先講結論:AI 不是免責區,個資法照樣適用
很多人以為「我只是把資料貼給 AI 問一下」不算什麼。但在台灣《個人資料保護法》眼裡,只要那份資料能識別到特定的人(姓名、身分證字號、電話、病歷、消費紀錄……),你「貼進雲端 AI」這個動作,就是一次個資的蒐集、處理或利用,一樣受法律管。
換句話說,AI 不會幫你免責。出了事,被追究的不是那個模型,是你這家公司。
我們的立場很直白:把客戶名單、員工資料、病患紀錄直接貼進公開版的雲端 AI,在個資法下不是小事。你要先問三件事——這是不是「目的外利用」、資料有沒有「跨境」、你對這個 AI 服務商有沒有盡到「委外監督」。這三條線,就是台灣企業最常踩的地方。想先建立整體資安觀念的話,可以搭配我們的 AI 隱私與資安實戰 一起看。
個資法的基本框架:告知、特定目的、同意或法定事由
先把地基講清楚。台灣個資法對「非公務機關」(也就是一般企業)蒐集、處理個資,要求三件事同時成立:
- 特定目的:你蒐集這份資料,當初是為了什麼(例如「會員管理」「訂單處理」)。
- 告知:蒐集時要讓當事人知道用途、範圍、可行使的權利。
- 法定事由或同意:要落在法律允許的事由裡,例如與當事人有契約關係、當事人明確同意、資料已合法公開等(見個資法第 19 條)。
利用的時候,原則上不能超出「當初蒐集的特定目的」。這條看起來很基本,卻正好是 AI 時代最容易破功的一條。想更完整地把資料治理放進 AI 倫理與法規 的脈絡,這是理解後面三條紅線的前提。
用 AI 最容易踩的三條線
第一條:目的外利用。 你當初蒐集客戶資料是為了「出貨與售後」,現在把整份名單貼進 AI 幫你「做行銷分群、訓練一個推薦模型」——這很可能已經超出原本的特定目的。更麻煩的是,不少公開版雲端 AI 的條款會把你輸入的內容拿去改善它自己的模型;你的客戶資料等於流進第三方的訓練資料池,這既是目的外利用,也可能是一次你沒察覺的資料外流。務實作法是選用明確承諾「輸入不用於模型訓練」的企業方案。
第二條:跨境傳輸。 大多數雲端 AI 的伺服器在境外。資料一送出,就是一次國際傳輸。依個資法第 21 條,中央目的事業主管機關在特定情形下(涉及國家重大利益、接收國保護不足、以迂迴方式規避本法等)得限制國際傳輸。金融、電信、醫療等受監理產業,各自的主管機關對資料落地與跨境另有函令,上雲前務必先確認你的產業有沒有限制。
第三條:委外責任。 用別人的 AI 服務,法律上就是「委外處理個資」。依個資法第 4 條,受你委託處理個資的人「視同委託機關」;而施行細則第 8 條明訂你(委託機關)要對受託者做適當監督,涵蓋處理範圍、安全措施、再委託、事故通知、資料返還與刪除等。白話說:AI 服務商出包,你這個委託方跑不掉。這也是為什麼「信任邊界」要先畫清楚,可延伸閱讀 台灣企業的 AI 資安信任邊界。
特種個資(醫療/健康等)更嚴
有一類資料,標準完全不同。依個資法第 6 條,病歷、醫療、基因、性生活、健康檢查及犯罪前科這六類特種個資,原則上「不得蒐集、處理或利用」,只有在法律明文規定、當事人書面同意、或執行法定職務等少數例外下才行。
這代表什麼?診所把病患摘要、健檢報告、心理諮商紀錄貼進一般雲端 AI 做整理,風險等級是最高的那一檔。就算你覺得只是「幫忙潤稿」,只要內容能連回特定病患,就踩在第 6 條的紅線上。我們的建議很硬:特種個資一律先過法遵、確認法定例外與書面同意,沒把握就不要上雲。
去識別化/遮罩的界線
「那我打個碼、把姓名遮掉不就好了?」——這是最大的誤解。
法律上,資料要做到「經處理後無從識別特定當事人」才算脫離個資範疇。但把姓名換成「客戶 A」、把身分證字號遮掉幾碼,通常只是假名化:只要還能透過其他欄位(生日+郵遞區號+消費紀錄)或還原對照表重新識別,法律上它仍然是個資。真正的去識別化要做到不可逆、且合理上無法再識別,門檻比多數人想像的高很多。
所以我們會說:別以為「打碼」就沒事了。多數企業做的其實是假名化,法律責任並沒有跟著消失,只是降低了外洩時的衝擊。遮罩是好習慣,但它是「減害」,不是「豁免」。
企業實務清單(上雲前先自檢)
這不是完整的導入流程,而是讓你先判斷「這件事能不能做、要注意什麼」的框架:
- 先分級資料:分清楚哪些是一般個資、哪些是特種個資、哪些是受監理資料,才知道能不能碰。
- 預設遮罩:進雲端 AI 前,先移除或假名化可識別欄位,能不送的就不送。
- 選對方案:用企業版,確認「輸入不用於訓練」、資料留存期限與伺服器所在地。
- 確認跨境:資料會不會傳到境外?你的產業主管機關對跨境有沒有限制?
- 落實委外監督:與服務商簽資料處理條款,對照施行細則第 8 條逐項檢核。
- 特種/受監理資料先過法遵:這類資料一律先送法務或外部律師,別自己判斷。
- 檢視告知與同意:當初蒐集時的告知範圍,有沒有涵蓋「以 AI 方式處理」。
- 備好事故紀錄與通報流程:把外洩應變與通報的內部流程先建起來。
一句話收尾:AI 能不能用,不是看它多聰明,是看你有沒有先把資料的邊界畫好。
常見問題
把客戶資料貼進 ChatGPT 或其他雲端 AI 問問題,違法嗎?
不一定違法,但風險很高。只要資料能識別到特定的人,這就是一次個資利用,要落在原本蒐集的特定目的與法定事由內,而且要留意這是跨境傳輸與委外處理。安全作法是先遮罩、用企業版並確認輸入不會被拿去訓練模型。
醫療、健康資料可以丟進 AI 整理嗎?
要非常小心。依個資法第 6 條,病歷、醫療、健康檢查等特種個資原則上不得蒐集處理利用,只有法律明文規定或當事人書面同意等少數例外。把可識別病患的資料貼進一般雲端 AI,是風險最高的情境,務必先過法遵、確認例外事由。
我把姓名遮掉、打了碼,是不是就不算個資了?
多半還算。遮掉姓名通常只是假名化,只要能透過其他欄位或對照表重新識別,法律上仍是個資。真正的去識別化要做到不可逆、無法再識別,門檻很高。遮罩是減害,不是豁免。
用的是外部 AI 服務出包,責任在服務商還是我們公司?
兩邊都有,而且你跑不掉。依個資法第 4 條,受你委託處理個資的人視同委託機關;施行細則第 8 條要求你對受託者做適當監督。所以簽約時就要把資料處理、安全措施、刪除返還等條款談清楚,並定期確認執行狀況。