被遺忘權

被遺忘權（Right to be forgotten），又稱刪除權（Right to erasure），源於歐洲司法實踐，並在歐盟《一般資料保護規則》（GDPR）第17條中被正式法制化。它賦予資料當事人一項權利，在特定條件下，可要求資料控制者（企業）無故延遲地刪除其個人資料。這些條件包括：資料對於原始蒐集目的已不再必要、當事人撤回其同意、當事人反對處理且無凌駕性正當理由，或資料被非法處理。在台灣，《個人資料保護法》第11條第3項也規定，在蒐集目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。在風險管理體系中，被遺忘權是隱私與合規風險的核心議題，企業若無法有效執行，將面臨高額罰款與商譽損失，其技術挑戰在於如何徹底從生產系統、備份乃至AI模型中移除特定資料。

在企業風險管理中落實被遺忘權，需建立一套標準化作業程序（SOP），以確保合規並降低資料外洩風險。第一步是「建立請求接收與驗證機制」，設立專門管道（如線上表單或電子郵件）供當事人提交刪除請求，並執行嚴格的身份驗證，防止惡意或詐欺性請求。第二步是「資料盤點與定位」，利用資料映射（Data Mapping）工具，全面盤點並準確找出請求者個人資料在所有系統中的儲存位置，包括資料庫、雲端儲存、備份檔案及AI訓練資料集。第三步是「執行安全刪除與留存紀錄」，根據資料敏感度採用加密銷毀或覆寫等技術手段，確保資料被永久移除且無法復原，並詳實記錄刪除的時間、方法與執行人員，以供未來審計查核。導入此流程的企業，不僅能將GDPR合規率提升至95%以上，更能因流程標準化而將處理單一請求的平均時間降低40%。

台灣企業導入被遺忘權主要面臨三大挑戰。首先是「法規適用性混淆」，許多企業誤以為僅需遵守台灣《個資法》，而忽略了GDPR對處理歐盟居民資料的域外效力，導致合規缺口。其次是「技術實施的複雜性」，企業的資料常散落於新舊系統、非結構化文件與備份磁帶中，缺乏統一視圖，尤其要從已訓練完成的AI模型中移除特定資料（即機器忘卻 Machine Unlearning），技術門檻極高。最後是「資源與專業不足」，中小企業普遍缺乏專職的資料保護長（DPO）與充足預算來建構自動化刪除工具與流程。對策上，企業應優先進行「資料保護衝擊評估」（DPIA），釐清GDPR適用範圍（預計30天）。接著，應採購或開發資料盤點工具，建立企業級的資料地圖，並制定標準化刪除流程（預計60天）。對於技術難題，可尋求如積穗科研等外部專家顧問，導入符合ISO/IEC 27701標準的隱私資訊管理系統，分階段達成合規目標。

積穗科研股份有限公司專注台灣企業被遺忘權相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact