你或許也遇過類似的困擾,小陳最近很煩惱,他創辦的新創公司漸漸步入正軌,但隨著客戶和員工資料累積越來越多,他不禁開始思考:「欸,這些客戶的舊訂單紀錄、離職員工的履歷,我到底可以保留多久啊?要是保留太久,會不會觸法?刪了又怕以後需要,真是兩難耶!」小陳的疑問,其實是許多企業主和個人都會面臨的真實挑戰。
個資保留多久?答案是:「沒有單一標準,但必須有明確理由與期限!」
關於「個資保留多久」這個問題,直接了當地說,並沒有一個適用所有情況的「黃金標準」或「統一期限」。它不像牛奶有明確的保存期限,而是個需要多方考量才能決定的複雜議題。簡潔來說,個人資料的保留期限,必須遵循「目的性原則」和「最小化原則」。也就是說,你的資料只能在「為達成特定、明確且合法目的所必需」的期間內保留,一旦目的消失或期限屆滿,就應該銷毀或進行無法識別化的處理。這不只是一個法律要求,更是一門資料治理的藝術與科學喔!
為什麼「個資保留多久」是個大學問?
「個資保留多久」聽起來很簡單,不就是設定一個時間嗎?但實際操作起來,可真的是一門大學問,考驗著企業的法規遵循能力、資安風險管理以及資料治理的成熟度。想想看,如果資料保留過短,可能影響業務運營,例如需要追溯歷史交易時卻找不到記錄;但若保留過長,則會帶來一籮筐的麻煩:
法律合規風險: 違反《個人資料保護法》(簡稱個資法)等相關法律規範,可能面臨鉅額罰款,甚至承擔刑事責任。
資安風險: 儲存的個資越多、越久,就代表暴露在資安攻擊下的風險越高。一旦發生資料外洩,受影響的人數和資料量會非常龐大,損害難以估計。
營運成本: 儲存大量不再需要的資料需要花費儲存空間、電力,甚至管理的人力成本。這些都是隱形的開銷喔。
信譽損害: 消費者對於企業的信任,越來越建立在隱私保護的基礎上。若企業的資料保留政策不透明或不合理,很容易影響品牌形象。
這就好比你家裡堆滿了用不到的舊物,不只佔空間,還容易滋生蚊蟲,甚至有失火的風險。對個資而言,道理是一樣的。
台灣個資法怎麼說?法規要求與實務挑戰
台灣的《個人資料保護法》(個資法)對於個資的保留期限,並沒有像歐盟GDPR那樣明確指出「最長」的保留時間。它採用的是一種原則性規範,主要體現在以下幾點:
目的明確性與最小化原則: 個資法第5條明文規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」這句話的精髓就在於,你蒐集資料是為了什麼目的?只要這個目的達成了,或者已經不再需要,理論上你就不能無限期地保留這些資料了。
刪除、停止處理或利用的權利: 個資法第3條賦予資料當事人請求刪除、停止處理或利用其個人資料的權利。如果你的保留期限過長,當事人行使這些權利時,你就必須進行處理。
雖然個資法沒有直接說「你只能保留10年」,但它強調的是「與目的相關的必要性」。這就表示,企業在制定個資保留政策時,必須仔細評估「為什麼需要這些資料」、「需要多久」以及「法律有沒有其他要求」。
與其他法律的交互作用:保留期限的「例外」
這裡特別要提醒,雖然個資法強調「目的消失即應銷毀」,但有時候,其他法律或業務需求,會強迫你必須保留特定資料一段時間。這就成了個資保留期限的「例外」或「上限」了。舉幾個常見的例子:
稅務法規: 例如《稅捐稽徵法》規定,會計憑證、帳簿、報表等,應依規定年限保存,通常是5到10年,以便稅捐機關查核。這就意味著,即使你和客戶的交易已經完成,你還是得為了稅務目的保留相關的財務個資。
勞動法規: 勞工的薪資發放紀錄、出勤紀錄、勞動契約等,雇主通常需要保留一定年限,以應對勞資爭議或勞動檢查。例如《勞動基準法》相關規定。
金融監管: 金融機構的客戶交易紀錄、身份驗證資料等,因反洗錢、打擊資恐等法規要求,保留期限往往更長。
醫療法規: 醫療機構的病歷資料,根據《醫療法》規定,必須保存一定年限。
訴訟時效: 為了應對潛在的法律訴訟或爭議,企業可能需要保留相關證據性的個人資料,直到訴訟時效期滿。例如民事訴訟時效通常是15年。
所以說,一個專業的個資保留政策,絕不是只看個資法就夠了,它必須是一個跨部門、跨法規的綜合性考量。這也是為什麼我一直強調,個資合規不只是法務部門的事,而是整個企業的責任喔!
建立合規的個資保留政策:五大核心步驟
要讓個資保留有條不紊、合規合法,企業必須建立一套清晰、可執行、並且持續優化的個資保留政策。這就好比蓋房子要有穩固的地基和完整的設計圖一樣。根據我的實務經驗,以下是五個核心步驟,幫助企業有系統地規劃:
盤點與分類資料:了解你有什麼資料
這是所有工作的第一步,也是最關鍵的一步。你必須清楚公司內部儲存了哪些個人資料?它們的類型是什麼(例如姓名、電話、身份證字號、生物識別資料、健康資料)?這些資料是從哪裡來的?儲存在哪個系統、哪個檔案櫃?誰在使用它們?以及它們最初蒐集的目的是什麼?
建立一份詳細的「資料地圖」(Data Map)或「資料盤點清單」,是有效管理個資的基礎。你會發現,很多時候企業自己都不知道擁有了多少資料,更別提它們的去向和用途了。
釐清法律與業務需求:為什麼需要這些資料?需要多久?
一旦你了解了自己有哪些資料,接下來就要研究「為什麼」需要這些資料,以及法律上或業務上規定「多久」要保留。這一步需要跨部門合作,包括法務、財務、人資、業務、IT等,共同審視:
法規要求: 除了個資法,還有哪些其他法律(如稅法、勞動法、醫療法等)對特定資料有強制保留期限?
契約義務: 與客戶或供應商簽訂的契約,是否有約定資料保留期限?
業務運營需求: 為了提供服務、解決糾紛、產品開發、內部稽核等目的,這些資料至少需要保留多久?
潛在爭議風險: 考慮未來可能發生的訴訟、申訴或調查,需要保留哪些資料作為證據,直到訴訟時效過期?
我個人建議,這裡可以製作一個表格,把不同資料類型、相關法規、保留原因和建議保留期限一一列出來,會非常清晰。
設定合理的保留期限:精準且最小化
根據上一步的分析結果,為每一類個人資料設定明確的保留期限。記住「最小化原則」:不要多留一分鐘,也不要少留一天。這個期限應當是「達成目的所必需」的最短時間,但同時也要兼顧所有法規和業務需求。
例如:
會員資料: 會員關係存續期間,加上一定的緩衝期(例如關係終止後1年,以應對退費或爭議處理),但若有交易紀錄涉及稅務,則需依稅法規定保留。
求職者履歷: 通常在招聘流程結束後一段時間內銷毀(例如6個月到1年),除非獲得求職者同意可保留用於未來機會。
員工薪資紀錄: 根據勞動及稅務法規,可能需保留5-7年。
如果不同目的有不同的保留期限,應以最長的期限為準,但要清楚標明這些資料在不同階段的用途轉變。
建立清晰的銷毀機制:安全且不可逆
設定了保留期限,就必須有配套的銷毀機制。資料到了期限,絕對不能只是簡單地拖到垃圾桶或點擊「刪除」按鈕!這在數位世界裡,通常只是隱藏了資料,並未真正抹除。你必須確保銷毀過程是安全、徹底且不可逆的。
銷毀方式應根據資料形式而定:
實體文件: 使用碎紙機徹底碎毀,或委託專業文件銷毀公司。
數位資料: 使用專業的資料抹除軟體,對硬碟進行多次覆寫;對於不再使用的硬碟、隨身碟,可考慮物理銷毀(例如鑽孔、消磁、熔毀)。
雲端資料: 需確認雲端服務供應商提供符合標準的銷毀服務,並取得相關證明。
同時,你還需要記錄銷毀的過程,包括銷毀時間、銷毀方式、被銷毀的資料類型等,以備查核。
定期審查與更新:動態調整,與時俱進
世界是變動的,法律會修改,業務會發展,因此你的個資保留政策也絕不能一成不變。至少每年或每兩年,就應該定期審查一次政策的有效性和合規性。檢查是否有新的法規出爐?業務流程是否有調整,導致某些資料的目的性改變?是否有新的技術可以更有效地管理或銷毀資料?
建立一個自動化或半自動化的流程,定期識別哪些資料已達保留期限並提醒進行銷毀,也是提升效率和降低人為錯誤的好方法。
不同類型個資的保留考量:案例分析
為了讓你更具體地了解,不同情境下的個資保留可能會有哪些考量,這裡我提供幾個常見的案例類型:
客戶與會員資料
這類資料通常最龐大也最複雜。一個客戶從註冊會員、下單、享受服務、聯繫客服到最終可能取消會員,這整個生命週期會產生大量個資。
保留考量:
會員關係存續期間: 只要客戶還是會員,資料就必須保留。
交易記錄: 涉及到金流、稅務,需要依據《稅捐稽徵法》等財稅法規保留5-7年。
售後服務與客訴: 為處理退換貨、維修或潛在爭議,可能需要在交易完成後或服務結束後保留一段時間(例如1-3年)。
行銷目的: 若客戶已取消訂閱或明確表示不願再收到行銷訊息,應立即停止利用其個資進行行銷,並考慮在合理期限後移除其行銷標籤,甚至銷毀相關個人化資料。
我的建議: 對於已解除會員關係的客戶,除了法律強制保留的交易憑證,其餘如性別、年齡、興趣偏好等非必要資料,應在合適期限(例如會員關係終止後1年或2年)內予以匿名化或銷毀。
員工與求職者資料
涉及勞動關係,需嚴格遵守勞動法令。
保留考量:
求職者資料: 未錄取者的履歷通常在招聘流程結束後6個月至1年內銷毀,除非獲得當事人同意可保留更久以備未來機會。
在職員工資料: 契約、薪資、出勤、考核等,在職期間必須保留。
離職員工資料: 離職後仍需依據《勞動基準法》、《勞工退休金條例》、《勞工保險條例》及《稅捐稽徵法》等法規,保留特定資料(如薪資證明、在職證明、離職證明等)至少5-7年,以應對潛在的勞資爭議、勞保提繳、退休金核算或稅務查核。
我的建議: 對於員工的敏感個資,如健康檢查報告,應更嚴謹地管理和保留,僅限特定目的(如職災處理)使用,並在目的達成後銷毀。
財務會計資料
這類資料是受法規約束最明確的一環。
保留考量:
會計憑證、帳簿、報表: 依據《稅捐稽徵法》規定,通常為5-10年。
發票存根: 依據《稅捐稽徵法》規定,營業人應將發票存根聯或收據段保存5年。
我的建議: 儘管這些資料包含個資,但其主要目的為會計與稅務合規,因此必須嚴格按照相關法規的最高標準來設定保留期限。
監控錄影與網站日誌
這類資料通常以技術手段自動蒐集,容易被忽略其個資屬性。
保留考量:
CCTV監控影像: 主要用於維護場所安全、證據蒐集,通常保留期限較短,例如7天、30天或90天,視具體安全需求和法規要求而定。若發生事件需作為證據,則可能需延長保留。
網站日誌(Log)/IP位址: 用於網站安全、偵測異常行為、流量分析等。通常保留數月至一年。如果涉及駭客攻擊等資安事件,可能需保留更久以利追查。
我的建議: 這類資料量大且更新快,應建立自動化的定時刪除機制,並確保只有在發生安全事件時才會進行人工審查和延長保留。
你可以想像,在一個公司裡,這些不同類型的資料交織在一起,如何統籌管理並設定合理的保留期限,確實是個複雜的挑戰。這需要專業的判斷與跨部門的協調,才能避免踩到地雷喔。
逾期不處理的風險與正確銷毀的重要性
當個資達到保留期限後,如果未能及時、安全地銷毀或進行不可識別化處理,就像前面提到的,它會變成一顆定時炸彈。除了前述的法律、資安、成本和信譽風險,我還想強調「資料品質」的問題。
過時或不必要的個資,可能導致決策失誤。例如,你的行銷團隊可能還在向一個早已退會、甚至已經逝世的客戶發送促銷郵件,這不僅浪費資源,更會損害企業形象。而這些,都是因為你的資料庫裡還留存著「應該被處理掉」的個資。
怎麼才能「正確銷毀」?不只是按Delete鍵!
正確的個資銷毀,遠比你想像的複雜。不是簡單地把檔案丟進資源回收筒、格式化硬碟,就能高枕無憂的。數位資料有其特性,即使你「刪除」了,資料的殘留資訊可能仍然存在,透過專業工具仍能被復原。
以下是一些常見且被認可的銷毀與處理方式:
物理性銷毀:
碎紙機: 適用於紙本文件,務必選擇達到一定安全等級(如P-4或更高)的碎紙機。
硬碟消磁: 透過強大磁場破壞硬碟磁性,使資料無法讀取。
硬碟鑽孔/熔毀: 物理性破壞硬碟盤片,是最徹底的方式,適用於報廢的儲存設備。
軟體抹除(Data Erasure):
使用專業的資料抹除軟體,對儲存設備進行多次覆寫,填入隨機資料,確保原始資料無法復原。常見的標準有DoD 5220.22-M(美國國防部標準)等。
適用於仍在使用的伺服器、電腦、行動裝置,或需要重複利用的儲存媒體。
匿名化(Anonymization)與去識別化(Pseudonymization):
匿名化: 將資料轉換為無法追溯到特定個人的形式,且不可逆。例如,完全移除姓名、身份證號等直接識別符,並對其他屬性進行聚合、泛化(如將「25歲」變為「20-30歲區間」),使其無法透過任何手段重新識別出個人。匿名化後的資料,理論上就不再是個資,可以永久保留和使用。
去識別化(或稱假名化): 將可識別個人身份的資料替換為假名或代碼,使其在不結合其他資訊的情況下無法直接識別個人。但如果結合特定「密鑰」或其他資訊,仍可能還原成個資。例如,將姓名替換為一串不具意義的編號。去識別化後的資料在某些情境下仍被視為個資,因此仍需遵循個資法規範。
請記住,無論選擇哪種方式,都應該有明確的作業流程、專人負責,並留下詳細的銷毀記錄,以證明你已履行了資料保護的義務。這不僅是合規的必要,更是企業內部治理的體現。
我的觀察與建議:超越法規的思考
作為一個長期關注資訊安全的觀察者,我發現許多企業在面對個資問題時,往往只專注於「法規要求我怎麼做」,而忽略了更深層次的「為什麼我要這麼做」以及「如何做得更好」。
個資保留政策,不應該只是法規遵循的負擔,它更是一個絕佳的機會,讓企業重新審視自己的資料資產。我的觀察是,那些能夠妥善管理個資保留的企業,通常在整體資料治理上也做得比較好。
我會建議,把個資保留政策視為一個「資料品質管理」的環節。定期清理不再需要的資料,就像給你的資料庫進行「斷捨離」。這樣做不僅能降低風險,還能提升資料的準確性、可用性,讓你的數據分析更有效率。那些保留過期的資料,就像你家裡堆積的垃圾,不僅佔空間,還會讓你找不到真正重要的東西。
所以,別把「個資保留多久」僅僅看作是法律框架下的被動響應,而應當將其融入企業的數據治理策略中。建立起一套企業內部對資料的「生命週期管理」概念,從資料的蒐集、處理、利用到最終的儲存、銷毀,每一個環節都應有清晰的規範和責任歸屬。這樣,個資的保留與管理才會從「被動合規」轉變為「主動優化」,真正成為企業的競爭優勢。
數據保護機構普遍強調「儲存限制」原則,即個人資料的保存時間不應超過為實現其處理目的所需的時間。這不僅有助於保護個人隱私,也降低了企業因資料外洩而遭受損失的風險。我的經驗是,當企業內部開始討論個資保留期限時,往往會意外發現許多長期未被關注的「資料黑洞」或「資料孤島」,這正是推動內部資料盤點與流程優化的好時機。
個資保留多久:常見問題與專業解答
Q1:個人可以要求企業刪除我的個資嗎?這就是所謂的「被遺忘權」嗎?
是的,個人在台灣的個資法中確實擁有這項權利,雖然個資法沒有明確使用「被遺忘權」這個詞,但其精神是高度相符的。個資法第3條規定,資料當事人對於其個人資料,有權請求「停止蒐集、處理或利用」及「請求刪除」。
然而,這項權利並非絕對無限。企業可以拒絕請求的情況通常有幾種:一是法律另有規定,要求企業必須保留這些資料(例如前述的稅務、勞動法規);二是為了執行職務或業務所必須,且有明確合法目的;三是為了達成雙方契約目的所必需。所以,當你要求企業刪除你的資料時,企業會評估其是否有合法、合規的理由繼續保留。如果你曾是他們的客戶,涉及交易紀錄,那麼部分資料為履行稅務義務,企業是無法立即刪除的。
Q2:如果我的公司倒閉了,儲存的個資會怎麼處理?員工和客戶的資料會流向哪裡?
這是一個非常重要的問題,但在實務上常常被忽略。公司倒閉、解散或進行清算時,其所持有的個人資料也需要有妥善的處理方案。理想情況下,應該遵循以下原則:
資產移轉: 如果公司被其他企業併購,並且業務持續,那麼個資可能會被移轉給新的法人。但這需要事先在公開聲明中告知資料當事人,並確保新的實體會繼續遵守原來的隱私政策或提供同等級的保護。
銷毀處理: 若公司業務終止且無其他法人接手,則公司應在其解散清算過程中,依照其個資保留政策和相關法規,對所有不再有保留必要的個資進行安全、徹底的銷毀。這包括紙本資料的碎毀,以及數位資料的抹除或物理性銷毀儲存設備。
法定義務資料: 即使公司倒閉,一些資料(如稅務紀錄、勞工薪資紀錄)仍可能需要按照法規要求,由清算人或特定機構繼續保管一定期限。
總之,公司倒閉不代表個資保護責任就此消失。主管機關在公司清算過程中,也會要求公司對其資料資產,包括個資,作出合法且合理的處置。這也是為什麼,在公司章程或相關的退出計畫中,就應該考慮到個資的處理問題。
Q3:什麼是「匿名化」和「去識別化」?它們能取代資料銷毀嗎?
「匿名化」和「去識別化」(或稱假名化)是兩種在不銷毀原始資料的前提下,降低個人資料可識別性的技術手段。它們在資料利用、研究分析上非常有價值,但不能完全等同於銷毀,因為它們的目的和程度不同:
匿名化: 是一種不可逆的處理方式,讓資料從此無法被重新識別到特定個人。例如,刪除所有直接識別資訊(姓名、身分證字號),並對其他間接識別資訊(如住址、出生日期)進行泛化、聚合,使資料無法透過任何方法與個人連結。匿名化後的資料,原則上已不屬於個資,可以永久保留和自由使用。它在某種程度上「取代」了銷毀的需求,因為資料本身已不再具有個資屬性。
去識別化(假名化): 是一種可逆的處理方式。它用假名或代碼取代真實的識別資訊,使資料在不結合特定「密鑰」或其他資訊的情況下無法直接識別個人。但只要擁有「密鑰」,就能將資料還原為可識別的個資。因此,去識別化後的資料,在法律上仍可能被視為個資,仍需遵循個資法的規範,其處理方式應與原始個資相同。
所以,匿名化在某些情況下確實可以取代銷毀的需求,因為它改變了資料的本質。但去識別化則不能,它只是一種資料保護的技術,而非銷毀手段。企業應根據其目的和資料敏感程度,選擇合適的處理方式。
Q4:雲端儲存的個資保留期限怎麼算?雲端服務供應商有責任嗎?
雲端儲存的個資保留期限計算方式,與本地儲存的原則是完全一樣的:依據法律規範、業務需求和最小化原則來決定。雲端只是一種儲存方式,它不改變資料的本質和應遵守的法規。
至於雲端服務供應商(CSP),他們通常扮演「受委託者」的角色,根據客戶(個資蒐集者/處理者)的指示來儲存和處理資料。這意味著:
責任劃分: 決定個資保留多久的主要責任在於「個資蒐集者/處理者」(也就是使用雲端服務的企業),他們必須設定明確的保留政策。
CSP的協助: 雲端供應商有責任提供工具和服務,協助客戶符合其保留政策,例如提供刪除功能、資料抹除服務、資料備份和復原選項等。他們也應提供符合安全標準的儲存環境,並在服務合約中明確其在資料處理和銷毀方面的責任。
契約約定: 企業在選擇雲端服務時,務必在服務合約(SLA)中明確約定資料的儲存地點、安全標準、銷毀方式和責任歸屬。這點非常重要,因為一旦發生資料外洩或違規事件,責任歸屬會根據合約內容來判斷。
總之,將資料上傳到雲端,並不代表企業就能將個資保護的責任一併丟給雲端供應商。主導權和主要責任,還是在於擁有並決定如何使用這些個資的企業喔!
Q5:中小企業也需要這麼複雜的個資保留政策嗎?會不會太耗時耗力了?
我完全理解中小企業資源有限、人手不足的困境。你可能會覺得,建立一套如此完善的個資保留政策,聽起來像是大企業才玩得起的「奢華」配置。但我的回答是:是的,中小企業也需要,只是規模和複雜度可以有所調整。
個資法對所有處理個人資料的實體都適用,不分企業大小。一旦發生個資外洩或違規事件,中小企業受到的衝擊可能比大企業更大,因為它們的品牌形象和財務承受能力相對較弱。這不是在嚇唬你,而是提醒你風險真實存在。
所以,建議中小企業可以從最核心、最敏感的資料類型開始著手。例如:
從高風險資料開始: 優先處理客戶的金融資料、員工的身份證字號等高度敏感的個資。
簡化流程: 不一定需要建立一套龐大的IT系統。一份清晰的「個資盤點表」、一份「個資保留原則清單」、以及「定期檢查與手動銷毀」的流程,就已經是很好的開始。
尋求外部協助: 若內部缺乏專業知識,可以考慮諮詢外部的法務顧問或資安專家,他們能提供客製化、符合成本效益的建議。
記住,合規不是一個「大而全」的目標,而是一個「持續改進」的過程。從最簡單、最必要的部分做起,逐步完善,就能有效降低風險,同時也為企業未來的成長打下堅實的資料治理基礎。這絕對是一項值得投入的長期投資喔!