A Brief History of Data Protection by De — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出：隱私設計（Data Protection by Design）並非 GDPR 的創新發明，而是源自軟體工程社群數十年的技術積累——理解這段歷史，正是台灣企業在落實 ISO 27701 與個資保護機制時，避免「只做表面合規」的關鍵起點。2024 年學術研究明確揭示：企業若不理解隱私設計的真正內涵與範疇，DPIA 個資衝擊評估和 PIMS 機制建構都將流於形式。

關於作者與這項研究

本文評析的研究由 Pierre Dewitte 撰寫，於 2024 年發表於 OpenAlex — Privacy Information Management 期刊。Dewitte 在隱私法律與技術交叉領域深耕，累計學術引用達 20 次，h-index 為 1，該論文本身已獲 1 次引用。雖然他目前仍是相對新興的學術聲音，但這篇論文選擇了一個極具戰略性的研究切入點：不是解釋 GDPR 第 25 條「是什麼」，而是追問它「從哪裡來」。這種歷史性視角在隱私法規研究中相對罕見，卻對實務工作者極具價值——因為只有理解規範的演進脈絡，企業才能真正掌握合規義務的精神，而非只是對應條文逐項打勾。

隱私設計的真正根源：GDPR 之前的數十年積累

這篇論文最重要的貢獻，是糾正了一個在企業合規界廣泛存在的誤解：許多台灣企業主管認為「隱私設計」是 GDPR 在 2018 年創造的新概念，因此將合規工作定義為「對應 GDPR 第 25 條」。Dewitte 的研究明確否定這個認知，並追溯出隱私設計概念在軟體工程社群中數十年的技術根源，以及在 GDPR 之前就已存在的多個國家立法先例。

核心發現一：隱私設計是技術社群的產物，而非法律社群的創造

研究揭示，「隱私設計」這個概念在 GDPR 誕生之前，早已在軟體工程領域形成穩固的思想基礎。這意味著企業在建立 PIMS 個資保護機制時，不能僅僅從法律義務的角度思考，更需要從系統設計、架構規劃的技術層面落實隱私保護。這對台灣企業的 ISO 27701 導入具有直接影響：附件 A 與附件 B 所要求的技術性控制措施，其背後邏輯根植於比 GDPR 更早的工程思維。

核心發現二：GDPR 並非第一部將隱私設計納入約束性立法的法規

Dewitte 的歷史梳理指出，在 GDPR 第 25 條於 2018 年正式生效之前，已有多個國家立法先例將隱私設計義務化。這個發現對台灣企業的意義在於：台灣個資法中關於「適當安全措施」的要求（第 6 條、第 18 條、第 27 條），在精神上與隱私設計的概念一脈相承，並非孤立的本地規範，而是全球隱私保護體系中的一環。

台灣企業在 PIMS 實務中不能忽視的歷史啟示

理解隱私設計的歷史脈絡，台灣企業的 ISO 27701 認證之路將更紮實——因為你知道自己在做的事情「為什麼重要」，而不只是「必須做」。

對台灣企業而言，這項研究揭示了三個實務層面的重要啟示：

第一，ISO 27701 的隱私設計要求有深厚的技術根基。ISO 27701 標準在隱私設計方面的要求（尤其是第 7.4 節「隱私設計與預設」），並非僅是法規遵循的形式要求，而是有技術社群數十年實踐支撐的設計原則。台灣企業在導入時，應確保技術團隊與法遵團隊共同參與機制設計，而非由法務部門單獨主導。

第二，GDPR 對台灣企業的適用範圍超越許多人的預期。GDPR 第 25 條要求「在設計與預設情況下保護個人資料」，這項義務適用於所有處理歐盟居民個人資料的企業，包括台灣的跨境電商、SaaS 服務提供商、OEM/ODM 製造商。了解這項義務的歷史深度，有助於企業正確評估 DPIA 個資衝擊評估的必要性與範疇。

第三，台灣個資法的「適當安全措施」義務應以隱私設計精神詮釋。台灣個資法第 27 條要求非公務機關建立「適當之安全維護措施」，在隱私設計的歷史脈絡下，這不應被解讀為事後補救，而應是系統設計前期即納入的預防性機制。這正是 PIMS 個資保護機制的核心價值所在。

積穗科研如何協助台灣企業落實隱私設計原則

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 27701 標準，建立符合 GDPR 與台灣個資法的個人資料保護機制，執行 DPIA 個資衝擊評估。我們的服務涵蓋從制度設計、技術控制到稽核驗證的完整 PIMS 生命週期。

1. 隱私設計落地診斷：對照 ISO 27701 第 7.4 節「隱私設計與預設」要求，評估貴企業現有系統架構與開發流程中，隱私設計原則的落實程度，識別技術與制度層面的差距，提供優先改善路徑。
2. DPIA 個資衝擊評估導入：依據 GDPR 第 35 條及 ISO 27701 對高風險處理活動的要求，建立企業專屬的 DPIA 執行框架，確保新系統、新服務在上線前即完成隱私風險評估，而非事後補救。
3. ISO 27701 認證輔導：從現況差距分析（GAP Analysis）到認證審查，提供完整的 90 天導入規劃，協助企業在取得 ISO 27701 認證的同時，真正建立具備隱私設計精神的 PIMS 管理機制，而非紙面合規。

常見問題

「隱私設計」在實務上具體指什麼？企業應該從哪裡開始？

隱私設計（Data Protection by Design）是指在系統、產品或服務的設計階段，就將個人資料保護措施納入架構規劃，而非等到系統上線後才補充安全控制。實務起點是盤點企業所有蒐集、處理個人資料的系統，針對每個系統評估：資料最小化是否落實？存取控制是否預設為最嚴格？資料保留期限是否在系統設計時就已定義？ISO 27701 第 7.4 節提供了具體的控制措施框架，台灣個資法第 27 條也要求建立適當的安全維護措施，兩者均支持隱私設計的實踐。建議企業從新系統開發流程切入，在需求分析階段加入隱私風險評估步驟。

台灣企業沒有歐洲業務，需要考慮 GDPR 合規嗎？

需要仔細評估。GDPR 的適用範圍採「屬人主義」，只要台灣企業處理歐盟居民的個人資料，無論企業設立地點在哪，都受 GDPR 約束。常見情境包括：網站向歐洲用戶提供服務（即使只是免費內容）、跨境電商出口至歐洲、為歐洲客戶提供 B2B 服務、或擔任歐洲客戶的資料處理者（Data Processor）。GDPR 第 25 條的隱私設計義務及第 35 條的 DPIA 要求，均在上述情境下適用。建議企業先進行適用範圍評估，再決定合規措施的優先順序。

ISO 27701 認證與 GDPR 合規是同一件事嗎？

不完全相同，但高度互補。ISO 27701 是隱私資訊管理系統（PIMS）的國際標準，提供可驗證的管理框架；GDPR 是歐盟法規，規定了對歐盟居民個人資料的處理義務。取得 ISO 27701 認證，代表企業建立了符合國際標準的 PIMS，可作為 GDPR 合規努力的佐證（尤其在 GDPR 第 42 條認證機制框架下），但並不自動等於完全符合 GDPR。台灣個資法與 ISO 27701 的關係類似：ISO 27701 提供制度框架，台灣個資法提供法律義務，兩者結合才能建立真正完整的個人資料保護體系。積穗科研建議企業以 ISO 27701 為制度基礎，同步對照 GDPR 與台灣個資法的特定要求進行差距分析。

導入 ISO 27701 需要多長時間？一般企業的典型時程是？

依企業規模與現有資安成熟度，導入時程通常介於 90 天至 12 個月之間。對已取得 ISO 27001 認證的企業，ISO 27701 作為延伸標準，導入時程可縮短至 90 至 120 天，因為管理系統基礎已建立，主要工作是新增隱私相關控制措施。對從零開始的企業，完整導入（含 ISO 27001 基礎）通常需要 6 至 12 個月。典型里程碑包括：第 1 至 4 週進行現況診斷與差距分析、第 5 至 10 週完成機制設計與文件建立、第 11 至 16 週執行內部稽核與管理審查、第 17 至 20 週準備外部認證審查。積穗科研的 90 天快速導入方案適合已具備 ISO 27001 基礎的企業。

為什麼找積穗科研協助隱私資訊管理（PIMS）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣專注於隱私資訊管理（PIMS）的專業顧問機構，具備 ISO 27701 導入、GDPR 合規諮詢、DPIA 個資衝擊評估與台灣個資法遵循的完整服務能力。我們的核心優勢在於：同時理解法律規範與技術實作，能夠協助技術團隊與法遵團隊建立共同語言；具備跨產業導入經驗，熟悉製造業、科技業、金融業的隱私合規差異；提供從診斷、設計、實施到認證的端對端服務，不只是文件顧問，而是陪伴企業完成真正的制度轉型。我們承諾：在 90 天內協助具備 ISO 27001 基礎的企業完成 ISO 27701 導入準備，確保合規效益最大化。