合法性基礎

合法性基礎（Legal Basis）是歐盟《一般資料保護規則》（GDPR）第6條的核心概念，指資料控制者（企業）在處理任何個人資料前，必須具備的法律正當性理由。GDPR明確列出六種合法性基礎：(1)當事人同意、(2)履行合約所必需、(3)履行法定義務所必需、(4)保護當事人重大利益所必需、(5)執行公共利益任務所必需、(6)為控制者的正當利益所必需。企業必須為每一項資料處理活動，選擇並記錄最適合的一項基礎。這與台灣《個人資料保護法》主要依賴「告知後同意」（第19、20條）的框架不同，GDPR提供了更多元的合法路徑。在ISO/IEC 27701隱私資訊管理系統中，確立合法性基礎是所有後續控制措施的前提，若基礎不存在或選擇錯誤，後續所有處理活動都將被視為非法，構成重大合規風險。

在企業風險管理中，確立合法性基礎是降低隱私合規風險的關鍵操作，具體應用步驟如下： 1. **資料盤點與目的界定：** 首先，企業需依據ISO/IEC 27701的要求，全面盤點所有個人資料處理活動（Data Processing Activities），並依據GDPR第5(1)(b)條「目的限制」原則，明確定義每項活動的具體、單一且合法的商業目的。 2. **合法性基礎評估與選擇：** 針對每項已界定的處理目的，逐一評估GDPR第6條的六項合法性基礎，選擇最適合的一項。例如，處理員工薪資資料的基礎是「履行僱傭合約」，而非「同意」；發送行銷電子郵件的基礎則是「當事人同意」。若選擇「正當利益」，則必須執行「正當利益衡量測試」（LIA）並留存紀錄。 3. **文件化與透明度實踐：** 將所選擇的合法性基礎及其評估理由，詳實記錄於「資料處理活動紀錄」（ROPA）中，並依據GDPR第13、14條要求，在企業的隱私權政策中向資料當事人清楚告知。透過此流程，企業可將合規率提升至95%以上，並在面對主管機關查核時，有效證明其當責性，大幅降低裁罰風險。

台灣企業導入GDPR的合法性基礎時，主要面臨三大挑戰： 1. **法規認知落差：** 企業長期習慣台灣《個資法》以「告知後同意」為主的思維，對於GDPR六種合法性基礎的細緻區分，特別是「正當利益」的平衡測試（LIA），感到陌生且容易誤用，導致選擇錯誤的法律基礎。 2. **資源與專業不足：** 多數中小企業缺乏專職的資料保護長（DPO）或法務人員，難以投入足夠資源進行全面的資料盤點、目的界定與合法性基礎評估，常導致評估工作流於形式或不完整。 3. **跨部門協作困難：** 資料處理活動散布於行銷、人資、IT等多個部門，但各部門對隱私保護的權責劃分不清，在界定處理目的與選擇合法性基礎時，難以達成共識並完成有效的文件化。 **對策：** * **優先行動：** 成立由高階主管支持的跨部門隱私治理小組，並針對高風險資料處理活動（如行銷、跨境傳輸）優先完成合法性基礎評估，預計3個月內完成。 * **解決方案：** 導入隱私管理工具以簡化資料盤點流程，並委由外部專家（如積穗科研）提供教育訓練與建立標準作業程序（SOP），確保評估品質與一致性。

積穗科研股份有限公司專注台灣企業合法性基礎相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact