個人資料保護法 第 21 條
非公務機關為國際傳輸個人資料,而有下列情形之一者,主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
白話與解析 AI 輔助整理,以原文為準
重點摘要個資法第 21 條規定非公務機關國際傳輸個資,主管機關得依四款事由限制之。
Q · 把台灣個資傳到國外是否合法?政府可以叫停嗎?
依個人資料保護法第 21 條,非公務機關(企業、個人工作室)將個資傳輸至境外,原則自由,但 2025 年起個人資料保護委員會(個資會)可在四種情形下限制:涉及國家重大利益、國際條約特別規定、接受國個資保護不完善、或以迂迴方法規避本法。前兩款是政策保留,後兩款是實質審查。違反限制處分依現行罰則受罰。
白話解讀
你在台灣醫院看病的資料可能流向海外雲端,你用的 App 後端可能在東南亞或北美機房。這條法律給了政府一個「隨時可以叫停」的按鈕,大多數人不知道這條路存在。第21條規定非公務機關做國際傳輸個人資料時,主管機關(2025 年起改為個人資料保護委員會)在四種情形下可以限制:涉及國家重大利益、國際條約有特別規定、接受國個資保護法規不完善可能損害當事人權益、以迂迴方式規避本法。前兩款是政策性保留,後兩款是實質審查。2025 年修法的關鍵不是加減了什麼限制事由,而是把這個權力從各部會(中央目的事業主管機關)集中到個資會一家手上,從此台灣對跨境資料流有統一的裁量標準。對企業而言,這條的存在本身就是一把懸在頭上的劍;對你而言,這是保障你個資不會因「雲端方便」就飄到保護真空的最後一道網。
法律定性
個人資料保護法第 21 條為非公務機關國際傳輸個人資料之政府裁量限制條款,建立四種主管機關介入跨境資料流的法源依據,2025 年 10 月修法後將該裁量權自各中央目的事業主管機關集中統一由個人資料保護委員會行使。
試算與流程 AI 輔助整理,結果僅供參考
🗺 判斷流程
大家也在問 AI 輔助整理
Q1個資法第 21 條是什麼?▾
規範非公務機關跨境傳輸個資,主管機關(個資會)可依四種情形限制之。
Q2把台灣會員資料存到 AWS 海外機房合法嗎?▾
原則合法,但屬國際傳輸,受第 21 條動態監督,需評估接受國保護水準。
Q3個資會什麼時候會限制跨境傳輸?▾
涉及國家重大利益、條約特別規定、接受國保護不足、迂迴規避本法四種情形。
Q4違反第 21 條限制處分要罰多少?▾
依個資法現行罰則章節(罰鍰範圍以現行法為準),並可命停止傳輸。
Q5我是中小企業,個資會真的會盯上我嗎?▾
實質稽查頻率不高,但檢舉案一來就以第 21 條為查核起點。
Q62025 年修法改了什麼?▾
把裁量權從各部會集中到個資會,統一跨境審查標準。
Q7收到個資會限制處分能救濟嗎?▾
屬行政處分,送達次日起 30 日內可提訴願(時效依現行法)。
Q8個資法第 21 條 vs 歐盟 GDPR 跨境條款差在哪?▾
GDPR 採白名單預先認定制,台灣採彈性裁量制,前者剛性後者彈性。
容易搞混的概念 AI 輔助整理
| 比較面向 | description | evidence_burden | applicable_industry |
|---|---|---|---|
| 限制事由(第 1 款) | 涉及國家重大利益 | 主管機關主動認定,企業舉證困難 | 半導體、AI 訓練資料、通訊基礎設施、金融、醫療 |
| 限制事由(第 2 款) | 國際條約或協定有特別規定 | 條約文義為準,較少裁量空間 | 涉及雙邊投資協定、WTO/CPTPP 等多邊架構之產業 |
| 限制事由(第 3 款) | 接受國個資保護法規不完善 | 個資會評估接受國法規體系,企業可主張技術保護抗辯 | 東南亞機房、非 GDPR 充分性國家、無獨立主管機關之地區 |
| 限制事由(第 4 款) | 以迂迴方法規避本法 | 個資會證明迂迴架構意圖,企業可主張正當商業安排 | 跨國集團內部傳輸、第三國中轉、子公司接收後再傳 |
其他國家怎麼規定 6 國
AI 輔助整理之對應參考,非官方對照,以各國原文為準
登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)
把多條並列逐欄比較