個資專欄

隨著旅遊產業的服務數位化，從行程報名、線上訂房、電子票券到會員經營，旅行社每天都在大量蒐集、處理與利用旅客的個人資料。對旅行社而言，旅客的個人資料不只是成交所需的資訊，更是營運核心資產；但若是管理不當，這些旅客個人資料也可能成為最直接的法律風險來源。

近日愛爾麗、光澤等醫美診所爆發涉嫌偷拍風暴，衛生福利部清查發現已有多家醫美集團涉嫌於診療空間違法裝設攝錄影設備，甚至涉及病患隱私影像蒐集、處理與利用，引發社會一片譁然。媒體報導衛生福利部明確表示，若查證屬實，「該停業就停業」，並指出相關行為除可能違反《醫療法》外，也涉及違反《個人資料保護法》的問題。

四、台灣 PDPA 的處理者缺口：為何這不是技術問題而是法律漏洞

近年來，個人資料外洩事件在全球各產業頻繁發生，從電商平台、金融機構到旅行社，都面臨個人資料保護的重大挑戰。然而，在觀光旅遊產業中，第一線服務的導遊與領隊在工作過程中，也經常接觸到旅客的個人資料，但相關法律風險卻往往被低估。

企業對於個人資料保護，通常會做的是防範駭客入侵、勒索病毒、系統被駭客攻擊等，於是投入大量成本建置防火牆、購買防毒軟體、做雲端備援等，相關預算多半投向資訊安全設備上。然而，實務上企業常見的個人資料外洩風險來源，往往不是外部攻擊，而是來自企業內部最常接觸到個人資料處理與保管的員工。

2025 年，某家台灣半導體供應商的雲端資料處理者遭到勒索軟體攻擊，數萬筆客戶訂單與員工身份資料外洩。事後調查發現：這家處理者同時替十幾家台灣企業處理資料，但沒有一家控制者曾在合約中約定「處理者事故發生後的通報時效」——導致多數母公司是在新聞報導後才得知，而非依賴處理者的正式通知。

在數位化與資料經濟時代，企業對於「個人資料保護」的重視必須逐步提升。然而，多數企業在強化客戶資料保護的同時，卻忽略了一個同樣重要的領域「員工個人資料保護」。

近年來，企業執行永續發展ESG（Environmental,Social,Governance）政策，已成為全球企業治理的重要指標。從氣候變遷、碳排管理，到勞工權益與公司治理，政府已逐步要求企業揭露相關資訊並建立管理制度。然而，在ESG議題的討論中，有一項風險正快速上升，卻經常被忽略，那就是「個人資料保護」。

近期多起企業發生重大個人資料洩漏事件，再次讓台灣社會正視一個長期被低估的風險「個人資料保護」，首先是電商平台酷澎發生未授權存取事件，導致約20萬筆用戶資料遭非法讀取；又傳出有五福旅行社客戶資料遭駭客竊取；緊接著，歷史悠久且具高度品牌象徵的圓山飯店，也傳出系統遭駭，顧客資料可能受到影響。

在企業經營的實務「客戶資料」常被視為核心的營運資源之一。無論是行銷名單、會員資料、購買紀錄、偏好分析、客服紀錄，都能在產品開發、精準行銷及提升服務品質中發揮關鍵作用。然而，在《個人資料保護法》 的規範下，企業是否能將這些「客戶資料」當作自己無限制支配的企業資產？兩者之間存在著本質上的差異。本文將從《個人資料保護法》立法精神出發，探討客戶資料是否可視為企業資產，並分析企業在實務上應如何定位、管理與運用。

近年來，個人資料外洩事件頻繁發生，從企業會員名單流出、行銷資料遭濫用，到公務機關系統被入侵，影響層面早已不限於個別企業，而是直接動搖人民對《個人資料保護法》制度的信任。然而，社會及立法機關在討論責任歸屬與裁罰金額的同時，卻較少回頭檢視一個更根本的問題：在制度設計上，我們是否真正建立了足以承擔個人資料保護責任的「專業人員體系」？