【深度解析】企業個資保護鐵三角：專責、管理、查核人員到底差異在哪？（上）

前言：從一團迷霧到豁然開朗

 　　在數位經濟時代，資料是企業最寶貴的資產之一，而個人資料的保護更是重中之重。隨著台灣《個人資料保護法》及各行業主管機關的法規日趨嚴謹，許多企業開始意識到，單憑IT部門的努力，已不足以應對複雜的個資保護挑戰。於是，「個人資料保護專責人員」、「管理人員」、「查核人員」這些名詞應運而生。

　　然而，許多企業主、法務、甚至IT人員，對於這三個角色的具體差異仍然一知半解：

• 這三個職位有什麼不同？可以由同一個人擔任嗎？
• 我們公司需要設立哪些職位？法規有強制要求嗎？
• 他們分別需要具備什麼樣的知識和技能（學能）？
• 如何從零開始，在企業內部建立起這套制度？

　　本文將為您徹底剖析這三個角色的本質區別，提供具體的建置建議，讓您一次搞懂企業個資保護的「治理鐵三角」。

主管機關的安維辦法

　　多數主管機關（如金管會、衛福部、NCC等）發布的「個人資料檔案安全維護管理辦法」中，皆明確要求：

• 配置相當資源及設立專責人員或組織：這直接對應了「管理人員」與「專責人員」的設立需求。法規強調「專責」，意在要求企業投入足夠心力，而非僅是名義上的指派。
• 個人資料保護導入、稽核及持續改善機制：這明確指出了PDCA循環的必要性，而「稽核機制」正是「查核人員」的核心職責。部分辦法更直接寫明應建立「內部稽核(internal audit)制度」。
• 風險評鑑機制：這是「管理人員」的核心職責之一，用以決定資源投入的優先順序。

　　結論：雖然法規未使用「管理、專責、查核」等精確詞彙，但其要求的職能已經完整涵蓋了這三個角色的核心任務。企業若想證明自己已採取「適當之安全維護措施」，建置這三種職能的角色是最佳的舉證方式。

為何需要這些角色？

　　要理解這三個角色的差異，我們必須回歸問題的根本：為什麼法律會要求組織採取「適當的安全維護措施」？

• 《個人資料保護法法》第27條第1項要求「非公務機關應採行適當之安全維護措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」
• 「適當」是什麼意思？這不是一個單一的行動，而是一個持續的管理循環。《個資法施行細則》第12條進一步定義了11項「適當」的措施，其中包含了「訂定個人資料保護方針」、「訂定個人資料檔案之安全維護計畫及業務終止後個人資料處理方法」、「定期檢視或稽核所定之前二款方針、計畫及方法是否落實」等要求。
• 這11項措施清楚地勾勒出一個管理體系（Management System）的輪廓，這個輪廓與國際上通行的PDCA（Plan-Do-Check-Act）持續改善循環完全吻合。
• Plan (規劃)：需要有人來規劃與建立整個個資保護制度。這包括制定政策、評估風險、分配資源。
• Do (執行)：需要有人來執行這些已規劃好的政策與程序，處理日常的個資相關作業。
• Check (查核)：需要有人來檢查制度是否被確實執行，以及執行的效果是否符合預期。
• Act (行動)：需要有人根據檢查的結果，修正並改善整個制度。

從這個最根本的PDCA循環中，三個角色的定位便清晰地浮現出來：

• 個人資料保護管理人員：制度的規劃者與建構者 (Plan & Act)。他是整個個資保護管理系統（PIMS, Personal Information Management System）的總設計師與負責人。
• 個人資料保護專責人員：制度的日常執行者 (Do)。他們是第一線處理個資事務、落實各項保護措施的骨幹。
• 個人資料保護查核人員：制度的監督者與驗證者 (Check)。他們是獨立的第三方（或內部獨立角色），用以確認制度是否有效運作。

這個「規劃-執行-查核」的職責分離（Segregation of Duties）原則，是現代管理制度與內部控制的核心，旨在避免「球員兼裁判」的利益衝突，確保制度的客觀性與有效性。

－－副理事長/教育訓練委員會主委 王彥然