個人資料保護法 第 4 條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
白話與解析 AI 輔助整理,以原文為準
重點摘要個人資料保護法第 4 條規定,受託蒐集處理個資者於本法適用範圍視同委託機關,外包合約不轉移個資保護責任。
Q · 把客戶資料外包給廠商處理,廠商出包了我要負責嗎?
依個人資料保護法第 4 條,受公務或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內視同委託機關。這代表外包合約無法把個資保護責任轉移給受託方。當事人遭遇個資外洩時,可直接向委託機關(你的公司)請求損害賠償,不需要去追查實際洩漏的受託方是誰。委託方必須在合約中明確約定資料範圍、安全措施、稽核權與違約賠償條款,並落實定期稽核。
白話解讀
你的公司把客戶名單交給外包廠商做行銷,結果廠商把名單賣給詐騙集團。客戶來告的時候,告的不是廠商,是你。這條法律說得很清楚:誰委託的,受託方在個資法上就「等於」你。不是「幫你做事的人」,是「法律上的你」。外包合約寫得再漂亮,責任不會跟著合約轉移到對方身上。你以為花錢請人處理就能切割風險?法律不讓你切。雲端服務商、行銷公司、人資外包、IT 維護,每一個碰到你客戶資料的人,在個資法面前都是你的分身。他犯的錯,就是你犯的錯。
法律定性
個人資料保護法第 4 條為「委託處理視同條款」,將受公務或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內視同委託機關。本條切斷企業透過外包轉移個資保護責任的可能性,建立委託方對當事人的直接責任主體地位,是個資外包關係法律歸屬的核心規範。
試算與流程 AI 輔助整理,結果僅供參考
🗺 判斷流程
大家也在問 AI 輔助整理
Q1個資外包出去廠商出包誰負責?▾
委託方負責。第 4 條視同委託原則讓你切不掉責任。
Q2個資法第 4 條是什麼?▾
受託蒐集處理利用個資者視同委託機關,責任不能透過合約轉移。
Q3雲端服務商算受託方嗎?▾
算。你用第三方 CRM、雲端硬碟存客戶資料,服務商就是受託方。
Q4個資外洩時當事人要告誰?▾
直接告委託機關(你的公司),不需要先查實際洩漏的受託方。
Q5委託合約該寫什麼條款保護個資?▾
資料範圍、使用目的限制、安全措施、稽核權、違約賠償、合約終止後銷毀。
Q6受託方出包後委託方能跟受託方求償嗎?▾
可以但順序是先賠當事人再追受託方,合約沒寫清楚追討難度高。
Q7個資法 4 條跟 GDPR Art. 28 差在哪?▾
GDPR 對處理者有獨立法律責任,台灣 4 條把受託方完全視同委託方。
Q8個資外洩賠償時效多久?▾
知悉日起 2 年,事實發生最長 5 年(個資法第 30 條)。
容易搞混的概念 AI 輔助整理
| 比較面向 | TW_個資法_4條 | EU_GDPR_Art_28 | PRC_個資法_21條 |
|---|---|---|---|
| 受託方法律定位 | 視同委託機關,無獨立責任主體地位 | Processor 有獨立法律義務與直接責任 | 受託方有獨立合規義務,需簽 DPA |
| 當事人求償對象 | 只能向委託機關求償 | 可同時向 Controller 和 Processor 求償 | 委託方為主,受託方違反義務另有獨立責任 |
| 委託合約強制性 | 施行細則第 8 條規定應約定事項 | 強制 DPA 並列舉 8 項必約定事項 | 強制書面合同並明確處理目的、方式、種類等 |
| 違反處罰 | 委託方依個資法第 47-50 條處罰,受託方因視同連帶受罰 | Processor 獨立面臨最高 2% 全球營業額罰款 | 委託方與受託方依角色獨立罰責 |
其他國家怎麼規定 6 國
AI 輔助整理之對應參考,非官方對照,以各國原文為準
登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)
把多條並列逐欄比較