多層次傳銷個資管理停看聽 外包廠商不是擋箭牌，業主監督責任甩不了

多層次傳銷業者善用電商系統便利營運，但個資外洩風險也同步放大。當資訊系統交由外包廠商管理，責任能全推給對方嗎？法律明確規定，委託業者不但不能卸責，還必須積極監督合作夥伴的個資安全，別讓「外包」成為疏忽個資管理的漏洞。

根據《個人資料保護法》（以下簡稱「個資法」）第4條規定：「受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。」再根據《個資法施行細則》第8條第1項：「委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。」

外包廠商也是業者的一部分

第8條第2項進一步說明，監督至少要包含下列事項：一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間；二、受託者就第12條第2項採取之措施；三、有複委託者，其約定之受託者；四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施；五、委託機關如對受託者有保留指示者，其保留指示之事項；六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。第8條第3項補充：「第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。」

另外，《多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法》第4條第4款也要求：「委託他人蒐集、處理或利用個人資料之全部或一部時，對受託人依本法施行細則第八條規定為適當之監督，並明確約定相關監督事項與方法。」

簡單來說，業者把個資處理的工作交給別人，像是外包系統、請第三方處理訂單或會員資料，法律上還是會把這個幫業者做事的人「當成是業者的一部分」；也就是說，出了事，業者不能完全切割。業者不能說「這是外包公司的錯」，因為法律會先評價業者有沒有盡到監督義務。

法律明確規範監督義務6大要點

這些監督不能只靠信任，法律列出基本要做的6件事，包含資料用在哪裡、用多久、防護措施、是否轉委託、違法時怎麼通知跟補救，以及結束合作後要怎麼刪資料或歸還。還不只這樣，還得定期查對方有沒有照做，並且留下紀錄。

特別是多層次傳銷業者，涉及的個資非常廣，主管機關甚至透過《多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法》強調個資法施行細則第8條的內容應包含於個資保護的適當安全措施當中。換句話說，資料仍然是業者在收，責任也還是業者要負，外包不是推卸責任的理由。業者可以找人幫忙做事，但不能把風險也一併交出去。

因此，把網站管理、資料庫控管這些技術工作交給資訊服務公司處理，不代表委託他人的業者就能在個資外洩事件發生時拍拍屁股說「這不是我的事」。尤其是像多層次傳銷業者這類經常處理大量直銷商和顧客資料的公司，更要特別注意：主管機關在行政調查時，看的不只是誰在技術上動手，還會仔細問清楚，雙方在合作契約裡到底怎麼約定責任分工？誰負責哪些類型的個資？資料會用在哪裡、用多久？萬一發生外洩，誰要第一時間通報？通知怎麼發？怎麼處理善後？這些都是主管機關會關心的重點。

監督不能流於形式→實務操作＋記錄

更重要的是，不只是合約寫得漂不漂亮，平常你有沒有真正「盯」住受託廠商，也是一大關鍵。這種監督不一定要很複雜，像是有沒有定期開資訊安全的會議、安排實地稽核、請對方提供滲透測試報告或弱點掃描結果讓業者確認，這些都是很基本的做法。做了，還要留下紀錄，因為等到主管機關來問的時候，業者需要有東西證明其平常並非完全放任。

回到上述案例，A公司雖然把網站跟資料庫交給B公司管理，看起來B公司也有足夠的專業，但A公司不能就這樣把事情全丟出去不管。根據個資法施行細則的規定，A公司還是要負起監督義務，平常就要把預計處理的個資項目盤點清楚，包含資料的範圍、類型、使用目的和保存期間等等；也要預先規劃好萬一資料外洩，該怎麼通知當事人、怎麼應變；等到雙方合作關係結束時，也要確保資料要嘛安全銷毀，要嘛完整歸還。

這些事情不能只是「有做」，還必須「有記錄」，以免到時候主管機關認為你沒盡到監督義務，進一步根據個資法第27條、第48條第二項等規定對公司開罰，金額從2萬元一路到200萬元都有可能。說到底，個資不是你收完、外包就算了，怎麼處理、怎麼委外、怎麼管理監督、怎麼收尾，每一環節都要負責到底。