摘要
企業導入 AI 若涉及個人資料、自動化決策或高風險應用,必須符合台灣個資法與相關主管機關規範。本文整理:個資蒐集與利用、自動化決策告知、跨境傳輸、以及金融與醫療等特別規定,供企業法務與專案負責人參考。不構成法律意見,具體請諮詢律師。
目錄
個資法與 AI 的關係
AI 若處理「可識別特定個人」的資料(姓名、Email、消費紀錄、行為軌跡等),即屬個人資料利用,須符合個資法:蒐集目的明確、最小必要、告知同意、安全維護等。
蒐集、利用與告知義務
- 告知事項:蒐集目的、類別、利用方式、當事人權利(查詢、更正、刪除等)。
- 同意:依情境取得同意(勾選、書面、契約條款等);敏感性個資需書面同意。
- 最小必要:只蒐集與目的相關且必要的資料;AI 訓練若用個資,需評估是否去識別化或取得同意。
自動化決策與透明
若 AI 決策「直接影響個人權益」(如核貸、聘僱、信用評分),實務上建議:
- 告知當事人其結果係經自動化決策(或輔助)。
- 提供申訴或人工複核管道。
- 保留決策邏輯或紀錄供爭議時說明。
跨境傳輸與雲端服務
使用境外 AI 服務(如 OpenAI、AWS)時,個資可能出境。個資法要求:跨境傳輸需符合法定事由(如當事人同意、契約必要、經主管機關許可等),且接收方具適當保護水準或採約束條款。實務上常見以「當事人同意」或「契約履行必要」為依據,並在隱私政策與條款中載明。
金融、醫療等特別規定
- 金融:金管會對金融業運用 AI 有指引,需注意公平性、可解釋性、資安。
- 醫療:若 AI 涉及診斷、治療建議,可能涉及醫療器材管理或醫師責任,需與法規單位確認。
- 其他:依產業留意目的事業主管機關公告。
實務檢查清單
- [ ] 隱私政策與告知是否更新(含 AI 使用目的與範圍)?
- [ ] 個資蒐集是否取得同意、是否符合最小必要?
- [ ] 若為自動化決策,是否告知當事人並提供救濟?
- [ ] 跨境傳輸是否有法律依據與適當保護?
- [ ] 是否有資安與存取控管(誰可接觸資料、如何加密)?
參考來源與審核說明
資料時間:2026-05-28。本文涉及工具、商業、學習、法規、財務或健康相關內容時,僅供一般資訊與流程設計參考,不構成法律、投資、醫療、心理治療或財務建議;正式採購、投資、導入或決策前,請以官方文件、合格專業人士與你自己的實際數據為準。
導購揭露:本文未置入新的商業推薦連結;文中提及工具、平台或案例僅作情境說明與操作示例。