資料當事人

「資料當事人」（Data Subject）依據歐盟《一般資料保護規則》（GDPR）第4條第1款的定義，是指「已識別或可識別的自然人」。此處的「自然人」排除了公司等法人組織；而「可識別」是指能透過姓名、身分證號碼、位置資料、網路識別碼（如IP位址或Cookie ID）等單一或多項資訊，直接或間接識別出特定個人。此概念與台灣《個人資料保護法》第2條第1款所稱之「當事人」（指個人資料之本人）精神一致，但GDPR賦予的權利範圍更為廣泛。在風險管理體系中，保障資料當事人的權利是隱私資訊管理系統（PIMS, 如ISO/IEC 27701）的核心要求。未能妥善處理當事人的權利請求（如存取、更正、刪除），將直接構成法規遵循風險，可能導致鉅額罰款與商譽損害。它與「資料控制者」（決定處理目的與方式者）及「資料處理者」（代為處理者）的角色有根本區別，是個人資料保護的權利主體。

在企業風險管理中，保障資料當事人權利是降低合規風險的關鍵實務。具體應用步驟如下： 1. **建立當事人權利行使請求機制（DSAR Process）**：依據GDPR第15至22條，企業需設計並公開透明的請求管道（如線上表單、專屬電子郵件），並制定標準作業程序（SOP）。此程序應包含請求者身份驗證、界定回應資料範圍、內部跨部門協調，並確保在法定時限內（通常為一個月）完成回應。此舉可將合規率提升至95%以上。 2. **執行資料保護影響評估（DPIA）**：在啟動涉及大量個資或高風險的處理活動前，依GDPR第35條要求，系統性地評估該活動對資料當事人權利與自由可能造成的風險。評估應包含處理的必要性、風險分析及緩減措施，將潛在風險事件發生率降低約30%。 3. **導入隱私強化技術（PETs）**：遵循ISO/IEC 29100隱私框架建議，採用假名化（Pseudonymisation）或加密技術，降低個人資料與當事人身份的直接連結。例如，某跨國電商導入自動化DSAR平台後，平均回應時間從25天縮短至5天，成功通過歐盟主管機關的年度審計。

台灣企業在實踐資料當事人權利保護時，普遍面臨三大挑戰： 1. **法規認知落差**：許多企業仍以台灣《個資法》思維應對全球市場，忽略GDPR對「資料當事人」更廣泛的權利定義，如被遺忘權（Right to Erasure）與資料可攜權（Data Portability），導致海外業務合規缺口。 2. **跨部門權責不清**：當事人權利請求（DSAR）涉及法務、IT、客服、行銷等多部門，若無明確流程與權責劃分，常導致回應延遲或不完整，增加違規風險。 3. **技術與資源限制**：中小企業普遍缺乏自動化工具來盤點、追蹤與刪除散落於各系統的個人資料，手動處理不僅耗時費力，錯誤率也高。 **對策與行動項目**： * **克服挑戰1&2**：建立由上而下的「隱私治理框架」。應任命資料保護長（DPO）或專責人員，制定跨部門的DSAR協作流程圖，並於3個月內完成關鍵人員的GDPR法規差異訓練。 * **克服挑戰3**：分階段導入技術工具。優先針對儲存敏感個資的核心系統進行資料盤點與映射，建立「個人資料清冊」。可從訂閱制（SaaS）的隱私管理平台著手，降低初期建置成本，預計6個月內完成核心系統的資料映射，以利快速回應當事人請求。

積穗科研股份有限公司專注台灣企業資料當事人相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact