經營 WordPress 或 WooCommerce 網站,遲早會收到一封信:「請把我的個人資料全部刪除。」這封信看起來只是客服小事,實際上牽動個資法的法定時限、身分核實、例外保留,還有一個多數站長都忽略的問題——你能不能證明自己真的處理了?個資刪除請求流程一旦缺乏紀錄,等到主管機關來查或當事人投訴,口頭說「我刪了」是站不住腳的。
這篇從台灣個資法的實際條文出發,把刪除與資料可攜(個資法稱為「製給複製本」)兩種請求拆開講清楚,再對應到 WordPress 內建工具的實際操作,最後給你一套可稽核的紀錄做法。目標不是教你怎麼按按鈕,而是讓整條流程經得起事後檢驗。
個資刪除請求流程到底要回應哪些法定權利?
個資刪除請求流程要回應的,是個資法第 3 條賦予當事人、且不得預先拋棄的五項權利。釐清這五項,才知道收到一封信時該歸到哪一類處理,因為不同類別的法定時限不一樣。
根據個資法第 3 條,當事人對自己的個人資料享有以下權利:
- 查詢或請求閱覽:當事人有權問你是否持有他的個資、持有哪些,並要求閱覽。
- 請求製給複製本:當事人可要求你提供一份他個資的副本。這是台灣法下最接近「資料可攜」的權利。
- 請求補充或更正:發現資料不正確或不完整時,要求你修正。
- 請求停止蒐集、處理或利用:在特定目的消失或期限屆滿時,要求你停手。
- 請求刪除:要求你把他的個人資料完全刪除。
對網站經營者來說,最常遇到的是兩種:一是會員要求「把我的帳號和所有資料刪掉」(刪除權),二是要求「給我一份你存了我哪些資料」(製給複製本,也就是資料可攜的請求)。這兩種請求進到 WordPress,分別對應後台兩個不同的工具,後面會分開講。
值得先點出的是,這五項權利「不得預先拋棄或以特約限制」。也就是說,你不能在會員條款裡寫「使用本服務即同意放棄刪除權」來規避——這種約定在個資法下無效。
資料可攜請求在台灣,跟你想的 GDPR 不一樣
先把一個常見誤會講清楚:台灣個資法目前沒有明文的「資料可攜權」。很多站長讀了歐盟 GDPR 的資料,以為自己有義務提供「機器可讀、可直接轉移到別家服務」的檔案,其實台灣法的要求比這個寬鬆。
GDPR 第 20 條定有資料可攜權(Right to data portability),當事人有權要求以通用格式取得自己提供過的資料,並可要求直接傳輸給另一個資料控管者,目的是讓資料能在不同業者之間自由搬遷。台灣個資法沒有這條,也沒有要求特定的機器可讀格式或跨業者傳輸。
台灣法下對應的是個資法第 3 條的「請求製給複製本」——你只需要提供一份當事人個資的副本,格式上沒有 GDPR 那麼硬性的規定。實務上用 WordPress 內建工具匯出的 ZIP 檔(內含 HTML / JSON 格式的資料)已經足夠回應這類請求。
這個差異對誰重要?如果你的 WooCommerce 商店有歐盟境內的客戶,那一筆訂單就可能落入 GDPR 適用範圍——GDPR 不以國籍而以「服務對象所在地」判斷。換句話說,純做台灣市場的站只需顧好個資法的製給複製本;只要有歐盟客戶,就得把資料可攜當成真正的義務來準備格式。先確認自己的客群落在哪一邊,再決定匯出檔要做到什麼程度。
收到請求後,多久內一定要回?
個資法第 13 條對處理時限有明文規定,而且刪除和查閱兩類請求的天數不同,這是整條流程最容易踩雷、也最該背下來的地方。
依個資法第 13 條,兩類請求的法定時限分別是:
| 請求類型 | 對應條文 | 法定期限 | 可延長 | 延長條件 |
|---|---|---|---|---|
| 查詢、閱覽、製給複製本 | 第 10 條 | 收到後 15 日內為准駁決定 | 最多再 15 日 | 必須以書面通知請求人原因 |
| 更正、補充、停止處理、刪除 | 第 11 條 | 收到後 30 日內為准駁決定 | 最多再 30 日 | 必須以書面通知請求人原因 |
這裡有三個重點容易被忽略。第一、起算點是「收到請求」當天,不是你看到信的那天,所以受理窗口若沒人定期查看,時間會在你不知情的狀況下流逝。第二、延長不是無條件的,必須「以書面通知」當事人延長原因,沒通知就拖過期限,等於違反第 13 條。第三、法條要求的是「為准駁之決定」,也就是在期限內決定准或不准並回覆,不是非得在期限內完成全部刪除動作;但對單純的會員資料刪除,實務上多半直接做完比較省事。
把這兩組數字記成「查閱 15 天、刪除 30 天,各能再延一次同樣天數」,收到任何請求第一件事就是貼上日期、歸類、設提醒。
哪些刪除請求你可以依法拒絕?
不是每一封「請刪除我的資料」都得照單全收。個資法第 11 條第 3 項與施行細則明文允許在特定情況下保留資料,但拒絕必須有正當理由,不能憑感覺。
個資法第 11 條第 3 項的原則是:特定目的消失或期限屆滿時,應依當事人請求刪除或停止處理;「但因執行職務或業務所必須或經當事人書面同意者,不在此限」。這個但書就是合法保留的依據,常見情境有兩類。
第一類是法定保存義務。最典型的是交易憑證——依商業會計法,會計憑證有法定保存年限,WooCommerce 訂單若涉及發票、金流對帳的會計憑證,在保存年限屆滿前,即使客戶要求刪除,你也可以依法拒絕刪除這部分。要留意的是,這只能保留「法律要求保存的那部分資料」,不是整個帳號的所有欄位都能藉此留著。
第二類是正當合理事由。施行細則列出的情形包括「有理由足認刪除將侵害當事人值得保護之利益,或有其他不能刪除之正當事由」。不過這類事由的認定要嚴格,曾有法院判決(臺灣高雄地方法院 103 年度訴字第 1824 號民事判決)指出,業者主張「為避免日後消費爭議、留作訴訟舉證」而拒絕刪除已終止會員的資料,因為合約關係已結束、特定目的已消失,且舉證責任本就在當事人自己身上,這類理由不足以正當化保留,當事人請求刪除有理由。
實務上的拿捏是:能對應到明確法令(如會計憑證保存年限)的,保留得住;只是「以後可能用得到」「怕有糾紛」這種預防性理由,多半站不住腳。拒絕時記得把理由、依據條文寫下來,這既是對當事人的交代,也是日後稽核的證據。
在 WordPress 後台,怎麼匯出與刪除個人資料?
WordPress 從 4.9.6 版起內建了「匯出個人資料」與「清除個人資料」兩個工具,分別對應前面講的製給複製本與刪除請求,路徑都在後台「工具」選單底下,不需要安裝外掛就能用。
處理製給複製本(匯出)的步驟:
- 進入後台「工具」→「匯出個人資料」。
- 在欄位輸入當事人的使用者名稱或電子郵件。
- 選擇處理方式——可勾選「寄送確認信」讓當事人點連結確認身分,也可在已確認身分的前提下直接建立請求。
- 確認後點「寄送匯出連結」,系統會寄一封含下載連結的信給當事人,下載的是一個 ZIP 檔。連結通常只在數天內有效,過期自動失效,這對安全是好事。
處理刪除請求(清除)的步驟:
- 進入後台「工具」→「清除個人資料」。
- 輸入當事人的使用者名稱或電子郵件。
- 同樣可選擇先寄確認信。刪除是不可逆的動作,即使請求看來真實,多寄一封確認信給當事人一個反悔的機會,是穩妥的做法。
- 當事人確認後(或你在已驗證身分下直接執行),點「清除個人資料」,系統會處理並寄出完成通知信。
兩個工具處理完都會把該筆請求標記為「已完成」,並保留在後台清單裡。這份清單本身就是最基礎的處理紀錄,先別急著刪掉它,下一段會說明為什麼這份紀錄是整條流程的關鍵。
WordPress 內建工具刪不到的資料藏在哪?
內建工具只清得掉「WordPress 主資料庫裡、且有正確掛接的個人資料」,三個常被遺漏的角落會讓你以為刪乾淨了、其實沒有。經營者最該檢查的就是這三處。
第一處是第三方外掛自行存放的資料。WordPress 的清除工具只處理有依照官方資料隱私 API 註冊的資料;許多表單外掛、電子報外掛、CRM 整合外掛會把資料存在自己的資料表,若該外掛沒有對接 WordPress 的個資清除機制,內建工具就碰不到。遇到這種情況,得進該外掛的設定自行刪除,或直接聯絡外掛開發者確認。
第二處是站外的第三方服務。如果你把會員資料同步到外部 CRM、電子報平台(如 email 行銷服務)或客服系統,刪掉 WordPress 這邊的資料不等於那些平台也刪了。一筆完整的刪除請求,要連帶清掉這些站外副本,否則資料還在別處流通。
第三處,也是最隱蔽的,是備份檔。WordPress 的清除工具只動正式資料庫,不會碰你存在主機或第三方備份服務裡的備份檔。這代表一個風險:今天刪了某會員的資料,三個月後你因故還原一份舊備份,那筆「已刪除」的資料會復活。處理方式有兩種——一是把刪除請求記下來,每次還原備份後重新執行一次刪除;二是訂定備份保存週期,讓含有舊資料的備份在合理期間後自然輪替汰換。
把這三處列成自己的清單,每處理一次刪除請求就逐項確認,才算真的「完全刪除」,而不是只清了表面那一層。
怎麼把這條流程做成「可稽核」的?
可稽核的核心,是讓每一筆請求都留下「誰、什麼時候、提出什麼、你怎麼回、何時完成」的完整軌跡。WordPress 內建清單只記到一半,得補上前段的受理與身分核實紀錄,整條流程才經得起事後檢驗。
一套可稽核的個資請求流程,建議涵蓋以下幾個環節:
- 統一受理窗口:在隱私權政策或官網明確指定單一窗口,例如一個專用客服信箱或線上表單,避免請求在公司內部四處轉、漏接或延誤。WordPress 站可用表單外掛建一個「個資請求表單」,所有請求都進同一個收件匣,附帶記下提交時間。
- 身分核實紀錄:處理前必須確認「提出請求的人就是本人」,防止他人冒用身分盜取資料。核實手段要符合比例原則,不能為了驗證身分反而要當事人交出更多不必要的個資。線上常見做法是請對方用註冊時的 Email 回信確認、提供最近一筆訂單編號比對;把用了什麼方式驗證、何時驗證通過記下來。
- 處理時程紀錄:貼上收到日期、歸類(15 日類或 30 日類)、設定到期提醒。若需要延長,把書面通知當事人的時間與原因一併存檔,這正是第 13 條要求的書面通知。
- 執行與完成紀錄:WordPress 後台的「已完成」清單是現成證據,保留它,不要為了清爽隨手刪除。再補記前述第三方外掛、站外服務、備份三處的處理結果。
- 拒絕紀錄:若依法拒絕全部或部分請求,把拒絕的理由、依據的條文(如商業會計法保存年限)、書面回覆當事人的時間存下來。
這套紀錄的價值在於:當主管機關查核或當事人提出爭議時,你能拿出一條完整的時間軸證明自己合法處理過,而不是只能口頭聲稱。台灣已設立個人資料保護委員會專責個資監理,可預期未來查核會更具體,事前把紀錄做扎實,比事後補資料省力得多。
把個資刪除當成信任的一部分,而不只是法遵負擔
收到個資刪除或製給複製本請求時,先歸類是哪一種權利、貼上日期算好 15 日或 30 日的時限、用比例原則核實身分,再進 WordPress 後台「工具」用內建工具匯出或清除,最後把第三方外掛、站外服務、備份這三個死角一併處理乾淨——這條流程跑順了,剩下的就是把每一步都留下紀錄。
紀錄才是這篇真正想留給你的東西。按下「清除個人資料」很容易,難的是半年後還能證明你按過、而且該保留的法定資料一筆沒少、該刪的死角一處不漏。一套透明又有跡可循的回應流程,對當事人是尊重,對你是面對查核時的底氣。現在就去後台的隱私權政策頁,把你的受理窗口寫清楚,這是把整條流程啟動起來最省力的第一步。