法律人 LawPlayer logo
編章節定位
📚資料來源:全國法規資料庫、立法院法律系統🕑閱讀時間 6 分鐘

個人資料保護法 第 4 條

受公務機關或公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。

用 AI 讀這條

白話與解析 AI 輔助整理,以原文為準

重點摘要個人資料保護法第 4 條規定,受託蒐集處理個資者於本法適用範圍視同委託機關,外包合約不轉移個資保護責任。

Q · 把客戶資料外包給廠商處理,廠商出包了我要負責嗎?

依個人資料保護法第 4 條,受公務或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內視同委託機關。這代表外包合約無法把個資保護責任轉移給受託方。當事人遭遇個資外洩時,可直接向委託機關(你的公司)請求損害賠償,不需要去追查實際洩漏的受託方是誰。委託方必須在合約中明確約定資料範圍、安全措施、稽核權與違約賠償條款,並落實定期稽核。

白話解讀

你的公司把客戶名單交給外包廠商做行銷,結果廠商把名單賣給詐騙集團。客戶來告的時候,告的不是廠商,是你。這條法律說得很清楚:誰委託的,受託方在個資法上就「等於」你。不是「幫你做事的人」,是「法律上的你」。外包合約寫得再漂亮,責任不會跟著合約轉移到對方身上。你以為花錢請人處理就能切割風險?法律不讓你切。雲端服務商、行銷公司、人資外包、IT 維護,每一個碰到你客戶資料的人,在個資法面前都是你的分身。他犯的錯,就是你犯的錯。

法律定性

個人資料保護法第 4 條為「委託處理視同條款」,將受公務或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內視同委託機關。本條切斷企業透過外包轉移個資保護責任的可能性,建立委託方對當事人的直接責任主體地位,是個資外包關係法律歸屬的核心規範。

試算與流程 AI 輔助整理,結果僅供參考

🗺 判斷流程

流程圖載入中…

大家也在問 AI 輔助整理

Q1個資外包出去廠商出包誰負責?

委託方負責。第 4 條視同委託原則讓你切不掉責任。

Q2個資法第 4 條是什麼?

受託蒐集處理利用個資者視同委託機關,責任不能透過合約轉移。

Q3雲端服務商算受託方嗎?

算。你用第三方 CRM、雲端硬碟存客戶資料,服務商就是受託方。

Q4個資外洩時當事人要告誰?

直接告委託機關(你的公司),不需要先查實際洩漏的受託方。

Q5委託合約該寫什麼條款保護個資?

資料範圍、使用目的限制、安全措施、稽核權、違約賠償、合約終止後銷毀。

Q6受託方出包後委託方能跟受託方求償嗎?

可以但順序是先賠當事人再追受託方,合約沒寫清楚追討難度高。

Q7個資法 4 條跟 GDPR Art. 28 差在哪?

GDPR 對處理者有獨立法律責任,台灣 4 條把受託方完全視同委託方。

Q8個資外洩賠償時效多久?

知悉日起 2 年,事實發生最長 5 年(個資法第 30 條)。

容易搞混的概念 AI 輔助整理

比較面向TW_個資法_4條EU_GDPR_Art_28PRC_個資法_21條
受託方法律定位視同委託機關,無獨立責任主體地位Processor 有獨立法律義務與直接責任受託方有獨立合規義務,需簽 DPA
當事人求償對象只能向委託機關求償可同時向 Controller 和 Processor 求償委託方為主,受託方違反義務另有獨立責任
委託合約強制性施行細則第 8 條規定應約定事項強制 DPA 並列舉 8 項必約定事項強制書面合同並明確處理目的、方式、種類等
違反處罰委託方依個資法第 47-50 條處罰,受託方因視同連帶受罰Processor 獨立面臨最高 2% 全球營業額罰款委託方與受託方依角色獨立罰責

其他國家怎麼規定 6 國

🇯🇵 日本個人情報保護法 第 25 条(受託者の監督)
🇰🇷 韓國개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
🇨🇳 中國个人信息保护法 第21条(委托处理个人信息)
🇩🇪 德國DSGVO Art. 28(Auftragsverarbeiter)+ BDSG § 62
🇫🇷 法國RGPD Art. 28(Sous-traitant)+ LIL art. 28
🇺🇸 美國California Consumer Privacy Act (CCPA) § 1798.140(ag) - service provider

AI 輔助整理之對應參考,非官方對照,以各國原文為準

🔒

登入或免費註冊,看完整完整內容(更多問答 · 易混淆概念 · 各國規定)

法條整合閱讀 · ArticleV09
原始資料來源:全國法規資料庫、立法院法學系統。AI 加值內容僅供理解輔助,法律效力以原文為準。
⊞ 對照台 0
滑到條文裡的引用,點懸停卡的「對照台」
把多條並列逐欄比較
引用