知情權

Right to Know（知情權）源於個人資料保護的核心原則，指資料主體有權獲取特定個人資料的完整副本、資料蒐集目的、資料來源、資料處理方式及第三方共享清單。GDPR第15條「資料主體權利」及CCPA第1798.110條均明確規範了企業必須回應此類請求的義務。與「知悉權」（Right to be Informed）不同，知情權更強調資料主體主動要求特定資料的權利，而非僅是被動接收隱私政策通知。在ISO 27701個人資料保護管理體系中，這屬於資料主體權利管理的核心控制項，企業必須建立可驗證的資料清冊與回應流程，纔能有效降低因資料處理不透明而產生的監管風險。臺灣個資法第10條及第11條亦賦予個人查詢及更正個人資料的權利，與國際趨勢一致。

企業導入Right to Know的實務應用可分為三個階段：第一階段為資料清冊建立，企業需盤點所有個人資料的流向、儲存位置及處理目的，確保資料目錄的完整性；第二階段為回應機制設計，企業應建立標準化作業程序（SOP），包括資料驗證流程、資料提取、格式轉換（如CSV或JSON）及回應時限管理（GDPR為30天，CCPA為45天）；第三階段為持續監控與稽覈，定期測試資料請求的處理效率與準確性。以本研究中109款Android App的案例為例，企業若無法提供具體資料項目而非僅提供類別描述，將面臨CCPA執法機關的行政罰款。量化效益方面，建立完善的資料請求回應機制，可將合規成本降低30%，並將資料外洩事件後的法律風險暴露減少50%以上。

臺灣企業導入Right to Know主要面臨三項挑戰：第一，資料分散於多個系統，導致資料清冊難以整合，建議採用Data-Centric Security（以資料為中心的安全）架構，建立統一的資料目錄；第二，法規解讀差異，臺灣個資法第10條與GDPR第15條的細節要求不同，企業應以高標準（GDPR）為基準設計，並針對臺灣市場進行在地化調整；第三，技術能力不足，許多中小企業缺乏自動化資料提取工具。建議企業分階段實施：首年建立資料清冊與分類機制，第二年導入自動化資料回應工具，第三年實現持續性合規監控。預計導入後，資料請求處理時間可縮短60%，客戶信任度提升40%。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Right to Know相關議題，擁有豐富實戰經驗，協助企業在90天內建立符合GDPR、CCPA及臺灣個資法的個人資料保護管理機制，已服務超過100家企業。申請免費機制診斷：https://winners.com.tw/contact