December 2025
臺灣衛福部公告限制西藥批發、零售業將個人資料國際傳輸至陸港澳
依個人資料保護法(下稱「個資法」)第21條第3款規定,非公務機關為國際傳輸個人資料,如接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞者,主管機關得加以限制。基於此授權,臺灣衛生福利部(下稱「衛福部」)於114年9月30日針對西藥批發與零售業發布個人資料跨境傳輸限制公告(參衛福部衛授食字第1149037011號函,下稱「本公告」),自本公告實施日起,西藥批發與零售業者原則上不得將個人資料傳輸至大陸地區、香港及澳門。
前述個人資料國際傳輸之情形包含:民眾進線業者位於陸港澳之分公司或外包公司並留下個人資料、業者將所持個資傳輸至陸港澳之分公司或外包公司、或將資料上傳至設於陸港澳的伺服器等 [1] 。
本公告並非全面禁止跨境傳輸個資至陸港澳,下列情形不在限制範圍內(參本公告第1點):
1. 當事人個人資料無法以直接或間接方式識別;
2. 當事人個人資料非因從事藥品有關業務所取得;
3. 當事人為西藥批發零售業者之員工,或西藥批發零售業者於執行業務過程中,取得聘僱服務商、合作廠商、內部業務往來之個人資料;
4. 西藥批發零售業者之總公司或母公司,列於歐盟「一般資料保護規則」(General Data Protection Regulation, GDPR)之適足性認定(Adequacy decision)下資料隱私框架(Data Privacy Framework)清單,或已符合歐盟「一般資料保護規則」(General Data Protection Regulation, GDPR)之拘束性企業規則(Binding corporate rules)、簽署經歐盟核准之制式個資保護條款(Standard data protection clauses)、行為守則(Codes of conduct)或取得特定認證(Certification);
5. 進行藥品臨床試驗所需,且受試者說明暨同意書已載明相關事項,並透過契約或其他方式責成接收方遵循我國個資法相關規範;
6. 涉及藥品安全通報或藥品安全監視,且已於藥品安全性監視計畫內容附錄增列西藥批發零售業個人資料檔案安全維護計畫實施辦法第4條安全維護計畫所定事項,並透過契約或其他方式責成接收方遵循我國個資法相關規範;
7. 依大陸地區、香港或澳門衛生主管機關依法要求而進行之個人資料陳報;
8. 已透過契約載明標準合約條款,確保接收方遵循我國個資法相關規範;
9. 基於當事人之書面委託;
10. 已取得當事人之書面同意。
本公告採分階段實施,對於西藥批發零售業個人資料檔案安全維護計畫實施辦法第3條所稱之西藥批發零售業者,即依藥事法第27條第1項規定核准登記,且資本額新臺幣3,000萬元以上,並有招募會員或可取得交易對象個人資料之西藥批發零售業者,自115年10月1日實施;除此以外,對於藥事法第15條第1款所稱之經營西藥批發、零售業者,自116年10月1日實施(參本公告第2點)。
本公告雖非即刻生效,尚有一定緩衝期間,惟為避免未來營運受阻,建議相關業者可逐步檢視現行個人資料之蒐集、利用及跨境傳輸情形,並同步盤點涉及陸港澳之委外安排、資訊系統及契約內容,確認是否符合本公告及我國個資法之規範。若能儘早進行整體法律評估與必要之調整,將有助於後續合規作業之順利銜接,並降低潛在營運風險。
[1] 參衛福部食藥署國際傳輸問答集,https://www.fda.gov.tw/tc/newsContent.aspx?cid=3&id=31222,最後瀏覽日:2025/12/22。
前述個人資料國際傳輸之情形包含:民眾進線業者位於陸港澳之分公司或外包公司並留下個人資料、業者將所持個資傳輸至陸港澳之分公司或外包公司、或將資料上傳至設於陸港澳的伺服器等 [1] 。
本公告並非全面禁止跨境傳輸個資至陸港澳,下列情形不在限制範圍內(參本公告第1點):
1. 當事人個人資料無法以直接或間接方式識別;
2. 當事人個人資料非因從事藥品有關業務所取得;
3. 當事人為西藥批發零售業者之員工,或西藥批發零售業者於執行業務過程中,取得聘僱服務商、合作廠商、內部業務往來之個人資料;
4. 西藥批發零售業者之總公司或母公司,列於歐盟「一般資料保護規則」(General Data Protection Regulation, GDPR)之適足性認定(Adequacy decision)下資料隱私框架(Data Privacy Framework)清單,或已符合歐盟「一般資料保護規則」(General Data Protection Regulation, GDPR)之拘束性企業規則(Binding corporate rules)、簽署經歐盟核准之制式個資保護條款(Standard data protection clauses)、行為守則(Codes of conduct)或取得特定認證(Certification);
5. 進行藥品臨床試驗所需,且受試者說明暨同意書已載明相關事項,並透過契約或其他方式責成接收方遵循我國個資法相關規範;
6. 涉及藥品安全通報或藥品安全監視,且已於藥品安全性監視計畫內容附錄增列西藥批發零售業個人資料檔案安全維護計畫實施辦法第4條安全維護計畫所定事項,並透過契約或其他方式責成接收方遵循我國個資法相關規範;
7. 依大陸地區、香港或澳門衛生主管機關依法要求而進行之個人資料陳報;
8. 已透過契約載明標準合約條款,確保接收方遵循我國個資法相關規範;
9. 基於當事人之書面委託;
10. 已取得當事人之書面同意。
本公告採分階段實施,對於西藥批發零售業個人資料檔案安全維護計畫實施辦法第3條所稱之西藥批發零售業者,即依藥事法第27條第1項規定核准登記,且資本額新臺幣3,000萬元以上,並有招募會員或可取得交易對象個人資料之西藥批發零售業者,自115年10月1日實施;除此以外,對於藥事法第15條第1款所稱之經營西藥批發、零售業者,自116年10月1日實施(參本公告第2點)。
本公告雖非即刻生效,尚有一定緩衝期間,惟為避免未來營運受阻,建議相關業者可逐步檢視現行個人資料之蒐集、利用及跨境傳輸情形,並同步盤點涉及陸港澳之委外安排、資訊系統及契約內容,確認是否符合本公告及我國個資法之規範。若能儘早進行整體法律評估與必要之調整,將有助於後續合規作業之順利銜接,並降低潛在營運風險。
[1] 參衛福部食藥署國際傳輸問答集,https://www.fda.gov.tw/tc/newsContent.aspx?cid=3&id=31222,最後瀏覽日:2025/12/22。
