建立個人資料保護人員證照制度，是《個人資料保護法》真正落地的關鍵

　　近年來，個人資料外洩事件頻繁發生，從企業會員名單流出、行銷資料遭濫用，到公務機關系統被入侵，影響層面早已不限於個別企業，而是直接動搖人民對《個人資料保護法》制度的信任。然而，社會及立法機關在討論責任歸屬與裁罰金額的同時，卻較少回頭檢視一個更根本的問題：在制度設計上，我們是否真正建立了足以承擔個人資料保護責任的「專業人員體系」？

　　筆者從法務顧問的實務觀點觀察，多數機關單位與企業並非不願遵守《個人資料保護法》，而是對「誰該負責、如何才算專業」缺乏明確依據。現行實務中，所謂的個人資料窗口或負責人，往往由行政、資訊或法務人員兼任，專業背景與能力差異極大，也缺乏統一的訓練、考核與回訓制度。法律責任雖然存在，專業門檻卻付之闕如。

　　這樣的個人資料保護制度落差，正是風險的來源。《個人資料保護法》要求機關與企業負起個人資料保護責任，但若未同步建立明確的專業標準，第一線執行者往往在缺乏足夠訓練的情況下承擔高度風險。一旦發生外洩事件，不僅責任歸屬難以釐清，也容易演變為組織內部的相互推諉，增加更多的行政調查與司法訴訟成本。

　　從治理角度來看，最危險的狀態並非「沒有法律」，而是「沒有專業標準」。沒有標準，就無法判斷是否已盡合理注意義務；沒有能力驗證，就難以建立清楚的責任邊界。這不僅削弱法律的實際效果，也讓人民的權利保障流於形式。

　　因此，建立「個人資料保護專業人員證照制度」，不應被視為額外的管制或負擔，而是一項必要的風險治理工具。證照制度的核心目的，不在於排他或限制，而在於界定最低專業門檻，讓機關單位與企業能夠清楚辨識合格人員，也讓責任角色不再模糊。

　　一套務實可行的制度設計，完全可以採取漸進方式推動。例如，透過分級證照制度，區分基礎法規與進階風險管理能力；搭配定期教育訓練與更新機制，避免一次考照、終身適用；並由政府制定原則，結合專業團體共同辦理訓練與認證。如此一來，既可減輕行政負擔，也能逐步形成個人資料人才培育與專業市場。

　　目前各個專業領域幾乎都有相應的專業證照制度。例如，不動產專業領域有建築師、土木技師、地政士、不動產經紀人、不動產營業員、公寓大廈管理服務人員、防火管理人員等專業證照及培訓制度，從業人員需要透過一定的培訓與考試取得證照，並在從業期間接受定期教育訓練，不但可以了解相關法令與實務的更新，更有助於累積專業知識。

　　而《個人資料保護法》施行多年，法規架構經過多年的修正及推廣，使個人資料保護觀念逐步讓社會大眾了解，下一步的修法的關鍵要點應該在於「誰來執行」。若缺乏「個人資料保護專業人員證照制度」，再完整的法律也難以真正落地；反之，當專業標準與責任機制建立，法律才能發揮應有的治理效果。

個人資料保護研究發展委員會 主委 楊白全