什麼是 PIMS?為什麼企業需要 ISO 27701?
適用對象
- ✓蒐集、處理或傳輸客戶/員工個人資料的各類企業
- ✓有歐盟客戶或員工、需符合 GDPR 的企業
- ✓金融業、醫療業、電商等個資密集的高風險行業
- ✓曾遭受資料外洩或正受到個資法規稽查的企業
做好與沒做好的差距
✅ 做好了
個資保護做到 ISO 27701 + GDPR 雙認證的 B2C 品牌,進入歐盟市場時直接通過資料保護審查,會員資料跨境傳輸合法,競爭對手還在等 DPA 核准。
❌ 沒做好
GDPR 違規最高罰款達全球年營收 4%,Meta 曾被罰款 12 億歐元。一次個資外洩事件,不只是罰款,而是會員信任崩潰,品牌需要數年重建。
✅ 做好了
建立完整個資管理制度的零售/電商品牌,在會員行銷時可以合法最大化資料利用,精準分析客戶行為,轉換率與 LTV 同步提升。
❌ 沒做好
沒有同意書設計和 DPIA 評估的企業,推出個人化行銷活動時面臨監管機關調查,必須暫停活動並接受高額罰款。
✅ 做好了
通過個資認證的醫療/金融/健身企業,在 B2B 合作提案時展示個資合規能力,贏得企業客戶信任,拿到通路合作或資料合作訂單。
❌ 沒做好
個資外洩的企業面臨媒體曝光、消費者集體訴訟、股價下跌的三重衝擊,危機公關費用難以估算。
常見問題:框架選擇與實作策略
GDPR(歐盟)
適用所有觸及歐盟公民資料的企業,罰款最高全球年營收 4% 或 2,000 萬歐元,有境外傳輸限制和資料主體八大權利要求。
台灣個資法
適用在台灣蒐集處理個資的企業,2023 年修正後最高罰款 1,500 萬台幣,刑事責任最高 5 年有期徒刑。兩法並行不悖,同時適用時取更嚴格者。
ISO 27001 的保護範圍
保護所有資訊資產的機密性、完整性、可用性。是資安管理的基礎框架,不涉及個資主體的查閱、刪除、可攜等權利保護。
ISO 27701 額外要求
在 ISO 27001 基礎上,額外要求建立個資主體八大權利、告知義務、DPIA 評估、資料最小化、去識別化機制,才符合 GDPR 和台灣個資法要求。
服務流程(四步驟)
個資盤點與資料地圖
系統性盤點企業所有個資蒐集點、處理活動和傳輸路徑,建立完整的個資流程地圖。
法規差距分析
對照 GDPR、ISO 27701 及台灣個資法要求,識別現有制度缺口,提供優先順序修補建議。
制度建立與文件化
設計符合法規的同意書機制、隱私聲明、資料主體權利行使 SOP,完成法規要求的書面文件。
DPIA 執行與持續監控
針對高風險處理活動執行個資衝擊評估(DPIA),建立違反通報程序與年度審查機制。
常見問題
積穗科研與一般顧問公司有什麼不同?▼
積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)與一般顧問最大的差異是「實戰派、跨專業」:同時具備流程優化、法律遵循與資安技術三種專業,案件由副總級以上顧問親自執行而非轉包,從制度設計、法遵對應到技術落地由同一團隊完成,全程陪伴至取證。積穗提供與四大會計師事務所同級的品質、更貼近企業實戰需求的跨部門整合綜效,以及較四大更具競爭力的價格,適合真正想提升企業體質、開創新藍湖的企業。
我們是台灣企業,為什麼要遵守 GDPR?▼
只要您的客戶、員工或用戶中有歐盟境內的自然人,您就受 GDPR 約束,無論公司在哪裡設立。違反 GDPR 最高可罰款 2,000 萬歐元或全球年營業額的 4%(取較高者)。
什麼是 DPIA?什麼時候需要做?▼
DPIA(資料保護衝擊評估)是在推出可能對個資主體造成高風險的新處理活動前,必須進行的評估程序。常見觸發情境包括:大規模個人資料處理、使用新技術、自動化決策等。
個資外洩發生時,企業應該怎麼辦?▼
GDPR 要求企業在知悉個資外洩後 72 小時內向主管機關通報(若達到通報門檻)。積穗科研幫助您建立事前防護、事中應對和事後通報的完整流程。
同意書要怎麼設計才符合法規?▼
合規的同意書需具備:明確告知蒐集目的、具體指明資料類型、說明保留期限、提供撤回同意的方式。積穗科研提供符合 GDPR 及台灣個資法的同意書範本與審查服務。
ISO 27701 認證需要多久?和 ISO 27001 有什麼不同?▼
ISO 27701 是建立在 ISO 27001 基礎上的隱私資訊管理延伸標準。已持有 ISO 27001 的企業可在差距補強後取得 ISO 27701 認證,所需時程視現況而定;從零開始者時程較長,積穗科研於診斷後提供估算。兩者最大差異在於 ISO 27001 著重資訊安全控制,ISO 27701 額外要求建立個資主體八大權利(存取、更正、刪除、可攜等)、DPIA 評估機制、資料最小化原則,並完整涵蓋 GDPR 與台灣個資法的合規要求。
GDPR 和台灣個資法有什麼不同?台灣企業需要同時遵守嗎?▼
台灣企業只要處理歐盟居民個資(包含歐洲客戶訂單、歐盟員工資料),就必須遵守 GDPR,違規最高罰款為全球年營收 4%,Meta 曾被罰 12 億歐元。台灣個資法適用所有在台灣收集個資的業者,刑事責任風險不可忽視。兩法在告知義務、資料主體權利、跨境傳輸限制上高度重疊,積穗科研以三軌同步策略(GDPR 加台灣個資法加 ISO 27701)幫企業一次建制、雙軌合規,避免重複投入。
個資主體的八大權利是什麼?企業需要在多久內回應?▼
GDPR 規定個資主體享有知情權、存取權、更正權、刪除權(被遺忘權)、限制處理權、資料可攜權、反對權、不受自動化決策約束權等八大權利,企業必須在 30 天內回應請求,特殊情況可延長至 90 天但須告知理由。台灣個資法同樣保障查詢、更正、補充、刪除、停止蒐集等權利。積穗科研協助企業建立完整的個資主體權利回應流程與記錄機制,確保每筆請求可稽核、可舉證。
2023 年 TikTok 為何被歐盟罰 3.45 億歐元?涉及兒童個資的特別風險是什麼?▼
2023 年 9 月愛爾蘭資料保護委員會(DPC)對 TikTok 開罰 3.45 億歐元,理由是兒童帳號預設公開、缺乏家長同意機制、未充分告知 13-17 歲使用者隱私風險。GDPR 與台灣個資法均對未成年人個資設特別保護。積穗科研協助企業建立年齡驗證、家長同意管理、未成年人個資特殊處理 SOP,避免類似罰款。
立即諮詢此服務
ISO 27701 × GDPR 個資保護認證輔導 — 台灣個資法合規導入
申請免費機制診斷