首先必須有合法的特定目的，例如：服務業請顧客填寫的客戶資料，以利日後之行銷及促銷通知。房屋仲介為了銷售房屋而蒐集屋主的資料…等等。

此外，必須有下列情形之一：

• 法律明文規定可以蒐集。
• 與當事人有契約或類似契約之關係
• 當事人自行公開或其他已合法公開之個人資料。
• 學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
• 經當事人書面同意。
• 與公共利益有關。

如果是業者直接向當事人蒐集其個人資料，蒐集時須盡告知以下事項：

• 蒐集者的名稱。
• 蒐集之目的。
• 個人資料之類別。
• 個人資料利用之期間、地區、對象及方式。
• 當事人得行使之權利及方式。
• 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

但如果不是直接由當事人提供之個人資料，蒐集時則不需要告知上述事項。

此外，有下列情形之一者也無須告知：

• 依法律規定得免告知。
• 業者履行法律義務所必要。
• 告知將妨害公務機關執行法定職務。
• 告知將妨害第三人之重大利益。
• 當事人明知應告知之內容。

不論是一個人或一群人、中小企業或跨國企業、任何工作、任何活動，凡是需要蒐集、處理或利用到個人資訊的行為，包括紙本記錄和電腦資訊、甚至是隨手寫在便條紙上的聯絡資訊，若不留意，都有可能牴觸了個人資料保護法的規範，在個資法施行前已蒐集之個人資料，因考量大多屬當事人不知資料被蒐集之情形，若未給予規範而繼續利用，仍會損害當事人權益，故為能兼顧當事人與資料蒐集者雙方權益，明定於法案實施後一年內，個資蒐集機關應向當事人告知擁有其個人資料，告知後即可繼續利用。

以企業來說，最常主張的是「契約及類契約關係」來主張資料蒐集及處理的合法性，否則必須告知且經「當事人書面同意」，若希望以電子簽章代替書面同意，必須符合「電子簽章法」不可否認性和確認當事人身份的規定。舊法只對八大行業作規範，新法實施後就會有明文更嚴格規範。對於當事人「自行公開」或其他已合法公開者，若是做為學術研究必須匿名化才能夠做蒐集。

此外，新法加入一個特別的要件「個人資料取自於一般可得之來源」，由於現在有很多部落格、網誌、臉書…等等，上面有許多個人資料，這一條主要是解釋，在網路上可以不費吹灰之力、不必當駭客就可以蒐集到的資料，就可以認定為一般可得之來源的資料，但仍然有其限制，例如在網路上取得未成年人的個資，因其受兒少法的保障，所以該資料禁止被處理或利用；又如人肉搜索到的個資，當事人要求不得繼續使用，就必須停止使用。另外，「告知義務」是此次新法新加入蒐集資料時的重點，分為「自當事人直接取得資料時所做的告知」及「從第三人處取得資料時的告知」兩種。差別在於告知的時點，自當事人直接取得資料要於蒐集時一併告知，而從第三人處取得資料時可於處理或利用前再告知即可。

對企業而言，個資法不僅會影響到未來企業蒐集顧客資料、利用個資行銷的作業方式，連企業現有的顧客資料都將受到影響，甚至在最嚴重的情況下，企業辛苦累積數十年的顧客名單將無法使用，企業可能面臨營運停擺的危機。在新版個資法的規範下，一旦企業違法使用個資，顧客還能提出團體訴訟來求償，若無法估算損害金額時，每人每件可求償500～20,000元，最高求償金額高達2億元。若因違法使用而對當事人產生損害時，企業主還得面臨五年以下的有期徒刑。而蒙受損失的當事人若要進一步向違反個資法的企業求償，必須在違規事件發生後5年內向企業提出求償，而且當事人得知違規事件的消息後，必須在2年內提出求償，否則就會失去求償的權力。

企業若因違反個資造成他人損失時，相關人員也會面臨2年以下的有期徒刑、拘役或併科20萬元以下罰金，若是企業為了營利而違反個資法，相關人員刑期還會加重為5年以下有期徒刑、拘役或併科1百萬元罰金，當事人也可以向各行業主管機關投訴企業違反個資法，主管機關會進一步派人稽查企業法規遵循的情形。若發現企業有違反個資法，限期改善無效後，主管機關會對企業處以行政罰鍰，依違法罰款從2萬～50萬元不等，若企業老闆不能證明自己盡力防止違法事情發生，也要接受同一額度的行政罰鍰，換句話說，企業被罰多少錢，老闆也會被罰多少錢，企業必須自行舉證沒有違反個資法在新版個資法中，企業必須證明自己確實符合法規要求，當企業進行各項遵循個資法的行動時，不論是各種告知義務、爭取當事人同意或回應個人請求等行為，都必須記錄，以作為未來事後舉證之用。

不過，在個資法大幅增加企業保護個資的義務以外，政府也同步規畫了協助企業的配套措施。針對個資法要求企業舉證的要求，經濟部商業司已經規畫了一個隱私權標章制度，這套隱私權標章制度提供了一套驗證機制，可以用來檢驗企業是否符合個資法的隱私權要求，符合者發放合格標章，而且驗證機構還會定期複查企業是否持續執行。當企業直接向顧客蒐集個人資料時，除了法定例外情況外，都必須盡到告知義務，企業必告知當事人，包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利，以及當事人不提供個資時，對其權益的影響等。除了告知方式不限外，「企業若曾對這些現有資料庫的顧客行銷，就不符合個資法第20條規定的首次行銷情況，企業不用再提供拒絕行銷的方式給顧客。」如果企業委託第三方機構向顧客蒐集個資，委託機構所作所為視同企業，所以，企業利用這些委託機構蒐集的個資之前，也必須告知每一位當事人。

現今不少企業擁有的個人資料動輒數十萬、數百萬筆，若每一筆資料都需要告知當事人，多數企業擔心未來必須負擔龐大的告知費用，但法條中並未限制企業採取的告知方式，企業可以透過各種方式告知，電子郵件、簡訊、電話等方式，而且告知不需要對方回應，只要有記錄能事後舉證，證明企業確實有告知即可，但是，若是企業利用個資的目的，已經和當時蒐集的目的不同時，企業就必須符合蒐集要件的規定，除了不受限的情況下，個資法第5條規定，企業只能在特定目的範圍內，才能蒐集和使用個人資料，「特定目的是個資法限制蒐集、限制利用的重要機制，也是主管機關監督管理的制度。」

依據個資法規定蒐集他人個人資料應得到當事人書面同意，因此建議於蒐集他人資料時，以書面方式通知當事人，法條中的書面同意是嚴格的紙本書面同意書的意思，不能使用電子文件或透過電子簽章的同意書，因為電子同意只符合同意的意思，但不是書面同意，若不易取得書面同意，建議企業可以使用另外一項蒐集要件，也就是「契約或類似契約的關係」的要件，這項要件不限形式，只要符合契約的法定規範，透過網頁同意按鈕的使用者條款也可以成立。

經確認資料來源為「已合法公開之個人資料」即可蒐集如：網路上個資若為當事人自行公開之個人資料，則已無保護必要；若非為當事人自行公開者，則可分合法公開與非法公開，未經確認個資合法性者則不得任意蒐集。不過，企業從「一般可得來源，例如網際網路」蒐集來的個人資料，因為無法查證資料是否合法，個資法同樣將這類型為視為合法蒐集，但企業若後來發現這些資料不合法，或者使用者要求企業禁用時，企業就必須刪除或停止使用，如果蒐集目的和使用目的不同時，企業必須重新取得當事人的書面同意，「即使是同一家公司裡的不同單位，只要目的不同，企業都要重新取得書面同意，除非符合其他例外條件，例如另有法律明文規定。」

特別注意的是，臺灣個資法沒有最低資料筆數的限制，不像日本個資法只能管轄5千筆以上的資料。未來法案實施後，臺灣企業只要擁有1筆以上的顧客資料，企業就必須符合個資法的規範。而且也不只是儲存在企業伺服器中的數位資料需要守法，連書寫在任何紙本文件上的個人資料，不論形式或載體，企業所擁有的任何1筆個資都必須遵循個資法的規範。企業為滿足個人請求，勢必得改變流程，而且也不只是儲存在企業伺服器中的數位資料需要守法，連書寫在任何紙本文件上的個人資料，不論形式或載體，企業所擁有的任何1筆個資都必須遵循個資法的規範。企業為滿足個人請求，勢必得改變流程，現在，企業必須回應顧客的請求，甚至得刪除資料庫中的顧客記錄。企業為了日後舉證確實執行顧客的請求，除了要記錄顧客提出的個資請求外，還得記錄執行請求的過程，各種與個資相關的作業流程都會受到影響，必須重新調整作法。不過，企業若是依據其他法律規定而蒐集或使用個資，例如財務資料依法必須保存7年，企業就有權拒絕使用者的刪除要求。「若有其他法律明文規定者，企業運用個資時，可不受個資法的限制。」

個資法訂定了許多企業未來必須遵循的規定，但其中一條特別不同，個資法第54條特別溯及既往，規範了企業在法規實施前擁有的個人資料，企業如果是向當事人取得個資，而且使用上沒有超出當初告知的目的，就不用依據54條規定再次通知當事人。

有鑒於網路無國界加以資訊科技發達，於中華民國領土外蒐集、處理或利用國人個人資料實屬容易，為能有效保護國人個資隱私，避免於中華民國領域外受侵害，新版個資法明訂：公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。意即只要是中華民國的國民個資皆適用個資法。