刪除權（被遺忘權）

刪除權，又稱被遺忘權，是歐盟《一般資料保護規則》（GDPR）第17條賦予資料當事人的核心權利。它允許個人在特定情況下，要求資料控制者（企業）刪除其個人資料，且不得無故拖延。這些情況包括：資料對於原始蒐集目的已不再必要、當事人撤回其同意、資料被非法處理等。此權利並非絕對，設有例外情況，例如為履行法定義務、公共利益或行使法律請求權所必需。在風險管理體系中，此權利是隱私資訊管理系統（PIMS, 如ISO/IEC 27701）的關鍵控制項，要求企業建立並維護處理當事人請求的程序。相較於台灣《個人資料保護法》第11條第3項僅規定在目的消失或期限屆滿時可請求刪除，GDPR的刪除權適用範圍更廣，要求企業具備更主動、更全面的資料生命週期管理能力。

企業應將刪除權的應對機制整合至日常風險管理流程中。具體導入步驟如下：第一步，建立「當事人權利請求管道與驗證機制」，提供清晰的請求入口（如專用電子郵件或網頁表單），並制定標準作業程序（SOP）以驗證請求者身分，防止資料外洩給未經授權的第三方。第二步，執行「資料盤點與標記」，利用資料地圖（Data Mapping）工具，全面盤點、分類並標記個人資料的儲存位置，包括生產系統、備份、日誌檔與雲端服務，確保在收到請求時能完整定位。第三步，實施「安全刪除與留存稽核紀錄」，根據資料敏感度採用適當的技術（如加密擦除、物理銷毀）執行刪除，並詳實記錄請求處理過程、決策依據與完成時間，以應對監管機構的審計。例如，一家跨國電商導入自動化平台處理刪除請求，將平均處理時間從15天縮短至2天，不僅提升了99%的GDPR合規率，也顯著降低了因延遲處理而導致的客訴與潛在罰款風險。

台灣企業導入刪除權面臨三大挑戰。首先是「技術挑戰與資料孤島」，許多企業的舊有資訊系統（Legacy Systems）缺乏統一規劃，個人資料散落於不同部門的獨立資料庫中，難以實現全面、即時的搜尋與刪除。其次是「法規認知落差」，對GDPR第17條的例外條款（如保留資料以履行法律義務）理解不清，導致過度刪除或非法拒絕，增加法律風險。最後是「資源與專業人才不足」，特別是中小企業，缺乏專職的資料保護長（DPO）與充足預算來建構符合標準的技術與管理流程。對策建議：針對技術挑戰，應優先導入資料治理工具，進行全面的資料盤點與建立中央資料目錄。針對法規落差，應委請外部法律專家定期舉辦教育訓練，並將刪除請求的判斷標準制定為內部SOP。針對資源不足，可採用訂閱制的「合規即服務」（Compliance-as-a-Service）解決方案，並分階段實施，優先處理儲存高風險個資的系統。預計在6個月內完成高風險系統的流程建置。

積穗科研股份有限公司專注台灣企業Right to Erasure相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact