企業是由人組織而成，透過組織分工與流程，有效運用人、財、物等企業資源，發揮綜效來進行商業活動，控管成本產生收益，這是一般商業的原則，但不可忽視的是內外部商業活動產生的風險，尤其是適法性的風險。去(2012)年正式實施的個人資料保護法，屬於規範相當嚴格的程序性法律，不分產業別及規模大小都有相當程度衝擊。以蒐集客戶個人資料作為持續性服務(以下通稱『個資業務』)的產業，如保險、銀行、電信及消費性零售百貨等產業及政府機關早在2010年修法通過時即陸續因應，另沒有大量客戶個資卻有大量員工個資的製造業，以人資為主的個人資料保護，亦是企業個資保護的另一重點。

除了客戶及人資業務之外的企業活動是否就不在個資保護的範圍?答案當然是否定的。企業還是有B2B的業務及內部總務、行政及生產單位等與個人資料相關業務活動需要關注。依比例而言，企業會把個資保護焦點與資源，80%以上會放在客戶與員工的個資保護，剩下20%才會放在B2B業務及及內部總務、行政及生產單位，主要是因為後者在外洩風險上一般而言都不若前者為高，所以必然是投注相對為低的資源，所以必然在個資流程的涵蓋面要完整，但流程必須適度簡化且易於操作。

企業內部有關總務、行政及生產單位處理包含個人資料有關之業務如勞務報酬單收送、股東資料管理、交通津貼、紅利發放、人身保險、代訂機票、車險、租屋契約、申請工作許可函、通訊行辦公司名義門號、停車位租賃等相關業務處理，因具備下列特定目的，其性質多為服務員工、股東或其他有契約、類似契約或其他法律關係代辦性質作業，總歸為「內部行政作業個資管理原則」，除有特殊情況採例外處理程序外，均建議依此原則辦理。

○六九	契約、類似契約或其他法律關係事務
一〇一	採購與供應管理
○五二	法人或團體對股東、會員(含股東、會員指派之代表)、董事、監察人、理事、監事或其他成員名冊之內部管理

內部行政作業個資管理原則如下:

1. 員工內部行政作業蒐集之告知事項，應於員工手冊或新進員工報到訓練時列舉內部行政作業蒐集個人資料業務及項目，無需於例行作業逐次告知。
2. 非企業員工與企業有契約或類似契約法律關係及其他法律關係（以下簡稱契約人員），應於合約約定個人資料蒐集、處理及利用及當事人對其提供個人資料的權益事項，並於第一次蒐集時以口頭或書面或其他適當方式告知，其後得免逐次告知。
3. 新人報到由人資部門代為蒐集紙本個人資料，應由人資單位以安全方式，將正本傳遞至業務部門簽收並保管，人資部門不保留複本。
4. 代辦業務需附政府證件如身分證、健保卡、駕駛執照等，驗畢後即歸還，如需保留複本或傳送至內外部辦理機構，應以浮水印方式加注使用目的，僅能用於特定業務，未經當事人同意不得保留複本或於不同承辦單位間轉用。
5. 為保護敏感個人資料安全，在不嚴重影響作業效能情況下，得以加密方式處理個人資料。
6. 在妥善告知前提下，企業可使用去識別化之個人資料，將個人資料進行統計、歸納、分析等運用，以改善內部作業效率、服務品質提昇及人事管理等。
7. 保有員工、股東與契約人員之業務部門如需於原特定目的以外運用個人資料，需告知當事人並取得書面同意始得為之。
8. 辦理與採購或租賃外部財產或服務，如辦理公務手機門號，租賃汽車等，需出借負責人身分證件及印鑑，應經權責主管核准，並登記借出及借入時間及借用目的。
9. 代辦全民健保或稅務等政府相關作業，個人資料傳送程序及作業方式依主管機關規定辦理，作業人員須記錄接收機關名稱、接收人員及個人資料筆數等資訊備查。
10. 如契約結束或原特定目的消失，保有員工、股東與契約人員個人資料之業務部應立即刪除或停止利用個人資料。

以上檢列10點原則以供企業參考，建議企業仍應完整檢視各項個資業務與流程，並規劃各部門之個資管理規範，如此較能有效保護並管理個資，也充分表示對員工及客戶之個資隱私尊重。 以上所列各項規範，可由企業個資保護小組進行檢視並討論，訂出處理流程，也符合個資法所要求之管理階層監督之要求。