從《個人資料保護法》檢視－企業保有的客戶資料是否屬於企業資產？

　　在企業經營的實務「客戶資料」常被視為核心的營運資源之一。無論是行銷名單、會員資料、購買紀錄、偏好分析、客服紀錄，都能在產品開發、精準行銷及提升服務品質中發揮關鍵作用。然而，在《個人資料保護法》 的規範下，企業是否能將這些「客戶資料」當作自己無限制支配的企業資產？兩者之間存在著本質上的差異。本文將從《個人資料保護法》立法精神出發，探討客戶資料是否可視為企業資產，並分析企業在實務上應如何定位、管理與運用。 

一、個人資料的法律性質：並非企業所有，而是企業「基於目的」之利用權限

　　首先，《個人資料保護法》著重目的限制原則與當事人同意原則。客戶提供其個人資料，是基於與企業間的特定關係，如購買、會員加入、契約締結等，而企業取得資料的法律基礎通常是契約必要、當事人同意、或法令要求。

　　換言之，企業並非「擁有」該「客戶資料」，而是取得在特定目的下取得的「利用的權限」。這個權限的範圍由三者共同構成：

1.法定告知事項：《個人資料保護法》第8條。

2.蒐集目的告知：《個人資料保護法》第8條。

3.法定利用規範：《個人資料保護法》第19條。

　　因此，客戶資料不具有企業一般資產中的「可完全支配性」，其使用必須受法令、同意條款、蒐集目的等限制。也就是說，企業擁有的是「利用權」，而不是「所有權」。

二、企業是否可以將客戶資料視為資產？可以，但屬於「受限制的資產」

　　從財務實務與管理學角度，客戶資料確實具有資產特性，例如：能創造經濟利益（如提升重複購買、會員經營價值）、能提供營運效率與競爭優勢、能納入會員系統等無形資產管理。因此，許多企業會將資料視為 商業資產的一部分。但若從《個人資料保護法》角度來看，其屬於「高度受規範的特殊資產」，不像其他企業資產（如設備、庫存、不動產）可任意出售、移轉或利用。主要分析原因如下：

1.客戶資料不可任意移轉、販售：

如未取得當事人同意或法律依據，將資料出售、交換、轉讓，均可能構成《個人資料保護法》第20條超出目的外利用或第6條之違法蒐集利用。

2.客戶資料不可無期限保存：

《個人資料保護法》第11條規定，個人資料應依利用目的存在期間保存，目的消失後應刪除或停止利用。而企業一般資產並無必須消滅的要求。

3.客戶享有隨時行使權利：

依《個人資料保護法》第3條規定，當事人可請求查詢、更正、停止利用、刪除。即便企業視客戶資料為資產，仍必須在客戶要求刪除時喪失該資產。

三、企業如何合法且有效地將客戶資料視為資產？

　　要讓客戶資料真正成為對企業有利的資產，必須從「合法治理」出發，而非僅從行銷與商業角度思考。建議分三個層面：

1.法律治理層面：確保客戶資料取得與利用正確

企業必須完整建立客戶個人資蒐集告知機制、同意取得流程、目的外利用判斷機制、個人資料委外契約等機制，確保企業「合法擁有利用權限」。

2.組織管理層面：將客戶資料納入風險管理

企業將客戶資料視為資產，就必須將客戶個人資料列入資產盤點、建立資料分類、分級與權限控管、建立資料生命週期及建立個人資料外洩通報流程等控制程序，若企業未管理，資料就不是資產，而是風險。

3.商業運用層面：在合法框架內創造價值

企業可以建構會員APP等忠誠制度、進行匿名化或去識別化後的大數據分析、做客群細分或精準行銷，只要合乎目的特定原則與當事人同意，就能合法將客戶資料轉化為商業價值。

　　綜上所述，企業確實可在商業實務上，將客戶資料視為企業資產的一部分。因此，筆者建議若企業要讓客戶資料真正成為「正資產」而非「風險來源」，必須投資於合法治理、資料安全、內控流程與客戶權利管理。唯有在合法、透明、負責的制度下，客戶資料才能真正成為推動企業成長的重要無形資產，而非隨時可能引爆的違法風險。

個人資料保護研究發展委員會 主委 楊白全