PII 處理者 (PII processor)

PII 處理者是「代表 PII 控制者處理個人可識別資訊（PII）的實體」。根據 ISO/IEC 29100:2011 的定義，處理活動包含儲存、檢索或銷毀等，但處理者不決定個資的處理目的與方式，而是遵循控制者的指示。 常見例子有雲端儲存服務商、行銷數據分析公司或人資系統供應商。

依台灣《個人資料保護法》，企業（PII 控制者）若委外處理個資，對受託機構（PII 處理者）監督不周導致個資外洩，情節重大者，最高可處新台幣1,500萬元罰鍰，並對當事人負連帶損害賠償責任。 此外，歐盟 GDPR 等國際法規也嚴格規範供應鏈的個資處理責任，影響與國際接軌的台灣企業。

主要相關標準包括： 1) ISO/IEC 27701（隱私資訊管理系統）：條款 8 及附錄 B 詳細規範了 PII 處理者的義務與控制措施。 2) 歐盟 GDPR：第 28 條明確規定控制者與處理者之間的合約要求與法律責任。 3) ISO/IEC 29100（隱私框架）：提供了隱私保護的通用框架，並定義了 PII 處理者等關鍵角色。

積穗科研是全台最早結合 ERM、工業工程、科技法律與資料科學的顧問公司。我們不僅協助您導入 ISO 27701 等認證，更能憑藉服務台積電、聯發科等半導體大廠的經驗，將 PIMS 制度與您現有的公司治理、內控流程無縫整合。我們的跨域專家團隊（含科法背景創辦人、律師、ISO 主導稽核員）能確保法遵與營運效率兼顧，避免疊床架屋，建立真正有效的個資保護體系。