PII 控制者 (PII controller)

依據 ISO/IEC 29100:2011 條款 2.10 定義，PII 控制者是「決定處理 PII 目的和方法的隱私利害關係人」。 在歐盟 GDPR 第 4(7) 條中稱為「控制者」(controller)，台灣《個資法》雖無此術語，但其精神對應於「公務或非公務機關」的角色，即對個人資料的蒐集、處理、利用具有最終決定權。

台灣企業面臨國內外雙重壓力。國內《個資法》修法後，針對非公務機關的罰鍰已大幅提高，情節重大者最高可處新台幣 1500 萬元罰鍰，並將成立獨立監督機關「個資保護委員會」。 對外，若與歐盟有業務往來，則須遵循 GDPR，罰款可達全球年營業額的 4%。此外，全球供應鏈客戶（尤其是半導體、汽車產業）為降低風險，會要求供應商證明其個人資訊管理系統（PIMS）符合國際標準。

直接相關的標準為 ISO/IEC 27701（隱私資訊管理系統），此標準以附加條款形式延伸 ISO/IEC 27001，其中第 7 條專門為 PII 控制者提供指引，涵蓋處理條件與對 PII 主體的義務。 國際法規方面，歐盟 GDPR 第 24 條明確定義「控制者的責任」；日本的 APPI（個人情報保護法）及美國加州的 CCPA/CPRA 亦有類似規範。

積穗科研是全台最早整合企業風險管理（ERM）、工業工程、科技法律與資料科學的顧問公司。我們不僅協助導入 ISO 27701 認證，更憑藉創辦人的預防法學背景及服務台積電、聯發科等半導體大廠的經驗，將法遵要求轉化為流程優化。我們的跨域團隊能確保 PIMS 與企業治理、內控制度無縫整合，避免疊床架屋，真正實現風險預防與營運韌性。