個資法修法與名單經營:行銷人的合規備忘錄(2026)

先講清楚這篇是什麼(也講清楚不是什麼):這是一份行銷素養備忘錄,不是法律意見。目的是讓你知道紅線大概在哪、什麼時候該把問題交給專業,不是教你自己當法律顧問。具體個案請諮詢律師或個資顧問;一切以正式生效後的條文為準。 文中凡提到施行細則、子法(例如事故通報、資安維護辦法),目前多屬草案/預告、研擬中、尚未定案生效,我會逐處標明。

快速結論:台灣個資法的修正條文在 2025 年 11 月已由總統公布,但截至 2026-07-09,行政院還沒公告施行日、也就是還沒正式上路。方向很清楚——外洩的責任會變重、主管機關的稽核權會變強。對行銷人來說,只要顧好名單的四道紅線:來(怎麼收)、用(怎麼用)、守(怎麼保管)、退(讓人怎麼離開),大方向就不會太偏。細節、罰則、施行日這些「要簽名負責」的部分,交給律師或個資顧問——這篇是我畫得出的地圖,不是我會替你簽的名。

這篇寫給每個月經營名單、卻對「個資法到底改了什麼、關我什麼事」一頭霧水的你。也寫給手上握著幾萬筆客戶資料、隱約覺得該做點什麼、但不知道從哪開始的老闆。

先誠實招認:我不是律師(真的不是)。我是操盤廣告、經營名單出身的,法律是我刻意保持敬畏的那條線——這些年投放做下來學到的其中一課,就是有些線寧可站遠一點。所以這篇的姿態很單純:「以我這些年看下來,這幾個地方你最好上點心,該找專業的時候別省。」至於怎麼做才算合法,那是專業的事,我只負責提醒你別忽略它。

為什麼行銷人現在要看這件事

因為你手上的名單,本質就是個人資料

在〈名單學全圖〉裡我立過一句話,這裡一字不差再講一次:流量是租來的,名單才是你的。 名單是資產沒錯——但資產有個但書:守不住合規,它會從資產變成負債。 一份沒依規則收集、不能合法使用、出事也不知道怎麼通報的名單,放著就是風險,哪天出事,賠掉的可能是整間公司。這也是為什麼名單學走到最後,收的是「守規」這一步。

修法的大方向(條文已公布、待施行日生效),一般而言就兩件事:一是把個資外洩的責任與罰責往上抬,二是強化主管機關的稽核與檢查權。白話說,就是「出事更貴、被查更容易」。至於具體罰多少、什麼情況構成、什麼時候上路,這些是要執照級專業把關的部分,這篇不做定論。

還有一件事得先說清楚,免得你被嚇到:修正條文雖然已經公布,但施行日由行政院另定,截至 2026-07-09 尚未公告、尚未施行。 主管機關「個人資料保護委員會」目前也還是籌備處(正式的委員會要等組織法立法)。所以現況是「規則寫好了、但還沒按下開始鍵」——不是明天就要開罰。方向要提早準備,但不必恐慌。

下面就照名單的四道紅線,一道一道走。每道紅線我只講方向,不做斬釘截鐵的判斷。

紅線一:來——名單是「怎麼來的」

目的: 讓你在收集名單這一步,就站在合規的起點上。名單怎麼來的,決定了它之後能不能安心用。

方向上,一般而言的原則是告知與同意:你在跟人要資料的時候,原則上要讓對方知道「你是誰、要拿這些資料做什麼、會用多久、他有哪些權利」,並且取得他的同意。放到行銷場景,就是那個常被當成裝飾的訂閱同意勾選、隱私權政策連結——別把它當網頁擺設,它其實是你這筆名單「來得正不正」的憑證。

效果: 收集端做對了,後面「用」跟「守」都會輕鬆很多;反過來,來源有問題的名單,後面每一步都在補破網。這也是為什麼我在〈名單學全圖〉裡一直強調,買來的名單是負債偽裝成資產——來路不明、沒有告知同意基礎的名單,方向上就是踩線的高風險群。

極限(誠實提醒): 告知同意的精確要件、同意的範圍與過渡效力,屬於要看正式條文與個案情境的部分,這篇只能講到方向。你的表單同意文字到底夠不夠、舊名單的同意還算不算數——這種問題,請交給律師或個資顧問,不要憑這篇的方向就自己定案。

素養三問(本章)

  • 目的: 從收集的源頭就站在合規起點——告知、同意、留下憑證。
  • 效果: 來源乾淨,名單的整個下游都省心;來源有問題,後面都在補洞。
  • 極限: 告知同意的精確要件與舊名單過渡效力,需正式條文與專業判斷,本文不定論。

紅線二:用——名單是「怎麼用的」

目的: 讓你用名單的方式,不超出當初跟人「講好」的範圍。

方向上的關鍵詞是利用目的。一般而言,你當初是以什麼目的收集的,原則上就該在那個目的範圍內使用;要拿去做當初沒講的用途(所謂目的外利用),方向上就是另一件需要格外謹慎、可能需要另尋法律依據或另取同意的事。舉個行銷人最容易踩的情境:為了「出貨」收的地址電話,回頭拿去發促銷簡訊——這兩件事是不是同一個目的,就是會需要停下來想一想的地方。

效果: 用得在範圍內,你的每一次觸及都站得住腳;用得超出範圍,省下的行銷成本可能遠不及事後的風險。這一步也跟第一方資料的經營扣在一起——在〈Cookie 死線取消了,然後呢〉裡談過,隱私趨勢正把大家推向自有的、有同意基礎的第一方資料,而「用在講好的目的內」正是第一方資料能長久用下去的前提。

極限: 什麼算「原本的目的」、什麼算「目的外」、哪些例外可以主張——這是條文適用的精細地帶,會因個案而異。方向我給得出,界線請專業幫你劃。

素養三問(本章)

  • 目的: 把名單用在當初講好的目的範圍內。
  • 效果: 每次觸及都站得住;超範圍使用是拿風險換短期成本。
  • 極限: 目的內/目的外的精確界線與例外,需個案專業判斷,本文不定論。

紅線三:守——名單是「怎麼守的」

目的: 讓你在「保管」這一步不出包——資料放得安不安全、萬一外洩知不知道怎麼辦。

這道紅線是這次修法方向感最強、但也最多東西還在草案階段的一塊,我特別小心地講。方向上有兩件事值得你先有個概念:

一是資安維護義務。修法方向是往「業者要有基本的資安維護措施」走,而且研擬中的子法草案傾向於分層級——一般業者一套共通措施,特定的大型非公務機關再加一套強化措施。但請注意:這些細節目前是施行細則與子法的草案/預告階段,尚未定案生效。(依個資會籌備處資訊,施行細則修正草案及相關子法草案於 2026-01-22 預告、預告期至 2026-03-23,截至 2026-07-09 仍在預告/研擬,未定案。)

二是個資事故通報草案/研擬中的方向是:知悉個資事故後,在一定時限內(草案方向為 72 小時內)通知當事人並通報主管機關,並可能設有特種個資、逾一定筆數等門檻。再強調一次:72 小時、筆數門檻這些都是草案內容,尚未定案生效,正式數字與觸發條件一律以生效後的條文為準。 對名單經營來說,「哪些情況會觸發通報義務」是需要專業逐案判斷的,這篇不替你認定。

效果: 「守」做得好,省下的是「哪天出事」那筆你最不想付的帳——比任何一筆行銷預算都貴的那筆。這也是〈名單健檢〉裡會列進去的一項——合規本身就是名單健檢的一個體檢項目,值得你當成日常功課。

極限: 這一整段方向感最強、確定性卻最低——子法未定案、施行日未公告、正式義務內容還會動。所以這裡我全部用「草案、方向、研擬中」在講,一個數字都不當定數。真正要落地成你公司的資安 SOP 與通報流程,這是最該找資安/法遵專業的地方。

素養三問(本章)

  • 目的: 保管安全、萬一外洩知道怎麼通報。
  • 效果: 守得住,省下的是「出事那筆帳」——比任何行銷成本都貴。
  • 極限: 資安義務與事故通報(含 72 小時方向)目前是草案、未定案生效;正式內容以生效條文為準,落地需專業。

紅線四:退——當事人「怎麼離開」

目的: 讓每一個名單裡的人,都能方便地行使他的權利——查自己的資料、要求刪除、停止被行銷、退訂。

方向上,個資法一般而言賦予當事人幾項權利:查詢、更正、請求刪除、請求停止利用等等。落到行銷日常,最貼身的就是那個退訂連結、那個「請勿再寄送行銷訊息」的請求。一個做不好退訂、當事人喊停還一直寄的名單,不只是體驗差,方向上就是在紅線邊緣。

效果: 把「退」這條路修得好走,你的名單反而更健康——留下的是真的想留的人,觸及品質更高,也遠離風險。乾淨的退場機制,本來就是名單長期經營的基礎建設。

極限: 各項當事人權利的精確範圍、你要在多久內回應、有沒有例外,一樣是條文與個案的事。方向照做,細節請專業把關。

素養三問(本章)

  • 目的: 讓當事人能方便地查詢、刪除、停止利用、退訂。
  • 效果: 退場機制好,名單反而更乾淨、更健康、更遠離風險。
  • 極限: 各項權利的精確要件與回應時限,需個案專業判斷,本文不定論。

那,行銷人到底該「知道」到什麼程度?

講到這裡,你可能想問:那我到底要懂多少?

答案是:你不必變成法律專家,但要知道紅線大概在哪、什麼時候該把問題交給專業。 這正是「數位行銷素養」的核心——素養不是把每件事都學到能自己做,而是知道邊界在哪、知道什麼時候該喊停、該找誰。就像你不會自己開刀,但你會知道哪些症狀該去看醫生。這也是〈數位行銷素養〉這整個系列一直在練的判斷力。

給你一個超簡單的自我檢查方向(方向性、非法律意見):

  • 名單得明不明(有沒有告知同意的基礎)?
  • 名單得有沒有超出當初講好的目的?
  • 名單得安不安全、出事知不知道找誰(草案未定,但方向可以先想)?
  • 名單讓人退得順不順(退訂、停止利用好不好操作)?

四個問題裡只要有一個你答不出來、或答得心虛,那就是該找律師或個資顧問聊一聊的訊號。這筆諮詢費花得值得,它本來就是〈名單健檢〉的一部分——合規也是名單健檢的一個項目

常見問題(FAQ)

個資法修法「已經上路」了嗎?我現在就要照新規做嗎?
方向要提早準備,但先講清楚現況:修正條文在 2025 年 11 月已公布,但施行日由行政院另定,截至 2026-07-09 尚未公告、尚未施行。而現行的個資法本來就在運作——所以「來、用、守、退」這些基本方向,本來就該顧好,不是等新法上路才開始。至於新法「新增或加重」的部分,等正式施行日與子法定案後,再依當時的正式條文調整。一切以生效後的條文為準。

草案裡那個「72 小時內通報」,我現在就要建流程嗎?
72 小時通報是子法草案/研擬中的方向,尚未定案生效,所以現在還不是一個確定的、已生效的義務。但「萬一名單外洩,我知道第一步找誰、怎麼處理」這種準備,本來就是負責任的經營,值得先想。等子法定案,再依正式內容把流程補齊。這種「要不要現在就照草案做」的判斷,很適合問你的法遵或資安顧問。

我不是大公司,這些也管我嗎?
方向上,個資法保護的是「個人資料」,跟你公司大小沒有直接綁定——只要你在收集、使用個人資料(而名單就是),原則上就在規範範圍內。差別可能在於「強化措施」那類子法草案傾向針對特定大型業者加碼(但那部分還在草案、未定案)。所以基本的「來用守退」四道紅線,不分大小都該顧。至於你這個規模具體適用到哪,請諮詢專業。

這篇能當作我合規的依據嗎?
不能,這點必須講死:這篇是行銷素養備忘錄、不是法律意見。 它幫你建立「紅線在哪、何時該找專業」的方向感,但不能取代律師或個資顧問針對你公司個案的判斷。具體怎麼做才合規、罰則怎麼算、施行日之後有什麼變化,一律以正式生效的條文為準,並請諮詢專業。


個資法制正在演變——修正條文已公布、施行日截至 2026-07-09 尚未公告,施行細則與子法草案也還在研擬。本文屬方向性的行銷素養備忘錄、非法律意見,會隨法制進度持續迭代(施行日一經官方公告,本文會立刻改版,建議每季回訪;重大進度會更勤)。想順手體檢一下你的名單健不健康?幫你準備:數位廣告健檢表單傳送門

Related articles

事件設計學:埋碼之前,先想好你要問數據什麼問題

你的 GA4 裡有兩百個事件,卻回答不了老闆隨口問的一個問題?因為順序反了。前投手講「事件設計的反向順序」:先想清楚要回答什麼商業問題,才決定追什麼行為、才設計成事件。這篇不教怎麼埋,教你埋之前該先想什麼——以及一句你之後會一直用到的原則。

數據會說謊:抽樣、閾值、(not set) 的判讀陷阱

GA4 的數字看起來很精確,其實常常是估算。前投手誠實拆解四個會騙你的地方——抽樣、資料保留閾值、(not set) 黑洞、跨裝置——每一個都可能讓你做錯決策。附上怎麼判斷有沒有被騙。

什麼時候該請顧問、什麼時候該自己養人

同一個行銷需求,該花錢請外部顧問,還是自己養一個內部團隊?前廣告投手當過乙方顧問、也當過月投上千萬的甲方,用「客座醫師 vs 家庭醫生」把決策拆成三問:急不急、久不久、是不是你的核心。收官篇,回到全系列那句話——你可以外包執行,不能外包判斷。

量測 GEO 成效:現在做得到與做不到的

GEO 到底能不能量測?GSC 官方報表 2026 年 6 月上線後,答案是「能,但只能量一半」。這篇誠實列出 GEO 成效現在量得到什麼、量不到什麼,以及 ChatGPT 那邊為什麼還在用土法煉鋼的方式估。不吹捧、不裝懂。

名單工具地圖:對話式商務、CDP、個人化引擎在做什麼(2026)

Omnichat、OmniSegment、Insider One 到底在做什麼?這篇不比功能、不比價格,用三個工具當例子講清楚三類工具各解決什麼問題:對話式商務、CDP+行銷自動化、全通路 Agentic 顧客互動。前廣告操盤人的一手判斷:工具是死的,重點是你願不願意積極設定。

Case Studies

B2B SaaS 服務事業

市占第一的 B2B SaaS 公司——生意越單純,選型越要精準

數位健康集團事業

七種商業模式,一套內控——一個健康集團的 ERP 與 IPO 整備

停車場代建與代管事業

停車場代建與代管——當工程業內控遇上盤根錯節的自建系統