年11月11日之修正案雖已公布,惟截至2026年年中仍尚未施行。施行日期將由行政院以命令另行訂定。組織應持續關注個資會之公告,以掌握施行日期及相關子法之訂定情形,包括第20條之1所定之安全維護規則,以及第12條所定之資料外洩通報範圍相關規則。
Sources and References
- 個人資料保護法(PDPA)全文—law.moj.gov.tw(law.moj.gov.tw).gov
- 個人資料保護委員會籌備處—官方網站(pdpc.gov.tw).gov
- 憲法法庭111年憲判字第13號判決(2022年)—司法院(cons.judicial.gov.tw).gov
- Jones Day—臺灣通過個資法重大修正案(2025年12月)(jonesday.com)
- K&L Gates—臺灣個資法最新發展(2026年1月)(klgates.com)
- Baker McKenzie / Global Compliance News—臺灣個資法修正案(2025年11月)(globalcompliancenews.com)
- Stellex Law Firm—總統公布個資法修正案(2025年)(stellexlaw.com)
- STLI—臺灣個資法之修正(stli.iii.org.tw)
- Chen & Lin—立法院通過個資法修正案(chenandlin.com)
- ICLG—2025至2026年資料保護法規:臺灣(iclg.com)
- Chambers & Partners—2026年資料保護與隱私:臺灣(practiceguides.chambers.com)
- DLA Piper—臺灣各國資料保護法(dlapiperdataprotection.com)
- Taiwan News—個資會籌備處2023年12月成立(taiwannews.com.tw)
- 個人資料保護法施行細則—law.moj.gov.tw(law.moj.gov.tw).gov
- 個資會籌備處—職掌與任務(pdpc.gov.tw).gov