快速結論:台灣個資法的修正條文在 2025 年 11 月已由總統公布,但截至 2026-07-09,行政院還沒公告施行日、也就是還沒正式上路。方向很清楚——外洩的責任會變重、主管機關的稽核權會變強。對行銷人來說,只要顧好名單的四道紅線:來(怎麼收)、用(怎麼用)、守(怎麼保管)、退(讓人怎麼離開),大方向就不會太偏。細節、罰則、施行日這些「要簽名負責」的部分,交給律師或個資顧問——這篇是我畫得出的地圖,不是我會替你簽的名。
這篇寫給每個月經營名單、卻對「個資法到底改了什麼、關我什麼事」一頭霧水的你。也寫給手上握著幾萬筆客戶資料、隱約覺得該做點什麼、但不知道從哪開始的老闆。
先誠實招認:我不是律師(真的不是)。我是操盤廣告、經營名單出身的,法律是我刻意保持敬畏的那條線——這些年投放做下來學到的其中一課,就是有些線寧可站遠一點。所以這篇的姿態很單純:「以我這些年看下來,這幾個地方你最好上點心,該找專業的時候別省。」至於怎麼做才算合法,那是專業的事,我只負責提醒你別忽略它。
為什麼行銷人現在要看這件事
因為你手上的名單,本質就是個人資料。
在〈名單學全圖〉裡我立過一句話,這裡一字不差再講一次:流量是租來的,名單才是你的。 名單是資產沒錯——但資產有個但書:守不住合規,它會從資產變成負債。 一份沒依規則收集、不能合法使用、出事也不知道怎麼通報的名單,放著就是風險,哪天出事,賠掉的可能是整間公司。這也是為什麼名單學走到最後,收的是「守規」這一步。
修法的大方向(條文已公布、待施行日生效),一般而言就兩件事:一是把個資外洩的責任與罰責往上抬,二是強化主管機關的稽核與檢查權。白話說,就是「出事更貴、被查更容易」。至於具體罰多少、什麼情況構成、什麼時候上路,這些是要執照級專業把關的部分,這篇不做定論。
還有一件事得先說清楚,免得你被嚇到:修正條文雖然已經公布,但施行日由行政院另定,截至 2026-07-09 尚未公告、尚未施行。 主管機關「個人資料保護委員會」目前也還是籌備處(正式的委員會要等組織法立法)。所以現況是「規則寫好了、但還沒按下開始鍵」——不是明天就要開罰。方向要提早準備,但不必恐慌。
下面就照名單的四道紅線,一道一道走。每道紅線我只講方向,不做斬釘截鐵的判斷。
紅線一:來——名單是「怎麼來的」
目的: 讓你在收集名單這一步,就站在合規的起點上。名單怎麼來的,決定了它之後能不能安心用。
方向上,一般而言的原則是告知與同意:你在跟人要資料的時候,原則上要讓對方知道「你是誰、要拿這些資料做什麼、會用多久、他有哪些權利」,並且取得他的同意。放到行銷場景,就是那個常被當成裝飾的訂閱同意勾選、隱私權政策連結——別把它當網頁擺設,它其實是你這筆名單「來得正不正」的憑證。
效果: 收集端做對了,後面「用」跟「守」都會輕鬆很多;反過來,來源有問題的名單,後面每一步都在補破網。這也是為什麼我在〈名單學全圖〉裡一直強調,買來的名單是負債偽裝成資產——來路不明、沒有告知同意基礎的名單,方向上就是踩線的高風險群。
極限(誠實提醒): 告知同意的精確要件、同意的範圍與過渡效力,屬於要看正式條文與個案情境的部分,這篇只能講到方向。你的表單同意文字到底夠不夠、舊名單的同意還算不算數——這種問題,請交給律師或個資顧問,不要憑這篇的方向就自己定案。
素養三問(本章)
- 目的: 從收集的源頭就站在合規起點——告知、同意、留下憑證。
- 效果: 來源乾淨,名單的整個下游都省心;來源有問題,後面都在補洞。
- 極限: 告知同意的精確要件與舊名單過渡效力,需正式條文與專業判斷,本文不定論。
紅線二:用——名單是「怎麼用的」
目的: 讓你用名單的方式,不超出當初跟人「講好」的範圍。
方向上的關鍵詞是利用目的。一般而言,你當初是以什麼目的收集的,原則上就該在那個目的範圍內使用;要拿去做當初沒講的用途(所謂目的外利用),方向上就是另一件需要格外謹慎、可能需要另尋法律依據或另取同意的事。舉個行銷人最容易踩的情境:為了「出貨」收的地址電話,回頭拿去發促銷簡訊——這兩件事是不是同一個目的,就是會需要停下來想一想的地方。
效果: 用得在範圍內,你的每一次觸及都站得住腳;用得超出範圍,省下的行銷成本可能遠不及事後的風險。這一步也跟第一方資料的經營扣在一起——在〈Cookie 死線取消了,然後呢〉裡談過,隱私趨勢正把大家推向自有的、有同意基礎的第一方資料,而「用在講好的目的內」正是第一方資料能長久用下去的前提。
極限: 什麼算「原本的目的」、什麼算「目的外」、哪些例外可以主張——這是條文適用的精細地帶,會因個案而異。方向我給得出,界線請專業幫你劃。
素養三問(本章)
- 目的: 把名單用在當初講好的目的範圍內。
- 效果: 每次觸及都站得住;超範圍使用是拿風險換短期成本。
- 極限: 目的內/目的外的精確界線與例外,需個案專業判斷,本文不定論。
紅線三:守——名單是「怎麼守的」
目的: 讓你在「保管」這一步不出包——資料放得安不安全、萬一外洩知不知道怎麼辦。
這道紅線是這次修法方向感最強、但也最多東西還在草案階段的一塊,我特別小心地講。方向上有兩件事值得你先有個概念:
一是資安維護義務。修法方向是往「業者要有基本的資安維護措施」走,而且研擬中的子法草案傾向於分層級——一般業者一套共通措施,特定的大型非公務機關再加一套強化措施。但請注意:這些細節目前是施行細則與子法的草案/預告階段,尚未定案生效。(依個資會籌備處資訊,施行細則修正草案及相關子法草案於 2026-01-22 預告、預告期至 2026-03-23,截至 2026-07-09 仍在預告/研擬,未定案。)
二是個資事故通報。草案/研擬中的方向是:知悉個資事故後,在一定時限內(草案方向為 72 小時內)通知當事人並通報主管機關,並可能設有特種個資、逾一定筆數等門檻。再強調一次:72 小時、筆數門檻這些都是草案內容,尚未定案生效,正式數字與觸發條件一律以生效後的條文為準。 對名單經營來說,「哪些情況會觸發通報義務」是需要專業逐案判斷的,這篇不替你認定。
效果: 「守」做得好,省下的是「哪天出事」那筆你最不想付的帳——比任何一筆行銷預算都貴的那筆。這也是〈名單健檢〉裡會列進去的一項——合規本身就是名單健檢的一個體檢項目,值得你當成日常功課。
極限: 這一整段方向感最強、確定性卻最低——子法未定案、施行日未公告、正式義務內容還會動。所以這裡我全部用「草案、方向、研擬中」在講,一個數字都不當定數。真正要落地成你公司的資安 SOP 與通報流程,這是最該找資安/法遵專業的地方。
素養三問(本章)
- 目的: 保管安全、萬一外洩知道怎麼通報。
- 效果: 守得住,省下的是「出事那筆帳」——比任何行銷成本都貴。
- 極限: 資安義務與事故通報(含 72 小時方向)目前是草案、未定案生效;正式內容以生效條文為準,落地需專業。
紅線四:退——當事人「怎麼離開」
目的: 讓每一個名單裡的人,都能方便地行使他的權利——查自己的資料、要求刪除、停止被行銷、退訂。
方向上,個資法一般而言賦予當事人幾項權利:查詢、更正、請求刪除、請求停止利用等等。落到行銷日常,最貼身的就是那個退訂連結、那個「請勿再寄送行銷訊息」的請求。一個做不好退訂、當事人喊停還一直寄的名單,不只是體驗差,方向上就是在紅線邊緣。
效果: 把「退」這條路修得好走,你的名單反而更健康——留下的是真的想留的人,觸及品質更高,也遠離風險。乾淨的退場機制,本來就是名單長期經營的基礎建設。
極限: 各項當事人權利的精確範圍、你要在多久內回應、有沒有例外,一樣是條文與個案的事。方向照做,細節請專業把關。
素養三問(本章)
- 目的: 讓當事人能方便地查詢、刪除、停止利用、退訂。
- 效果: 退場機制好,名單反而更乾淨、更健康、更遠離風險。
- 極限: 各項權利的精確要件與回應時限,需個案專業判斷,本文不定論。
那,行銷人到底該「知道」到什麼程度?
講到這裡,你可能想問:那我到底要懂多少?
答案是:你不必變成法律專家,但要知道紅線大概在哪、什麼時候該把問題交給專業。 這正是「數位行銷素養」的核心——素養不是把每件事都學到能自己做,而是知道邊界在哪、知道什麼時候該喊停、該找誰。就像你不會自己開刀,但你會知道哪些症狀該去看醫生。這也是〈數位行銷素養〉這整個系列一直在練的判斷力。
給你一個超簡單的自我檢查方向(方向性、非法律意見):
- 名單來得明不明(有沒有告知同意的基礎)?
- 名單用得有沒有超出當初講好的目的?
- 名單守得安不安全、出事知不知道找誰(草案未定,但方向可以先想)?
- 名單讓人退得順不順(退訂、停止利用好不好操作)?
四個問題裡只要有一個你答不出來、或答得心虛,那就是該找律師或個資顧問聊一聊的訊號。這筆諮詢費花得值得,它本來就是〈名單健檢〉的一部分——合規也是名單健檢的一個項目。
常見問題(FAQ)
個資法修法「已經上路」了嗎?我現在就要照新規做嗎?
方向要提早準備,但先講清楚現況:修正條文在 2025 年 11 月已公布,但施行日由行政院另定,截至 2026-07-09 尚未公告、尚未施行。而現行的個資法本來就在運作——所以「來、用、守、退」這些基本方向,本來就該顧好,不是等新法上路才開始。至於新法「新增或加重」的部分,等正式施行日與子法定案後,再依當時的正式條文調整。一切以生效後的條文為準。
草案裡那個「72 小時內通報」,我現在就要建流程嗎?
72 小時通報是子法草案/研擬中的方向,尚未定案生效,所以現在還不是一個確定的、已生效的義務。但「萬一名單外洩,我知道第一步找誰、怎麼處理」這種準備,本來就是負責任的經營,值得先想。等子法定案,再依正式內容把流程補齊。這種「要不要現在就照草案做」的判斷,很適合問你的法遵或資安顧問。
我不是大公司,這些也管我嗎?
方向上,個資法保護的是「個人資料」,跟你公司大小沒有直接綁定——只要你在收集、使用個人資料(而名單就是),原則上就在規範範圍內。差別可能在於「強化措施」那類子法草案傾向針對特定大型業者加碼(但那部分還在草案、未定案)。所以基本的「來用守退」四道紅線,不分大小都該顧。至於你這個規模具體適用到哪,請諮詢專業。
這篇能當作我合規的依據嗎?
不能,這點必須講死:這篇是行銷素養備忘錄、不是法律意見。 它幫你建立「紅線在哪、何時該找專業」的方向感,但不能取代律師或個資顧問針對你公司個案的判斷。具體怎麼做才合規、罰則怎麼算、施行日之後有什麼變化,一律以正式生效的條文為準,並請諮詢專業。
個資法制正在演變——修正條文已公布、施行日截至 2026-07-09 尚未公告,施行細則與子法草案也還在研擬。本文屬方向性的行銷素養備忘錄、非法律意見,會隨法制進度持續迭代(施行日一經官方公告,本文會立刻改版,建議每季回訪;重大進度會更勤)。想順手體檢一下你的名單健不健康?幫你準備:數位廣告健檢表單傳送門。
