- PDF 免费下载

Size: px

Start display at page:

Download ""

玳颢纪
9 years ago
Views:

1 個人資料保護法規及參考資料彙編法務部編印中華民國 102 年 8 月

3 例言個人資料保護法 ( 以下簡稱本法 ) 除第 6 條第 54 條外, 其餘條文行政院已指定自 101 年 10 月 1 日起施行, 為落實本法保障人格權免於受侵害並促進個人資料合理利用之二大宗旨, 爰將本法及其相關法規與參考資料, 予以彙編成冊, 以供各界人士參考法務部謹誌 102 年 8 月

5 目錄壹個人資料保護法... 1 貳個人資料保護法修正條文對照表參個人資料保護法施行細則肆個人資料保護法施行細則修正條文對照表伍個人資料保護法及同法施行細則相關條文對照表陸個人資料保護法之特定目的及個人資料之類別柒中央目的事業主管機關依個人資料保護法第二十七條第三項規定訂定辦法之參考事項捌個人資料保護法問答

7 壹個人資料保護法中華民國 99 年 5 月 26 日總統華總一義字第號令修正公布名稱及全文 56 條 ; 施行日期, 由行政院定之, 但現行條文第 19~22 43 條之刪除, 自公布日施行 ( 原名稱 : 電腦處理個人資料保護法 ) 中華民國 101 年 9 月 21 日行政院院臺法字第號令發布除第 6 54 條條文外, 其餘條文定自 101 年 10 月 1 日施行第一章總則第 1 條 ( 立法目的 ) 為規範個人資料之蒐集處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用, 特制定本法第 2 條 ( 用詞定義 ) 本法用詞, 定義如下 : 一個人資料 : 指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料二個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合三蒐集 : 指以任何方式取得個人資料四處理 : 指為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送五利用 : 指將蒐集之個人資料為處理以外之使用六國際傳輸 : 指將個人資料作跨國 ( 境 ) 之處理或利用七公務機關 : 指依法行使公權力之中央或地方機關或行政法人八非公務機關 : 指前款以外之自然人法人或其他團體九當事人 : 指個人資料之本人第 3 條 ( 個人資料當事人之權利 ) 當事人就其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 1

8 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除第 4 條 ( 視同委託機關 ) 受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關第 5 條 ( 蒐集處理及利用之原則 ) 個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯第 6 條 ( 特種個人資料之蒐集處理及利用 ) 有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用但有下列情形之一者, 不在此限 : 一法律明文規定二公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施三當事人自行公開或其他已合法公開之個人資料四公務機關或學術研究機構基於醫療衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集處理或利用之個人資料前項第四款個人資料蒐集處理或利用之範圍程序及其他應遵行事項之辦法, 由中央目的事業主管機關會同法務部定之第 7 條 ( 書面同意 ) 第十五條第二款及第十九條第五款所稱書面同意, 指當事人經蒐集者告知本法所定應告知事項後, 所為允許之書面意思表示第十六條第七款第二十條第一項第六款所稱書面同意, 指當事人經蒐集者明確告知特定目的外之其他利用目的範圍及同意與否對其權益之影響後, 單獨所為之書面意思表示 2

9 第 8 條 ( 直接蒐集個人資料之告知義務 ) 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一公務機關或非公務機關名稱二蒐集之目的三個人資料之類別四個人資料利用之期間地區對象及方式五當事人依第三條規定得行使之權利及方式六當事人得自由選擇提供個人資料時, 不提供將對其權益之影響有下列情形之一者, 得免為前項之告知 : 一依法律規定得免告知二個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要三告知將妨害公務機關執行法定職務四告知將妨害第三人之重大利益五當事人明知應告知之內容第 9 條 ( 間接蒐集個人資料之告知義務 ) 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料, 應於處理或利用前, 向當事人告知個人資料來源及前條第一項第一款至第五款所列事項有下列情形之一者, 得免為前項之告知 : 一有前條第二項所列各款情形之一二當事人自行公開或其他已合法公開之個人資料三不能向當事人或其法定代理人為告知四基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限五大眾傳播業者基於新聞報導之公益目的而蒐集個人資料第一項之告知, 得於首次對當事人為利用時併同為之第 10 條 ( 個人資料之答覆查詢提供閱覽或製給複製本 ) 公務機關或非公務機關應依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本但有下列情形之一者, 不在此限 : 3

10 一妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益二妨害公務機關執行法定職務三妨害該蒐集機關或第三人之重大利益第 11 條 ( 個人資料更正補充刪除停止處理或利用 ) 公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料但因執行職務或業務所必須或經當事人書面同意者, 不在此限違反本法規定蒐集處理或利用個人資料者, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料因可歸責於公務機關或非公務機關之事由, 未為更正或補充之個人資料, 應於更正或補充後, 通知曾提供利用之對象第 12 條 ( 個人資料遭違法侵害之通知 ) 公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人第 13 條 ( 受理當事人請求之處理期間 ) 公務機關或非公務機關受理當事人依第十條規定之請求, 應於十五日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾十五日, 並應將其原因以書面通知請求人公務機關或非公務機關受理當事人依第十一條規定之請求, 應於三十日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾三十日, 並應將其原因以書面通知請求人第 14 條 ( 使用者付費 ) 查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用第二章公務機關對個人資料之蒐集處理及利用 4

11 第 15 條 ( 公務機關蒐集或處理個人資料之要件 ) 公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一執行法定職務必要範圍內二經當事人書面同意三對當事人權益無侵害第 16 條 ( 公務機關利用個人資料之要件 ) 公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為維護國家安全或增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六有利於當事人權益七經當事人書面同意第 17 條 ( 公務機關公開供查閱事項 ) 公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱及聯絡方式三個人資料檔案保有之依據及特定目的四個人資料之類別第 18 條 ( 公務機關個人資料檔案之安全維護 ) 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏第三章非公務機關對個人資料之蒐集處理及利用 5

12 第 19 條 ( 非公務機關蒐集或處理個人資料之要件 ) 非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一法律明文規定二與當事人有契約或類似契約之關係三當事人自行公開或其他已合法公開之個人資料四學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人五經當事人書面同意六與公共利益有關七個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料第 20 條 ( 非公務機關利用個人資料之要件 ) 非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六經當事人書面同意非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 6

13 第 21 條 ( 非公務機關為國際傳輸個人資料之限制 ) 非公務機關為國際傳輸個人資料, 而有下列情形之一者, 中央目的事業主管機關得限制之 : 一涉及國家重大利益二國際條約或協定有特別規定三接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞四以迂迴方法向第三國 ( 地區 ) 傳輸個人資料規避本法第 22 條 ( 行政監督之權責及保密義務 ) 中央目的事業主管機關或直轄市縣 ( 市 ) 政府為執行資料檔案安全維護業務終止資料處理方法國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件, 進入檢查, 並得命相關人員為必要之說明配合措施或提供相關證明資料中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項檢查時, 對於得沒入或可為證據之個人資料或其檔案, 得扣留或複製之對於應扣留或複製之物, 得要求其所有人持有人或保管人提出或交付 ; 無正當理由拒絕提出交付或抗拒扣留或複製者, 得採取對該非公務機關權益損害最少之方法強制為之中央目的事業主管機關或直轄市縣 ( 市 ) 政府為第一項檢查時, 得率同資訊電信或法律等專業人員共同為之對於第一項及第二項之進入檢查或處分, 非公務機關及其相關人員不得規避妨礙或拒絕參與檢查之人員, 因檢查而知悉他人資料者, 負保密義務第 23 條 ( 扣留物或複製物之標示保管及發還 ) 對於前條第二項扣留物或複製物, 應加封緘或其他標識, 並為適當之處置 ; 其不便搬運或保管者, 得命人看守或交由所有人或其他適當之人保管扣留物或複製物已無留存之必要, 或決定不予處罰或未為沒入之裁處者, 應發還之但應沒入或為調查他案應留存者, 不在此限第 24 條 ( 不服聲明異議之救濟 ) 非公務機關物之所有人持有人保管人或利害關係人對前二條之要求強制扣留或複製行為不服者, 得向中央目的事 7

14 業主管機關或直轄市縣 ( 市 ) 政府聲明異議前項聲明異議, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府認為有理由者, 應立即停止或變更其行為 ; 認為無理由者, 得繼續執行經該聲明異議之人請求時, 應將聲明異議之理由製作紀錄交付之對於中央目的事業主管機關或直轄市縣 ( 市 ) 政府前項決定不服者, 僅得於對該案件之實體決定聲明不服時一併聲明之但第一項之人依法不得對該案件之實體決定聲明不服時, 得單獨對第一項之行為逕行提起行政訴訟第 25 條 ( 違反本法規定之處分 ) 非公務機關有違反本法規定之情事者, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府除依本法規定裁處罰鍰外, 並得為下列處分 : 一禁止蒐集處理或利用個人資料二命令刪除經處理之個人資料檔案三沒入或命銷燬違法蒐集之個人資料四公布非公務機關之違法情形, 及其姓名或名稱與負責人中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項處分時, 應於防制違反本法規定情事之必要範圍內, 採取對該非公務機關權益損害最少之方法為之第 26 條 ( 公布檢查結果 ) 中央目的事業主管機關或直轄市縣 ( 市 ) 政府依第二十二條規定檢查後, 未發現有違反本法規定之情事者, 經該非公務機關同意後, 得公布檢查結果第 27 條 ( 非公務機關個人資料檔案之安全維護 ) 非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之第四章損害賠償及團體訴訟 8

15 第 28 條 ( 公務機關違法之損害賠償 ) 公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處分依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元為限但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制第二項請求權, 不得讓與或繼承但以金額賠償之請求權已依契約承諾或已起訴者, 不在此限第 29 條 ( 非公務機關違法之損害賠償 ) 非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證明其無故意或過失者, 不在此限依前項規定請求賠償者, 適用前條第二項至第六項規定第 30 條 ( 損害賠償請求權時效 ) 損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同第 31 條 ( 損害賠償之適用規定 ) 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定第 32 條 ( 團體訴訟要件 ) 依本章規定提起訴訟之財團法人或公益社團法人, 應符合下列要件 : 9

16 一財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人二保護個人資料事項於其章程所定目的範圍內三許可設立三年以上第 33 條 ( 損害賠償訴訟之管轄權 ) 依本法規定對於公務機關提起損害賠償訴訟者, 專屬該機關所在地之地方法院管轄對於非公務機關提起者, 專屬其主事務所主營業所或住所地之地方法院管轄前項非公務機關為自然人, 而其在中華民國現無住所或住所不明者, 以其在中華民國之居所, 視為其住所 ; 無居所或居所不明者, 以其在中華民國最後之住所, 視為其住所 ; 無最後住所者, 專屬中央政府所在地之地方法院管轄第一項非公務機關為自然人以外之法人或其他團體, 而其在中華民國現無主事務所主營業所或主事務所主營業所不明者, 專屬中央政府所在地之地方法院管轄第 34 條 ( 訴訟實施權之授與撤回及裁判費暫免 ) 對於同一原因事實造成多數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者, 得以自己之名義, 提起損害賠償訴訟當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與, 並通知法院前項訴訟, 法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人, 得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權, 由該財團法人或公益社團法人於第一審言詞辯論終結前, 擴張應受判決事項之聲明其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者, 亦得於法院公告曉示之一定期間內起訴, 由法院併案審理其他因同一原因事實受有損害之當事人, 亦得聲請法院為前項之公告前二項公告, 應揭示於法院公告處資訊網路及其他適當處所 ; 法院認為必要時, 並得命登載於公報或新聞紙, 或用其他方法公告之, 其費用由國庫墊付依第一項規定提起訴訟之財團法人或公益社團法人, 其標的價額超過新臺幣六十萬元者, 超過部分暫免徵裁判費 10

17 第 35 條 ( 訴訟程序當然停止及繼續進行 ) 當事人依前條第一項規定撤回訴訟實施權之授與者, 該部分訴訟程序當然停止, 該當事人應即聲明承受訴訟, 法院亦得依職權命該當事人承受訴訟財團法人或公益社團法人依前條規定起訴後, 因部分當事人撤回訴訟實施權之授與, 致其餘部分不足二十人者, 仍得就其餘部分繼續進行訴訟第 36 條 ( 損害賠償請求權時效之分別計算 ) 各當事人於第三十四條第一項及第二項之損害賠償請求權, 其時效應分別計算第 37 條 ( 受授與訴訟實施權者之權限 ) 財團法人或公益社團法人就當事人授與訴訟實施權之事件, 有為一切訴訟行為之權但當事人得限制其為捨棄撤回或和解前項當事人中一人所為之限制, 其效力不及於其他當事人第一項之限制, 應於第三十四條第一項之文書內表明, 或以書狀提出於法院第 38 條 ( 當事人自行提起上訴 ) 當事人對於第三十四條訴訟之判決不服者, 得於財團法人或公益社團法人上訴期間屆滿前, 撤回訴訟實施權之授與, 依法提起上訴財團法人或公益社團法人於收受判決書正本後, 應即將其結果通知當事人, 並應於七日內將是否提起上訴之意旨以書面通知當事人第 39 條 ( 賠償金之交付及請求報酬之禁止 ) 財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償, 扣除訴訟必要費用後, 分別交付授與訴訟實施權之當事人提起第三十四條第一項訴訟之財團法人或公益社團法人, 均不得請求報酬第 40 條 ( 訴訟代理人之委任 ) 依本章規定提起訴訟之財團法人或公益社團法人, 應委任律師代理訴訟 11

18 第五章罰則第 41 條 ( 刑事責任 ( 一 )) 違反第六條第一項第十五條第十六條第十九條第二十條第一項規定, 或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分, 足生損害於他人者, 處二年以下有期徒刑拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者, 處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金第 42 條 ( 刑事責任 ( 二 )) 意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金第 43 條 ( 境外犯罪之適用 ) 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之第 44 條 ( 刑責加重 ) 公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一第 45 條 ( 告訴乃論 ) 本章之罪, 須告訴乃論但犯第四十一條第二項之罪者, 或對公務機關犯第四十二條之罪者, 不在此限第 46 條 ( 重法優於輕法原則 ) 犯本章之罪, 其他法律有較重處罰規定者, 從其規定第 47 條 ( 行政罰 ( 一 )) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 : 一違反第六條第一項規定二違反第十九條規定三違反第二十條第一項規定 12

19 四違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分第 48 條 ( 行政罰 ( 二 )) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 : 一違反第八條或第九條規定二違反第十條第十一條第十二條或第十三條規定三違反第二十條第二項或第三項規定四違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法第 49 條 ( 行政罰 ( 三 )) 非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰第 50 條 ( 非公務機關有代表權人之併同處罰 ) 非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰第六章附則第 51 條 ( 不適用本法之情形 ) 有下列情形之一者, 不適用本法規定 : 一自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料二於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料公務機關及非公務機關, 在中華民國領域外對中華民國人民個人資料蒐集處理或利用者, 亦適用本法第 52 條 ( 行政監督權限之委任委託 ) 第二十二條至第二十六條規定由中央目的事業主管機關或直轄市縣 ( 市 ) 政府執行之權限, 得委任所屬機關委託其他機關或公益團體辦理 ; 其成員因執行委任或委託事務所知悉之資訊 13

20 , 負保密義務前項之公益團體, 不得依第三十四條第一項規定接受當事人授與訴訟實施權, 以自己之名義提起損害賠償訴訟第 53 條 ( 特定目的及個人資料類別 ) 本法所定特定目的及個人資料類別, 由法務部會同中央目的事業主管機關指定之第 54 條 ( 本法修正施行前間接蒐集個人資料之告知義務 ) 本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處第 55 條 ( 施行細則 ) 本法施行細則, 由法務部定之第 56 條 ( 施行日期 ) 本法施行日期, 由行政院定之現行條文第十九條至第二十二條及第四十三條之刪除, 自公布日施行前項公布日於現行條文第四十三條第二項指定之事業團體或個人應於指定之日起六個月內辦理登記或許可之期間內者, 該指定之事業團體或個人得申請終止辦理, 目的事業主管機關於終止辦理時, 應退還已繳規費已辦理完成者, 亦得申請退費前項退費, 應自繳費義務人繳納之日起, 至目的事業主管機關終止辦理之日止, 按退費額, 依繳費之日郵政儲金之一年期定期存款利率, 按日加計利息, 一併退還已辦理完成者, 其退費, 應自繳費義務人繳納之日起, 至目的事業主管機關核准申請之日止, 亦同 14

21 貳個人資料保護法修正條文對照表中華民國 99 年 5 月 26 日總統華總一義字第號令修正公布通過條文現行法說明名稱 : 個人資料保護法名稱 : 電腦處理個人資料保護法第一章總則第一章總則章名未修正第一條為規範個人資料之蒐集處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用, 特制定本法刪除第一條為規範電腦處理個人資料, 以避免人格權受侵害, 並促進個人資料之合理利用, 特制定本法第二條個人資料之保護, 依本法之規定但其他法律另有規定者, 依其規定 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 為貫徹對個人資料之保護, 本法保護客體, 不再以經電腦處理之個人資料為限, 爰將本法名稱修正為個人資料保護法鑒於本法保護客體不再限於經電腦處理之個人資料, 且本法規範行為除個人資料之處理外, 將擴及至包括蒐集及利用行為, 爰將本條修正為為規範個人資料之蒐集處理及利用, 以資明確一本條刪除二按中央法規標準法第十六條第一項前段規定 : 法規對其他法規所規定之同一事項而為特別之規定者, 應優先適用之本法之性質應為普通法, 其他特別法有關個人資料蒐集或利用之規定, 依特別法優於普通法之法理, 自應優先適用各該特別規定惟若無特別規定, 當然仍應適用本法, 毋庸贅述且本法修正草案亦有相關例外條款包含法律明文規定, 足資適用, 例如 : 第六條第一款第十六條第一款第十九條第一款或第二 15

22 通過條文現行法說明第二條本法用詞, 定義如下 : 一個人資料 : 指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料二個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合三蒐集 : 指以任何方式取得個第三條本法用詞定義如左 : 一個人資料 : 指自然人之姓名出生年月日身分證統一編號特徵指紋婚姻家庭教育職業健康病歷財務情況社會活動及其他足資識別該個人之資料二個人資料檔案 : 指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合三電腦處理 : 指使用電腦或自動化機器為資料之輸入儲存編輯更正檢索刪除輸出傳遞或其他處理 16 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 十條第一項第一款規定是以, 為避免所謂特別規定令人誤解為全面排除本法適用, 爰刪除本條規定一條次變更二將序文如左修正為如下, 以符合法制用語三本法所保障之法益為人格權, 惟個人資料種類繁多, 第一款關於個人資料之定義, 除現行條文例示之日常生活中經常被蒐集處理及利用之個人資料外, 另增加護照號碼醫療基因性生活健康檢查犯罪前科聯絡方式等個人資料, 以補充說明個人資料之性質此外, 因社會態樣複雜, 有些資料雖未直接指名道姓, 但一經揭露仍足以識別為某一特定人, 對個人隱私仍會造成侵害, 爰參考一九九五年歐盟資料保護指令 (95/46/EC) 第二條日本個人資訊保護法第二條, 將其他足資識別該個人之資料修正為其他得以直接或間接方式識別該個人之資料, 以期周全四為配合本法將非經電腦處理之個人資料納入規範之修正意旨, 爰修正第二款關於個人資料檔案之定義五由於蒐集個人資料之行為態樣繁多, 有直接向當事人

23 通過條文現行法說明人資料四處理 : 指為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送五利用 : 指將蒐集之個人資料為處理以外之使用六國際傳輸 : 指將個人資料作跨國 ( 境 ) 之處理或利用七公務機關 : 指依法行使公權力之中央或地方機關或行政法人八非公務機關 : 指前款以外之自然人法人或其他團體九當事人 : 指個人資料之本人四蒐集 : 指為建立個人資料檔案而取得個人資料五利用 : 指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人六公務機關 : 指依法行使公權力之中央或地方機關七非公務機關 : 指前款以外之左列事業團體或個人 : ( 一 ) 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人 ( 二 ) 醫院學校電信業金融業證券業保險業及大眾傳播業 ( 三 ) 其他經法務部會同中央目的事業主管機關指定之事業團體或個人 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 蒐集者 ; 有間接從第三人取得者, 為落實保護個人資料隱私權益, 爰參考德國聯邦個人資料保護法第三條規定, 修正第四款蒐集之定義六配合本法保護客體放寬之修正意旨, 爰將現行條文第三款電腦處理中電腦二字刪除, 並將款次移列至第四款另現行條文電腦處理之定義包括資料之傳遞, 易遭誤解為傳遞給外部之第三人, 而與利用行為發生混淆爰將傳遞修正為內部傳送, 以資明確七現行條文第五款對於利用之定義, 係將保有之個人資料檔案為內部使用或提供當事人以外之第三人惟直接對當事人本人使用其個人資料 ( 如對當事人從事行銷行為 ), 是否屬本法所稱之利用行為, 滋生疑義準此, 爰參考德國聯邦個人資料保護法第一條規定, 並將文字予以精簡, 修正利用之定義八現行條文第九條第二十四條規定之國際傳遞究屬機關內部之資料傳送? 抑或為提供當事人以外第三人之利用? 易滋生疑義爰將各該條規定之國 17

24 通過條文現行法說明八當事人 : 指個人資料之本人九特定目的 : 指由法務部會同中央目的事業主管機關定之者第三條當事人就其第四條當事人就其 18 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 際傳遞一語修正為國際傳輸, 並增訂第六款國際傳輸定義規定不論是機關內部之資料傳送 ( 屬資料處理 ), 例如 : 總公司將資料傳送給分公司公務機關將資料傳送給國外辦事處等 ; 或將資料提供當事人以外第三人 ( 屬資料利用 ), 例如 : 母公司將資料提供給子公司或他公司公務機關將資料傳送給他公務機關, 只要該資料作跨國 ( 境 ) 之傳輸, 不論是屬處理或利用行為, 皆屬本法所稱之國際傳輸九由於執行公務爾後將不限中央或地方機關, 行政法人之組織型態亦將成為其中之一, 爰將現行條文第六款公務機關之定義, 納入行政法人, 以期周全, 並改列款次為第七款十為配合本法放寬規範主體之修正意旨, 爰修正現行條文第七款非公務機關之定義, 並改列款次為第八款十一本條係定義規定, 而特定目的及資料類別之指定, 並非屬定義事項, 爰將現行條文第九款之特定目的及現行條文第十條第二項之資料類別予以合併規定, 並移列至第六章附則第五十三條規定一條次變更

25 通過條文現行法說明個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除第四條受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關第五條個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯個人資料依本法規定行使之左列權利, 不得預先拋棄或以特約限制之 : 一查詢及請求閱覽二請求製給複製本三請求補充或更正四請求停止電腦處理及利用五請求刪除第五條受公務機關或非公務機關委託處理資料之團體或個人, 於本法適用範圍內, 其處理資料之人, 視同委託機關之人第六條個人資料之蒐集或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍 19 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 二將序文所定左列修正為下列, 以符合法制用語三當事人查詢其個人資料與請求閱覽得分別為之, 是以將第一款之及字, 修正為或字四配合第二條第四款處理之定義規定, 爰將第四款電腦處理中電腦二字予以刪除, 並將蒐集亦列為得請求停止之事項, 另及利用修正為或利用, 以資明確一條次變更二受公務機關或非公務機關委託之事項, 並不只限於處理資料, 蒐集或利用資料均有可能, 爰將委託處理修正為委託蒐集處理或利用另為期簡潔明確, 將現行條文之資料修正為個人資料 ; 團體或個人, 修正為者 ; 委託機關之人, 修正為委託機關一條次變更二將個人資料之處理行為, 亦納入本條之適用範圍, 以期周延三為避免資料蒐集者巧立名目或理由, 任意的蒐集處理或利用個人資料, 爰明定個人資料之蒐集處理或利用, 應與蒐集之目的有正當

26 通過條文現行法說明第六條有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用但有下列情形之一者, 不在此限 : 一法律明文規定二公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施三當事人自行公開或其他已合法公開之個人資料四公務機關或學術研究機構基於醫療衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集處理或利用之個人資料前項第四款個人資料蒐集處理 20 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 合理之關聯, 不得與其他目的作不當之聯結一本條新增二按個人資料中有部分資料性質較為特殊或具敏感性, 如任意蒐集處理或利用, 恐會造成社會不安或對當事人造成難以彌補之傷害是以, 一九九五年歐盟資料保護指令 (95/46/EC) 德國聯邦個人資料保護法第十三條及奧地利聯邦個人資料保護法等外國立法例, 均有特種 ( 敏感 ) 資料不得任意蒐集處理或利用之規定經審酌我國國情與民眾之認知, 爰規定有關醫療基因性生活健康檢查及犯罪前科等五類個人資料, 其蒐集處理或利用應較一般個人資料更為嚴格, 須符合所列要件, 始得為之, 以加強保護個人之隱私權益又所稱性生活包括性取向等相關事項, 併予敘明三有關醫療基因性生活健康檢查及犯罪前科等五類個人資料, 原則上不得任意蒐集處理或利用, 惟如有法律明文規定者, 自不在此限, 爰為第一款之規定四蒐集處理或利用前述之特種資料, 係屬公務機關執行法定職務或非公務機關履行法定義務, 例如 : 檢警機

27 通過條文現行法說明或利用之範圍程序及其他應遵行事項之辦法, 由中央目的事業主管機關會同法務部定之 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 關偵辦犯罪, 蒐集或利用涉嫌人之犯罪前科資料 ; 醫生發現疑似法定傳染病, 蒐集相關醫療資料通報主管機關等, 公務機關或非公務機關自得依法為之, 且依相關法令規定提供適當安全維護措施, 爰仿一九九五年歐盟資料保護指令第八條 (95/46/EC) 及德國聯邦個人資料保護法第二十八條等外國立法例, 而為第二款之規定五當事人已自行公開或其他合法公開之個人資料, 隱私已無被侵害之虞, 爰為第三款之規定六基於統計或學術研究之目的, 經常會蒐集處理或利用前述之特種資料, 惟為避免寬濫, 並加強保護特種或敏感個人資料, 特規定適用本款限於為基於醫療衛生或犯罪預防等特定目的, 且於統計或學術研究而有必要之範圍內, 並經一定程序而為蒐集處理或利用之個人資料, 始得蒐集處理或利用, 爰為第四款之規定七為確保依本條第一項第四款規定所為因醫療衛生或犯罪預防等目的而提供之個人資料, 其提供者在合法必要範圍內提供, 而蒐集者所蒐集之個人資料能獲得適當之安全維護, 特種資料之提 21

28 通過條文現行法說明第七條第十五條第二款及第十九條第五款所稱書面同意, 指當事人經蒐集者告知本法所定應告知事項後, 所為允許之書面意思表示第十六條第七款第二十條第一項第六款所稱書面同意, 指當事人經蒐集者明確告知特定目的外之其他利用目的範圍及同意與否對其權益之影響後, 單獨所為之書面意思表示 22 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 供者於其利用前, 應特別審酌資料之提供範圍, 以及提供時應經一定程序為之由於前開範圍程序及其他應遵行事項, 涉及個人資料是否經匿名化處理或依其揭露方式無從識別特定當事人, 或者是否應得當事人明示之書面同意等之慎重考量, 故授權由法務部會同特種資料之中央目的事業主管機關訂定相關特種資料蒐集處理或利用之範圍程序及其他應遵行事項之辦法, 以保障當事人之特種個人資料, 爰為第二項規定一本條新增二本法第十五條第二款及第十九條第五款所定經當事人書面同意, 係資料蒐集者合法蒐集處理或利用個人資料要件之一書面同意既對當事人之權益有重大影響, 自應經明確告知應告知之事項, 使當事人充分瞭解後審慎為之, 爰增訂第一項規定三本法第十六條第七款第二十條第一項第六款所定經當事人書面同意, 係當事人同意資料蒐集者, 將其個人資料作與蒐集目的不同之其他目的使用, 因不符原先蒐集資料之特定目的, 該書面同意自應特別審慎, 除

29 通過條文現行法說明第八條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一公務機關或非公務機關名稱二蒐集之目的三個人資料之類別四個人資料利用之期間地區對象及方式 23 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 應特別明確告知該其他利用目的為何及其利用範圍外, 同時亦應讓當事人明瞭, 特定目的外利用之同意與否, 對其權益是否會發生任何影響另為避免該特定目的外利用個人資料之同意與其他事項作不當聯結, 或被列入定型化契約之約定條款中被概括同意, 而不利於當事人, 特規定關於特定目的外利用其個人資料之書面同意, 應獨立作書面意思表示, 以保護當事人之權益, 爰增訂第二項規定四參考一九九五年歐盟資料保護指令 (95/46/EC) 第二條 h 款德國聯邦個人資料保護法第四 a 條等一本條新增二個人資料之蒐集, 事涉當事人之隱私權益為使當事人明知其個人資料被何人蒐集及其資料類別蒐集目的等, 爰於第一項規定蒐集時應告知當事人之事項, 俾使當事人能知悉其個人資料被他人蒐集之情形三原則上向當事人蒐集個人資料時, 應告知當事人第一項所列事項, 惟在部分特別情形下, 或已有法律規定, 或當事人已明知, 履行第一項告知義務恐有礙職務之執行或無必要, 爰於第二項規

30 通過條文現行法說明五當事人依第三條規定得行使之權利及方式六當事人得自由選擇提供個人資料時, 不提供將對其權益之影響有下列情形之一者, 得免為前項之告知 : 一依法律規定得免告知二個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要三告知將妨害公務機關執行法定職務四告知將妨害第三人之重大利益五當事人明知應告知之內容 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 定得免告知之情形, 其各款修正理由如次 : ( 一 ) 法律規定得免告知者, 自毋庸再告知當事人第一項所列事項, 爰為第一款之規定 ( 二 ) 資料之蒐集係公務機關執行其法定職務, 例如 : 稅捐機關蒐集民眾收入所得資料 ; 戶政機關蒐集民眾戶籍相關資料等, 或非公務機關履行法律規定之義務, 例如 : 醫生發現疑似法定傳染病患者, 應報告主管機關 ( 傳染病防治法第二十九條 ); 各投保單位應備置蒐集僱用員工或會員名冊 ( 勞工保險條例第十條第一項 ); 金融機構對於達一定金額以上之通貨交易, 應確認客戶身分及留存交易紀錄憑證 ( 洗錢防制法第七條 ) 等, 為提高行政效率, 或避免執行上發生困擾, 爰為第二款之規定 ( 三 ) 蒐集個人資料雖非屬公務機關之法定職掌, 但公務機關執行其法定職務時, 往往會涉及蒐集民眾之個人資料, 例如 : 警察執行臨檢勤務 ; 檢察機關偵辦刑事案件 ; 行政執行機關辦理強制執行等, 如依第一項規定告知當事人將發生妨害公務之執行時, 自不宜告知當事人, 爰為第三款之規定 ( 四 ) 履行第一項告知義務, 如將 24

31 通過條文現行法說明第九條公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料, 應於處理或利用前, 向當事人告知個人資料來源及前條 25 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 妨害第三人之重大利益時, 自得免為告知, 爰為第四款之規定 ( 五 ) 第一項規定之告知義務, 其意旨在於讓當事人能充分瞭解資料蒐集之目的及用途如當事人已明知應告知之內容者, 自無必要再重複告知, 爰為第五款之規定四如當事人不認同蒐集機關適用本條第二項之規定而免為告知時, 仍得依本法第三條規定請求查詢或閱覽 ; 被請求之蒐集機關則應依第十三條規定辦理當事人亦得以其蒐集不合法為由, 請求補為告知, 或依第十一條第四項規定, 請求蒐集機關刪除停止處理或利用該個人資料, 併予敘明五參考一九九五年歐盟資料保護指令 (95/46/EC) 第十條第十三條德國聯邦個人資料保護法第三十三條奧地利聯邦個人資料保護法第二十四條日本個人資訊保護法第十八條等一本條新增二蒐集個人資料除向當事人直接蒐集外, 亦得自第三人取得之, 此等間接蒐集個人資料, 尤需告知當事人資料來源及其相關事項, 俾使當事人明瞭其個人資料被蒐集情形, 並得以判斷提供該個

32 通過條文現行法說明第一項第一款至第五款所列事項有下列情形之一者, 得免為前項之告知 : 一有前條第二項所列各款情形之一二當事人自行公開或其他已合法公開之個人資料三不能向當事人或其法定代理人為告知四基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限五大眾傳播業者基於新聞報導之公益目的而蒐集個人資料第一項之告知, 得於首次對當事人為利用時併同為之 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 人資料之來源是否合法, 並及早採取救濟措施, 避免其個人資料遭不法濫用而損害其權益是以, 第一項明定間接蒐集個人資料者 ( 因屬間接蒐集, 自無從於蒐集時併為告知 ), 應於該資料處理或利用前, 告知當事人資料來源及前條第一項第一款至第五款所列事項 ( 第六款情形係屬當事人直接提供資料, 於間接蒐集行為, 無從適用 ) 三間接蒐集當事人之個人資料時, 原則上應於處理該資料或利用前, 告知當事人第一項所列事項惟在部分特別情況下, 告知恐有不宜或無必要, 爰於第二項規定間接蒐集得免告知當事人之情形, 其各款立法理由如次 : ( 一 ) 第一款規定於直接蒐集個人資料時, 得免告知義務, 在間接蒐集時, 亦得免為告知, 理由詳如前條說明 ( 二 ) 間接蒐集之個人資料, 如係當事人自行公開揭露或其他合法公開之資料, 對其隱私權應無侵害之虞, 自得免為告知, 爰為第二款之規定 ( 三 ) 為保護當事人之權益, 第一項規定間接蒐集個人資料時, 應告知當事人相關事項惟客觀上顯然不能向當事人告知時, 例如 : 當事人失蹤不知去向昏迷不醒, 亦無 26

33 通過條文現行法說明 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 法得知其法定代理人為何人時, 自無從告知另基於各款項內容之體系性安排, 爰移列為第三款規定 ( 四 ) 基於統計或學術研究目的, 經常會以間接蒐集方式蒐集個人資料, 如依其統計或研究計畫, 當事人資料經過匿名化處理, 或其公布揭露方式無從再識別特定當事人者, 應無侵害個人隱私權益之虞, 應可免除告知當事人之義務另為避免以特定身分作為排除告知義務之規範對象, 刪除原修正條文學術研究機構等文字, 以符合基於公共利益為統計或學術研究之目的而有必要, 且該資料須經處理後或依其揭露方式, 無從識別特定當事人之客觀要件作為判斷依據, 爰為第四款之規定 ( 五 ) 大眾傳播業者基於報導新聞之目的, 經常以間接方式蒐集特定人之個人資料, 如需依第一項規定告知當事人資料來源等相關事項, 恐會造成新聞報導之困擾另揆諸一九九五年歐盟資料保護指令 (95/46/EC) 及部分外國立法例, 亦有將新聞業者低度或排除適用之規定又依中華民國報業道德規範之宗旨, 自由報業為自由社會之重要支柱, 其主要責任在提高國 27

34 通過條文現行法說明 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 民生活水準, 服務民主政治, 保障人民權利, 增進公共利益與維護世界和平 ; 新聞自由為自由報業之靈魂, 惟報紙新聞和意見之傳播速度太快, 影響太廣, 故應慎重運用此項權利準此, 新聞報導之目的應與上開宗旨相契合, 以促進公共利益為其最終目的是以, 為尊重新聞自由及增進公共利益, 爰為第五款規定四如當事人不認同蒐集機關適用本條第二項之規定而免為告知時, 得依本法第三條規定請求查詢或閱覽, 被請求之蒐集機關則應依第十三條規定辦理當事人亦得以其蒐集不合法為由, 請求補為告知, 或依第十一條第四項規定, 請求蒐集機關刪除停止處理或利用該個人資料, 併予敘明五在間接蒐集個人資料之情形, 原則上應於處理或利用前, 向當事人告知個人資料來源等事項, 但如能於首次對當事人為利用時 ( 例如 : 對當事人進行商品行銷 ), 併同告知, 不但能提高效率, 亦可減少勞費, 且無損於當事人之權益, 爰為第三項規定六參考一九九五年歐盟資料保護指令 (95/46/EC) 第九條 28

35 通過條文現行法說明第十條公務機關或非公務機關應依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本但有下列情形之一者, 不在此限 : 一妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益二妨害公務機關執行法定職務三妨害該蒐集機關或第三人之重大利益第十二條公務機關應依當事人之請求, 就其保有之個人資料檔案, 答覆查詢提供閱覽或製給複製本但有左列情形之一者, 不在此限 : 一依前條不予公告者二有妨害公務執行之虞者三有妨害第三人之重大利益之虞者 29 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 第十一條第十三條德國聯邦個人資料保護法第十九 a 條奧地利聯邦個人資料保護法第二十四條日本個人資訊保護法第五十條等一條次變更二當事人得請求答覆查詢提供閱覽或製給複製本之對象, 不限於向公務機關, 亦應包括非公務機關為期明確, 爰將現行條文第二十六條第一項非公務機關準用本條之規定, 予以刪除, 並將公務機關修正為公務機關或非公務機關另保有之個人資料檔案亦修正為蒐集之個人資料, 以期適用明確, 其各款修正理由如次 : ( 一 ) 依第三條規定, 當事人就其個人資料有查詢或請求閱覽及製給複製本等權利, 且不得預先拋棄或以特約限制本此意旨, 公務機關或非公務機關自應盡量依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本 ; 為確保當事人之權利, 爰將第一款修正限縮為限於妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益者, 始得拒絕 ( 二 ) 現行條文第二款及第三款規定之有之虞屬不確

36 通過條文現行法說明第十一條公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料但因執行職務第十三條公務機關應維護個人資料之正確, 並應依職權或當事人之請求適時更正或補充之個人資料正確性有爭議者, 公務機關應依職權或當事人之請求停止電腦處理及利用但因執行職務所必需並註明其爭議或經當事人書面同意者, 不在此限個人資料電腦處理之特定目的消失或期限屆滿時, 公務機關應依職權或當事人之請求, 刪除或停止電腦處理及利用該資料但因執行職務所必 30 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 定法律概念, 為免適用上發生疑義, 爰刪除之虞二字另第二款之妨害公務執行, 應限於妨害公務機關法定職務之執行, 爰併予修正 ( 三 ) 有些特殊性質資料, 如提供當事人查詢閱覽或製給複製本時, 恐會洩漏資料蒐集者之業務秘密或妨害其重大利益為此, 第三款爰增加該蒐集機關之要件, 以期周全一條次變更二第一項修正理由如次 : ( 一 ) 本條規定並非僅限於公務機關有其適用, 非公務機關亦包括之為期明確, 爰將現行條文第二十六條第一項非公務機關準用本條之規定, 予以刪除, 並將公務機關修正為公務機關或非公務機關 ( 二 ) 資料蒐集機關發現資料正確性有誤, 應主動予以更正或補充, 爰修正本項及第二項三按本法並無准許變更特定目的之規定, 且現行條文第二十條業經刪除, 已無需申請變更登記事項之規定, 爰刪除第三項但書或經依本法規定變更目的等字四現行條文僅規定蒐集機關應維護個人資料之正確, 對

37 通過條文現行法說明或業務所必須或經當事人書面同意者, 不在此限違反本法規定蒐集處理或利用個人資料者, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料因可歸責於公務機關或非公務機關之事由, 未為更正或補充之個人資料, 應於更正或補充後, 通知曾提供利用之對象第十二條公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人需或經依本法規定變更目的或經當事人書面同意者, 不在此限 31 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 於如何處理違法蒐集處理或利用之個人資料, 卻漏未規定, 爰增訂第四項, 明定對於違法蒐集處理或利用之個人資料, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料, 以加強保護當事人之權益五不正確之個人資料將對當事人權益有嚴重影響, 而個人資料因未更正或補充致使不正確時, 如係可歸責於該蒐集機關之事由, 自應課以該蒐集機關於更正或補充個人資料後, 通知曾提供利用該資料之對象, 以使該不正確之資料能即時更新, 避免當事人權益受損, 爰增訂第五項一本條新增二按當事人之個人資料遭受違法侵害, 往往無法得知, 致不能提起救濟或請求損害賠償, 爰規定公務機關或非公務機關所蒐集之個人資料被竊取洩漏竄改或遭其他方式之侵害時, 應立即查明事實, 以適當方式 ( 例如 : 人數不多者, 得以電話信函方式通知 ; 人數眾多者, 得以公告請當事人上網或電話查詢等 ), 迅速通知當事人, 讓其知曉三公務機關違反本條規定而

38 通過條文現行法說明第十三條公務機關或非公務機關受理當事人依第十條規定之請求, 應於十五日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾十五日, 並應將其原因以書面通知請求人公務機關或非公務機關受理當事人依第十一條規定之請求, 應於三十日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾三十日, 並應將其原因以書面通知請求人第十五條公務機關受理當事人依本法規定之請求, 應於三十日內處理之其未能於該期間內處理者, 應將其原因以書面通知請求人 32 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 隱匿不為通知者, 其上級機關應查明後令其改正, 如有失職人員, 得依法懲處 ; 非公務機關違反本條規定而隱匿不為通知者, 其主管機關得依第四十八條第二款規定限期改正, 屆期仍不改正者, 得按次處以行政罰鍰, 併予敘明一條次變更二第一項修正理由如次 : ( 一 ) 本條規定並非僅限於公務機關有其適用, 非公務機關亦包括之為期明確, 爰將現行條文第二十六條第一項非公務機關準用本條之規定, 予以刪除, 並將公務機關修正為公務機關或非公務機關 ( 二 ) 當事人依第十條規定, 請求查詢閱覽其個人資料或製給複製本時, 資料蒐集機關應儘速處理現行條文規定需在三十日內處理, 似嫌過長, 對當事人不利, 是以將准駁決定之期間, 由三十日修正為十五日另個人資料種類及數量繁多, 如申請人數眾多, 十五日恐不及辦理, 是以另規定必要時得予延長, 但不得逾十五日, 且應將延長原因以書面通知請求人, 讓其知曉三當事人依第十一條規定, 請求更正補充, 或請求刪

39 通過條文現行法說明第十四條查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用第十六條查詢或請求閱覽個人資料或製給複製本者, 公務機關得酌收費用前項費用數額由各機關定之 33 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 除停止蒐集處理或利用其個人資料, 因需較多時間查證該資料之正確性或其請求是否合理, 十五日內恐無法處理完畢, 爰增訂第二項, 將此種情形之准駁決定期間, 規定為三十日, 必要時得予延長, 但不得逾三十日, 且應將延長原因以書面通知請求人四當事人向公務機關或非公務機關請求查詢閱覽製給複製本, 或請求更正補充刪除停止蒐集處理或利用其個人資料, 遭駁回拒絕或未於規定期間內決定時, 得依相關法律提起訴願或訴訟, 自不待言一條次變更二本條規定並非僅限於公務機關有其適用, 非公務機關亦包括之為期明確, 爰將現行條文第二十六條第一項非公務機關準用本條之規定, 予以刪除, 並將公務機關修正為公務機關或非公務機關三由於資料種類及蒐集處理方式繁多, 關於查詢請求閱覽個人資料或製給複製本之費用, 宜由各蒐集處理機關視該資料之性質酌予收取為妥, 不宜由各機關或中央目的事業主管機關訂定, 爰刪除第二項及現行條文第

40 通過條文現行法說明第二章公務機關對個人資料之蒐集處理及利用第十五條公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一執行法定職務必要範圍內二經當事人書面同意三對當事人權益無侵害第十六條公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情第二章公務機關之資料處理第七條公務機關對個人資料之蒐集或電腦處理, 非有特定目的, 並符合左列情形之一者, 不得為之 : 一於法令規定職掌必要範圍內者二經當事人書面同意者三對當事人權益無侵害之虞者第八條公務機關對個人資料之利用, 應於法令職掌必要範圍內為之, 並與蒐集之特定目的相符但有左列情形之一者, 得為特定目的外之利用 : 34 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 二十六條第二項規定, 並明定收取之費用以必要成本費用為限本章規範公務機關對個人資料之蒐集處理及利用, 並非僅規範資料之處理, 爰將章名予以修正, 以資明確一條次變更二第一項文字略作修正, 以求語意明確順暢另將左列修正為下列, 以符合法制用語又本條僅適用在一般個人資料, 特種資料之蒐集或處理, 仍應依本法第六條規定為之三公務機關蒐集或處理個人資料, 對當事人權益影響頗大, 自應明確規定執行法定職務且在必要範圍內, 始得為之爰將第一款法令規定職掌修正為執行法定職務, 以資明確四第三款之虞二字, 屬不確定法律概念本條係公務機關蒐集或處理個人資料之要件規定, 應力求明確, 爰將之虞二字刪除一條次變更二法令職掌修正為執行法定職務, 修正理由同前條理由三又本條僅適用在一般個人資料, 特種資料之蒐集或處理, 仍應依本法第六條規定為之三將左列修正為下列

41 通過條文現行法說明形之一者, 得為特定目的外之利用 : 一法律明文規定二為維護國家安全或增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六有利於當事人權益七經當事人書面同意一法令明文規定者二有正當理由而僅供內部使用者三為維護國家安全者四為增進公共利益者五為免除當事人之生命身體自由或財產上之急迫危險者六為防止他人權益之重大危害而有必要者七為學術研究而有必要且無害於當事人之重大利益者八有利於當事人權益者九當事人書面同意者 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ), 以符合法制用語四特定目的外利用個人資料, 對當事人隱私權益影響甚大, 自應以法律規定為必要, 爰將第一款法令修正為法律五現行條文第二款有正當理由而僅供內部使用者已涵蓋於執行法定職務內, 且符合蒐集之特定目的中, 無贅引之必要, 爰予刪除六現行條文第三款及第四款合併修正, 款次變更為第二款, 以期簡潔七現行條文第五款急迫二字, 適用上易生疑義, 為明確計, 爰予刪除, 款次並移列為第三款八現行條文第六款之而有必要四字, 在認定上不甚明確, 爰予刪除, 款次移列為第四款九為促進資料合理利用, 以統計或學術研究為目的, 應得准許特定目的外利用個人資料, 惟為避免寬濫, 爰限制公務機關或學術研究機構基於公共利益且有必要, 始得為之另該用於統計或學術研究之個人資料, 經提供者處理後或蒐集者依其揭露方式, 應無從再識別特定當事人, 始足保障當事人之權益, 爰將現行條文第七款予 35

42 通過條文現行法說明刪除第十七條公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱及聯絡方式三個人資料檔案保有之依據及特定目的四個人資料之類別第九條公務機關對個人資料之國際傳遞及利用, 應依相關法令為之第十條公務機關保有個人資料檔案者, 應在政府公報或以其他適當方式公告左列事項 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱三個人資料檔案利用機關名稱四個人資料檔案保有之依據及特定目的五個人資料之類別六個人資料之範圍七個人資料之蒐集方法八個人資料通常傳遞之處所及收受者 36 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 以修正, 款次移列為第五款十現行條文第八款及第九款, 移列為第六款及第七款一本條刪除二公務機關執行法定職務, 將個人資料作跨國 ( 境 ) 之處理或利用, 原本即應依相關法規辦理, 在此應毋庸另作規定, 爰予刪除一條次變更二鑑於目前國人使用網際網路極為普遍, 因此公務機關依現行條文規定應公告事項, 如能張貼公開於機關電腦網站, 將更有利於民眾查閱, 惟慮及城鄉差距及電腦使用普及率等等因素, 仍保留其他供公眾查閱之適當方式, 例如 : 刊登政府公報等三為便利人民行使第三條所列權利, 爰於第二款後段增列及聯絡方式五字四為求行政程序之簡便, 爰刪除第三款第六款至第十款等無公開必要之款次 ; 現行條文第四款及第五款依序移列為第三款及第四款五現行條文第二項有關個人資料類別之訂定, 已於本法第五十三條規定, 爰予刪除

43 通過條文現行法說明刪除九國際傳遞個人資料之直接收受者十受理查詢更正或閱覽等申請之機關名稱及地址前項第五款之個人資料之類別, 由法務部會同中央目的事業主管機關定之第十一條左列各款之個人資料檔案, 得不適用前條規定 : 一關於國家安全外交及軍事機密整體經濟利益或其他國家重大利益者二關於司法院大法官審理案件公務員懲戒委員會審議懲戒案件及法院調查審理裁判執行或處理非訟事件業務事項者三關於犯罪預防刑事偵查執行矯正或保護處分或更生保護事務者四關於行政罰及其強制執行事務者 37 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條刪除二公務機關保有之個人資料檔案, 因其性質特殊而不宜公開其檔案名稱者, 應依政府資訊公開法或相關法律規定予以限制公開, 不宜於本法中訂定得不適用前條有關公開之規定, 爰將本條予以刪除

44 通過條文現行法說明刪除五關於入出境管理安全檢查或難民查證事務者六關於稅捐稽徵事務者七關於公務機關之人事勤務薪給衛生福利或其相關事項者八專供試驗性電腦處理者九將於公報公告前刪除者十為公務上之連繫, 僅記錄當事人之姓名住所金錢與物品往來等必要事項者十一公務機關之人員專為執行個人職務, 於機關內部使用而單獨作成者十二其他法律特別規定者第十四條公務機關應備置簿冊, 登載第十條第一項所列公告事項, 並供查閱 38 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條刪除二由於現行條文第十條第一項所列公告事項, 均已規定須公開於機關電腦網站, 或以其他適當方式供公眾查詢, 毋庸再另行備置簿冊, 增加行政負擔, 爰將本條刪除

45 通過條文現行法說明第十八條公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏第三章非公務機關對個人資料之蒐集處理及利用第十九條非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一法律明文規定二與當事人有契約或類似契約之關係三當事人自行公開或其他已合法公開之個人資料四學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其第十七條公務機關保有個人資料檔案者, 應指定專人依相關法令辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏第三章非公務機關之資料處理第十八條非公務機關對個人資料之蒐集或電腦處理, 非有特定目的, 並符合左列情形之一者, 不得為之 : 一經當事人書面同意者二與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者三已公開之資料且無害於當事人之重大利益者四為學術研究而有必要且無害於當事人之重大利益者五依本法第三條第七款第二目 39 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一條次變更二現行條文之依相關法令應屬贅言, 爰予刪除本章規範非公務機關對個人資料之蒐集處理及利用, 並非僅規範資料之處理, 爰將章名予以修正, 以資明確一條次變更二第一項文字略作修正, 以求語意明確順暢另將左列修正為下列, 以符合法制用語又本條僅適用在一般個人資料, 特種資料之蒐集或處理, 仍應依本法第六條規定為之三本次修正適用主體有關非公務機關部分, 已取消行業別之限制, 爰將現行條文第五款前段刪除, 並將後段酌作文字修正為法律明文規定, 款次移列為第一款四現行條文第二款後段規定而對當事人權益無侵害之虞屬不確定法律概念, 適用上易滋疑義, 且蒐集處理個人資料須符合本法第五條規定, 不得逾越必要範圍, 已有比例原則之規範, 爰予刪除五當事人自行公開之個人資

46 通過條文現行法說明揭露方式無從識別特定之當事人五經當事人書面同意六與公共利益有關七個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料有關之法規及其他法律有特別規定者 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 料, 已無保護必要至於非由當事人公開之情形, 有合法公開與非法公開, 如非法公開之個人資料得由他人任意蒐集處理, 對當事人隱私權之保護勢必不週是以, 將現行條文第三款規定之已公開之資料修正為已合法公開之個人資料另同條後段規定且無害於當事人之重大利益者不易認定, 爰予刪除六學術研究機構基於統計或學術研究目的, 經常會蒐集個人資料, 如依其統計或研究計畫, 當事人資料經過提供者匿名化處理, 或蒐集者就其公布揭露方式無從再識別特定當事人者, 應無侵害個人隱私權益之虞, 應可允許其蒐集處理個人資料, 以促進資料之合理利用惟為避免寬濫, 僅限制學術研究機構基於公共利益而有必要者, 始得為之, 爰將第四款規定, 予以修正七現行條文第一款移列為第五款八由於新聞自由屬於憲法第十一條所保障言論自由之範圍 ( 司法院釋字第三六四四七四一四五九號解釋參照 ), 其目的為使資訊流通順暢, 並使人民參與公共事務能獲得最充分資訊之知 40

47 通過條文現行法說明 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 的權利, 以維持社會開放及民主程序之運作, 使人民得有效地監督公共事務, 新聞自由之制度性保障固有其存在之必要然而, 今日新聞媒體已非昔比, 其所擁有之巨大影響力亦非任何政治實力可以掌握, 稍有偏差, 即有可能對於報導之個人造成難以彌補之傷害從而, 為維護人性尊嚴與個人主體性及尊重人格自由發展, 隱私權亦為不可或缺之基本權利, 尤其是資訊科技及傳播工具之發達, 個人生活私密領域免於他人侵擾及個人資料之自主控制, 均有其必要, 並受憲法第二十二條所保障 ( 司法院釋字第六三號解釋參照 ) 因此, 公共事務之知的權利如涉及個人資料或個人隱私時, 應特別慎重, 以免過度侵入個人私的生活, 故隱私權與新聞自由之界限有更具體明確之必要新聞自由或知的權利與隱私權之衝突, 如何確立二者間之界限, 外國立法例有建立其判斷標準在美國聯邦最高法院有關侵權行為或誹謗訴訟之判例中, 以新聞價值 (Newsworthiness) 和公眾人物 (Public Figure) 為判斷標準, 上開二概念最終仍以公共的領域, 即公共事 41

48 通過條文現行法說明 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 務或與公共相關之事務為必要條件, 故新聞自由或知的權利與隱私權之界限, 其劃定標準應在於事而非在於人, 故公共利益已足供作為判斷標準並簡單明確, 此亦與中華民國報業道德規範宗旨相符, 爰增訂第六款之規定九由於資訊科技及網際網路之發達, 個人資料之蒐集處理或利用甚為普遍, 尤其在網際網路上張貼之個人資料其來源是否合法, 經常無法求證或需費過鉅, 為避免蒐集者動輒觸法或求證費時, 明定個人資料取自於一般可得之來源者, 亦得蒐集或處理, 惟為兼顧當事人之重大利益, 如該當事人對其個人資料有禁止處理或利用, 且相對於蒐集者之蒐集或處理之特定目的, 顯有更值得保護之重大利益者, 則不得為蒐集或處理, 仍應經當事人同意或符合其他款規定事由者, 始得蒐集或處理個人資料, 爰參考德國聯邦個人資料保護法第二十八條規定, 增訂第七款之規定十再者, 依本條第七款但書規定, 當事人對其個人資料有禁止處理或利用之情形, 且蒐集或處理者知悉或經通知者, 應立即刪除或停止處 42

49 通過條文現行法說明刪除刪除第十九條非公務機關未經目的事業主管機關依本法登記並發給執照者, 不得為個人資料之蒐集電腦處理或國際傳遞及利用徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人, 應經目的事業主管機關許可並經登記及發給執照前二項之登記程序許可要件及收費標準, 由中央目的事業主管機關定之第二十條申請為前條之登記, 應具申請書, 載明左列事項 : 一申請人之姓名住居所如係法人或非法人團體, 其名稱主事務所分事務所或營業所及其代表人或管理人之姓名住居所二個人資料檔案名稱 43 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 理或利用相關個人資料, 以確實維護當事人顯有更值得保護之重大利益, 爰配合增訂第二項之規定一本條刪除二適用本法之非公務機關已取消行業別之限制, 任何自然人法人機構或其他團體均有本法之適用, 自無需經目的事業主管機關登記並發給執照之必要, 爰將本條予以刪除一本條刪除二廢除非公務機關取得執照後始得蒐集電腦處理及利用個人資料之制度, 自無需再申請登記, 爰將本條予以刪除

50 通過條文現行法說明三個人資料檔案保有之特定目的四個人資料之類別五個人資料之範圍六個人資料檔案之保有期限七個人資料之蒐集方法八個人資料檔案之利用範圍九國際傳遞個人資料之直接收受者十個人資料檔案維護負責人之姓名十一個人資料檔案安全維護計畫前項應記載之事項有變更者, 應於變更後十五日內申請為變更登記業務終止時, 應於終止事由發生時起一個月內申請為終止登記為前項業務終止登記之申請時, 應將其保有個人資料之處理方法陳報目的事業主管機關核准第一項第三款之特定目的與第四款之資料類別, 由法務部 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 44

51 通過條文現行法說明刪除刪除第二十條非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為增進公共利益三為免除當事人會同中央目的事業主管機關定之第一項第十一款之個人資料檔案安全維護計畫之標準及第三項之處理方法, 由中央目的事業主管機關定之第二十一條前條申請登記核准後, 非公務機關應將前條第一項第一款至第十款所列之事項於政府公報公告並登載於當地新聞紙第二十二條非公務機關應備置簿冊登載第二十條第一項第一款至第十款所列事項, 並供查閱第二十三條非公務機關對個人資料之利用, 應於蒐集之特定目的必要範圍內為之但有左列情形之一者, 得為特定目的外之利用 : 一為增進公共利益者二為免除當事人之生命身體自由或財產上之急迫危險者 45 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條刪除二非公務機關取消行業別限制後, 已無需申請登記, 爰將本條予以刪除一本條刪除二非公務機關取消行業別限制後, 已無需申請登記及公告相關事項, 爰將本條予以刪除一條次變更二第一項修正理由如次 : ( 一 ) 將序文左列修正為下列, 並將文字酌作修正, 以符合法制用語又本條僅適用在一般個人資料, 特種資料之蒐集或處理, 仍應依本法第六條規定為之 ( 二 ) 按法律有明文規定得特定目的外利用個人資料者, 自應允許, 爰增訂第一款規定 ( 三 ) 現行條文第一款至第四款, 款次移列至第二三四六款

52 通過條文現行法說明之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六經當事人書面同意非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用三為防止他人權益之重大危害而有必要者四當事人書面同意者 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) ( 四 ) 現行條文第二款之急迫二字, 甚難界定, 爰予刪除, 以資明確 ( 五 ) 現行條文第三款之而有必要屬不確定法律概念, 易滋疑義, 故予刪除 ( 六 ) 為促進資料合理利用, 對於公務機關執行法定職務, 或學術研究機構基於公共利益, 從事統計或學術研究工作, 有必要蒐集個人資料者, 被請求提供資料之非公務機關, 應得允許特定目的外利用該個人資料, 提供作統計或學術研究之用惟為避免寬濫, 應僅限公務機關或學術研究機構, 始得為之, 且該個人資料經過處理後或依其揭露方式, 無從識別特定當事人, 以保護個人資料之隱私權益, 爰增訂第五款規定三非公務機關依第一項規定, 利用個人資料從事商品行銷時 ( 包括特定目的內與特定目的外之利用 ), 如當事人擬拒絕接受該產品之行銷, 只能依第三條規定, 請求停止處理或利用或刪除其個人資料, 往往緩不濟急為尊重當事人拒絕接受行銷之權利, 爰參考一九九五年歐盟資料保護指令 (95/46/EC) 第十四條德國聯邦個人資料保護法第二十八條第四項規定, 46

53 通過條文現行法說明第二十一條非公務機關為國際傳輸個人資料, 而有下列情形之一者, 中央目的事業主管機關得限制之 : 一涉及國家重大利益二國際條約或協定有特別規定三接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞四以迂迴方法向第三國 ( 地區 ) 傳輸個人資第二十四條非公務機關為國際傳遞及利用個人資料, 而有左列情形之一者, 目的事業主管機關得限制之 : 一涉及國家重大利益者二國際條約或協定有特別規定者三接受國對於個人資料之保護未有完善之法令, 致有損當事人權益之虞者四以迂迴方法向第三國傳遞或利用個人資料 47 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 增訂第二項, 明定當事人表示拒絕接受行銷時, 非公務機關即應停止再利用其個人資料進行行銷四為便利當事人表達拒絕接受行銷之意思表示, 爰增訂第三項, 規定非公務機關對當事人進行首次行銷時, 應支付當事人拒絕行銷之費用, 例如, 提供免付費電話免費回郵等至於當事人日後得隨時以自費方式, 表示拒絕再接受行銷, 非公務機關應即停止再利用其個人資料進行行銷, 自不待言一條次變更二傳遞二字究指內部之傳送 ( 處理行為 ) 抑或提供給外部第三人 ( 利用行為 ), 易滋疑義爰將國際傳遞及利用修正為國際傳輸, 並將國際傳輸於第二條第六款明定其定義, 包括資料之處理與利用, 以資明確三將左列修正為下列, 以符合法制用語四鑑於違反本條限制規定, 將受有第四十一條規定之刑罰與第四十七條規定之行政罰, 本條所定國際傳輸之限制, 宜由中央目的事業主管機關為之, 較為妥適, 爰作修正五中央目的事業主管機關發現有本條所列各款情形之一

54 通過條文現行法說明 48 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 料規避本法規避本法者, 應限制非公務機關國際傳輸個人資料者, 得視事實狀況, 以命令或個別之行政處分限制之, 併予敘明六第四款文字配合修正, 增列 ( 地區 ) 二字第二十二條中央目的事業主管機關或直轄市縣 ( 市 ) 政府為執行資料檔案安全維護業務終止資料處理方法國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件, 進入檢查, 並得命相關人員為必要之說明配合措施或提供相關證明資料中央目的事業主管機關或直轄市縣( 市 ) 政府為前項檢查時, 對於得沒入或可為證據之個人資料或其檔案, 得扣留或複製之對於應扣留或複製之物, 得要求其所有人持有人或保管人提出或交付 ; 無正當理由拒第二十五條目的事業主管機關, 認有必要時, 得派員攜帶證明文件, 對於應受其許可或登記之非公務機關, 就本法規定之相關事項命其提供有關資料或為其他必要之配合措施, 並得進入檢查經發現有違反本法規定之資料, 得扣押之對於前項之命令檢查或扣押, 非公務機關不得規避妨礙或拒絕一條次變更二第一項修正理由如次 : ( 一 ) 按適用本法之非公務機關, 業已取消行業別之限制, 亦即任何自然人法人或團體均有本法之適用基於落實保護個人資料隱私權益之立法意旨, 自宜設立專責機關為主管機關, 但在未設立專責機關之前, 由何機關為本法之主管機關, 在認定與權責劃分上, 實有窒礙之處查現今社會中個人資料已為各個行業不可或缺之資訊, 上至銀行電信公司, 下至私人診所錄影帶店均會蒐集顧客之個人資料並建立檔案, 成為經營該業務重要之一環由於各個行業均有其目的事業主管機關, 有屬中央者, 有屬地方者, 而個人資料之蒐集處理或利用, 與該事業之經營關係密切, 應屬該事業之附屬業務, 自宜由原各該主管機關, 一併監督管理與其業務相關之個人資料保護事項, 較為妥適因此, 本修正條文不作有關本法之主管機關定義

55 通過條文現行法說明絕提出交付或抗拒扣留或複製者, 得採取對該非公務機關權益損害最少之方法強制為之中央目的事業主管機關或直轄市縣 ( 市 ) 政府為第一項檢查時, 得率同資訊電信或法律等專業人員共同為之對於第一項及第二項之進入檢查或處分, 非公務機關及其相關人員不得規避妨礙或拒絕參與檢查之人員, 因檢查而知悉他人資料者, 負保密義務 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 性規定, 至於現行條文規定目的事業主管機關應辦理之事項, 於各條文中, 直接修正由中央目的事業主管機關或直轄市政府縣 ( 市 ) 政府辦理, 以資明確, 避免爭議 ( 二 ) 為落實個人資料之保護, 應賦予監督機關有命令檢查及處分權, 爰修正第一項, 規定中央目的事業主管機關或直轄市縣 ( 市 ) 政府為執行資料檔案安全維護業務終止資料處理方法國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件, 進入該非公務機關檢查或要求說明提供相關證明資料, 以強化監督機關之權責三檢查人員發現非公務機關違反本法規定, 如將所有儲存媒介物設備予以查扣, 恐有違比例原則, 爰於第二項規定, 檢查時發現得沒入或可為證據之個人資料或檔案, 而有扣留或複製之必要者, 得予扣留或複製之此外, 以電腦儲存之資料檔案, 其消磁刪除或移轉非常快速, 如檢查時未能即時扣留或複製, 該違法資料或證據極易被湮滅或消除, 檢查機關亦得要求應扣留或複製物 49

56 通過條文現行法說明第二十三條對於前條第二項扣留物或複製物, 應加封緘或其他標識, 並為適當之處置 ; 其不便搬運或保管者, 得命人看守或交由所有人或其他適當之人保管扣留物或複製 50 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 之所有人持有人或保管人提出或交付, 且於遇有無正當理由拒絕提出交付或抗拒扣留或複製者, 得強制為之, 但應採取對該非公務機關權益損害最少之方法, 以避免違反比例原則, 例如 : 得複製檔案時, 即無需予以扣留四被檢查之個人資料檔案, 有可能以不同方式儲存於各種類型媒介物, 如未具有相當專業知識, 勢必無法達成檢查目的, 爰於第三項規定檢查機關得率同資訊電信或法律等專業人員共同進行檢查五現行條文第二項, 配合第一項文字修正後, 移列為第四項六為確保個人資料之隱私性, 避免資料當事人二度受到傷害, 增訂第五項明定因檢查而知悉他人資料者, 應負保密義務, 不得洩漏一本條新增二第一項明定扣留物或複製物應加具識別之標示, 並為適當之處理, 以確保其安全三扣留物或複製物除應沒入或因調查他案而有留存之必要者, 應繼續扣留外, 如無必要留存, 或決定不予處罰或未為沒入之裁處者, 應即

57 通過條文現行法說明物已無留存之必要, 或決定不予處罰或未為沒入之裁處者, 應發還之但應沒入或為調查他案應留存者, 不在此限第二十四條非公務機關物之所有人持有人保管人或利害關係人對前二條之要求強制扣留或複製行為不服者, 得向中央目的事業主管機關或直轄市縣 ( 市 ) 政府聲明異議前項聲明異議, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府認為有理由者, 應立即停止或變更其行為 ; 認為無理由者, 得繼續執行經該聲明異議之人請求時, 應將聲明異議之理由製作紀錄交付之對於中央目的事業主管機關或直轄市縣 ( 市 ) 政府前項決定不服者, 僅得於對該案件之實體決定聲明不 51 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 發還, 以保障民眾權益爰為第二項規定一本條新增二當事人或物之所有人持有人保管人利害關係人, 對檢查或扣留複製資料檔案行為認有違法或不當時, 應有表示不服聲明異議之權利, 以為救濟, 爰增訂第一項三增訂第二項, 明定對於當事人等聲明之異議, 執行檢查之機關認有理由者, 應立即停止或變更其行為 ; 認無理由者, 得繼續執行但因當事人等得於日後對此檢查或其他強制扣留或複製行為, 提起救濟, 是以經其請求時, 應將聲明異議之理由製作紀錄交付之, 不得拒絕四第三項明定當事人等對於聲明異議之決定不服時, 僅得於對該案件之實體決定聲明不服時一併聲明之, 不得單獨提起救濟 ; 至於當事人等依法不得對該案件之實體決定聲明不服時, 則可單獨對第一項之檢查扣留複製或其他強制行為, 逕行提

58 通過條文現行法說明服時一併聲明之但第一項之人依法不得對該案件之實體決定聲明不服時, 得單獨對第一項之行為逕行提起行政訴訟第二十五條非公務機關有違反本法規定之情事者, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府除依本法規定裁處罰鍰外, 並得為下列處分 : 一禁止蒐集處理或利用個人資料二命令刪除經處理之個人資料檔案三沒入或命銷燬違法蒐集之個人資料四公布非公務機關之違法情形, 及其姓名或名稱與負責人中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項處分時, 應於防制違反本法規定情事之必要範圍內 52 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 起行政訴訟, 以保障其權利一本條新增二中央目的事業主管機關或直轄市縣 ( 市 ) 政府, 發現非公務機關蒐集處理或利用個人資料有違反本法規定之情形者, 除依法裁處罰鍰外, 自應採取必要之處分, 以保護當事人之權益不被繼續侵害為期處分種類明確起見, 爰於第一項規定得為之處分包括 : 禁止蒐集處理或利用個人資料 ; 命令刪除該違法蒐集處理之個人資料檔案 ; 對違法蒐集或處理之個人資料予以沒入或命銷燬 ; 公布姓名名稱與負責人及違法情形等三中央目的事業主管機關或直轄市縣 ( 市 ) 政府在作前項之處分時, 應注意該非公務機關之權益, 採取對其損害最少之方式為之, 不得逾越必要範圍, 以符合比例原則, 爰為第二項之規定

59 通過條文現行法說明, 採取對該非公務機關權益損害最少之方法為之第二十六條中央目的事業主管機關或直轄市縣 ( 市 ) 政府依第二十二條規定檢查後, 未發現有違反本法規定之情事者, 經該非公務機關同意後, 得公布檢查結果第二十七條非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之第二十六條第十二條第十三條第十五條第十六條第一項及第十七條之規定, 於非公務機關準用之非公務機關準用第十六條第一項規定酌收費用之標準, 由中央目的事業主管機關定之 53 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條新增二檢查結果雖未發現有違法情事, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府 ( 檢查機關 ), 經徵得被檢查之非公務機關同意, 仍得公布檢查結果, 以昭公信, 爰為本條規定一條次變更二第一項修正理由如次 : ( 一 ) 非公務機關準用現行條文第十二條第十三條第十五條第十六條第一項規定, 已分別於修正條文第十條第十一條第十三條及第十四條明定之, 爰刪除現行條文第一項有關上開規定之準用及第二項規定 ( 二 ) 非公務機關雖不再準用公務機關指定專人依相關法令辦理安全維護事項之規定, 惟對於所保有之個人資料檔案, 仍應負安全保管責任, 爰參考丹麥個人資料處理法第四十一條, 規定非公務機關應採行適當之安全維護措施, 防止個人資料被竊取竄改毀損滅失或洩漏三由於非公務機關行業別限制取消, 現行條文第二十條

60 通過條文現行法說明第四章損害賠償及團體訴訟第二十八條公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠第四章損害賠償及其他救濟第二十七條公務機關違反本法規定, 致當事人權益受損害者, 應負損害賠償責任但損害因天災事變或其他 54 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 第五項業已刪除然某些行業如銀行電信醫院保險等, 因保有大量且重要之個人資料檔案, 其所負之安全保管責任應較一般行業為重, 爰增訂第二項規定, 授權中央目的事業主管機關得指定特定之非公務機關, 要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法, 以加強管理, 確保個人資料之安全維護四前項規定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法, 宜有相關規範, 以為依循, 爰增訂第三項規定, 授權由中央目的事業主管機關訂定辦法一章名修正二現行條文第三十一條第三十二條有關請求監督機關為適當處理之規定, 業已刪除, 回歸一般行政救濟或民法規定辦理另增訂相關團體訴訟之規定, 爰將章名修正為損害賠償及團體訴訟一條次變更二第一項將現行條文致當事人權益受損害者等文字, 修正為致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 使其

61 通過條文現行法說明償責任但損害因天災事變或其他不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處分依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元為限但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受第三項所定每不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處分前二項損害賠償總額, 以每人每一事件新臺幣二萬元以上十萬元以下計算但能證明其所受之損害額高於該金額者, 不在此限基於同一原因事實應對當事人負損害賠償責任者, 其合計最高總額以新臺幣二千萬元為限第二項請求權, 不得讓與或繼承但以金額賠償之請求權已依契約承諾或已起訴者, 不在此限 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 與國家賠償法第二條第二項及民法第一百八十四條第一項規定用語一致三基於有損害始有賠償之法理, 當事人能證明之損害均得請求賠償, 且本法規範有不足者, 亦得依民法相關規定為之例外於當事人不易或不能證明其實際損害額之情形時, 始有規範每人每一事件賠償金額上下限之必要另考量個人資料之價值性及當事人行使請求權出庭作證之意願, 擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點證人鑑定人到場之日費, 每次依新臺幣伍佰元支給之規定, 並兼顧法院在個案之裁量權限及防止有心人士興訟, 將賠償金額下限往下修正為伍佰元, 以便法院為個案審理及判決又上限部分亦配合下限降低四違法侵害個人資料事件, 可能一個行為有眾多被害人或造成損害過於鉅大, 為避免賠償額過鉅無法負擔並為風險預估與控管, 現行條文第四項遂規定合計賠償最高總額以新臺幣二千萬元為限惟現今公務機關或非公務機關蒐集處理利用或國際傳輸個人資料之情形日漸普遍, 為加重個人資料蒐集 55

62 通過條文現行法說明人每一事件最低賠償金額新臺幣五百元之限制第二項請求權, 不得讓與或繼承但以金額賠償之請求權已依契約承諾或已起訴者, 不在此限第二十九條非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證第二十八條非公務機關違反本法規定, 致當事人權益受損害者, 應負損害賠償責任但能證明其無故意或過失者, 不在此限 56 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 者或持有者之責任, 促其重視維護個人資料檔案安全之措施, 並使被害人能受到較高額度之賠償, 且總額限制之金額過低時, 恐將產生實務操作之困難, 爰修正第四項規定, 將賠償總額新臺幣二千萬元之限制, 提高為新臺幣二億元另基於同一原因事實違法侵害個人資料事件, 如其所涉利益超過新臺幣二億元者, 自不宜再以該金額限制之, 而以該所涉利益為限五同一原因事實造成之被害人數過多或部分被害人實際損害嚴重, 致損害總額超過第四項所定總額限制之新台幣二億元或所涉利益時, 為避免第三項規定之賠償下限與第四項規定之賠償總額限制產生矛盾, 爰增訂第五項規定, 使其不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制, 以配合第四項對於單一原因事實賠償總額限制之規定六第二項及第五項未修正一條次變更二將現行條文第一項致當事人權益受損害者等文字修正為侵害當事人權利者, 修正理由同前條理由二三現行條文第二項配合前條

63 通過條文現行法說明明其無故意或過失者, 不在此限依前項規定請求賠償者, 適用前條第二項至第六項規定第三十條損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同第三十一條損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定刪除依前項規定請求賠償者, 適用前條第二項至第五項之規定第二十九條損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同第三十條損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定第三十一條當事人向公務機關行使第四條所定之權利, 經拒絕或未於第十五條所定之期限內處理者, 當事人得於拒絕後或期限屆滿後二十日內, 以書面向其監督機關請求為適當之處理前項監督機關應於收受請求後二個月內, 將處理結果以書面通知請求 57 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 款次修正而調整文字條次變更, 內容未修正條次變更, 內容未修正一本條刪除二當事人依本法第三條規定向公務機關行使權利遭受拒絕, 或逾越本法第十三條規定之期限仍未獲處理者, 因其性質屬行政處分, 自得依訴願法或行政訴訟法相關規定尋求救濟本條應無規範必要, 爰予刪除

64 通過條文現行法說明刪除第三十二條依本章規定提起訴訟之財團法人或公益社團法人, 應符合下列要件 : 一財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人二保護個人資料事項於其章程所定目的範圍內三許可設立三年以上人第三十二條當事人向非公務機關行使第四條所定之權利, 經拒絕後, 當事人得於拒絕後或期限屆滿後二十日內, 以書面向其目的事業主管機關請求為適當之處理前項目的事業主管機關應於收受請求後二個月內, 將處理結果以書面通知請求人認其請求有理由者, 並應限期命該非公務機關改正之 58 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條刪除二當事人依本法第三條規定向非公務機關行使權利遭受拒絕, 或逾越本法第十三條規定之期限仍未獲處理者, 因該爭議屬私權性質, 當事人自宜循司法訴訟程序請求救濟本條應無規範必要, 爰予刪除一本條新增二為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權, 爰於本章增訂團體訴訟相關規定, 期能發揮民間團體力量, 共同推動個人資料保護工作三目前社會上公益性民間團體甚多, 良莠不齊, 如均可以為被害民眾提起團體訴訟, 恐會發生濫訟情形, 或衍生其他弊端對於得依本法規定提起團體訴訟之財團法人或公益社團法人, 須符合本條所定要件, 始得為之

65 通過條文現行法說明第三十三條依本法規定對於公務機關提起損害賠償訴訟者, 專屬該機關所在地之地方法院管轄對於非公務機關提起者, 專屬其主事務所主營業所或住所地之地方法院管轄前項非公務機關為自然人, 而其在中華民國現無住所或住所不明者, 以其在中華民國之居所, 視為其住所 ; 無居所或居所不明者, 以其在中華民國最後之住所, 視為其住所 ; 無最後住所者, 專屬中央政府所在地之地方法院管轄第一項非公務機關為自然人以外之法人或其他團體, 而其在中華民國現無主事務所主營業所或主事務所主營業所不明者, 專屬中央政府所在地之地方法院管轄第三十四條對於同一原因事實造成多 59 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條新增二有關侵害個人資料之損害賠償訴訟, 不論單一事件單一受害人, 或同一原因事實造成多數當事人權利受侵害, 亦不論其請求權依據, 皆採專屬管轄, 爰參考民事訴訟法第一條及非訟事件法第二條規定增訂本條, 以利實務操作一本條新增二第一項至第二項係參考證

66 通過條文現行法說明數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者, 得以自己之名義, 提起損害賠償訴訟當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與, 並通知法院前項訴訟, 法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人, 得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權, 由該財團法人或公益社團法人於第一審言詞辯論終結前, 擴張應受判決事項之聲明其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者, 亦得於法院公告曉示之一定期間內起訴, 由法院併案審理 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 券投資人及期貨交易人保護法第二十八條第一項至第三項之規定, 及民事訴訟法擴大選定當事人法理, 明定財團法人或公益社團法人須由二十人以上受有損害之當事人授與訴訟實施權後, 得以自己之名義提起損害賠償訴訟, 及在訴訟程序中, 有關撤回訴訟實施權之授與擴張應受判決事項之聲明與授與等事項之規定三為使團體訴訟制度能確實發揮其應有之功能, 並利於法院審理, 宜一併建立公告曉示及併案審理機制, 爰修正第二項並增訂第三項規定四其他因同一原因事實受有損害之當事人, 宜使其亦得聲請法院為公告曉示, 俾維護其權益, 爰增訂第四項五公告方式及其費用負擔, 宜有明文, 俾免爭議, 且為避免法院公告處不敷使用, 爰仿消費者債務清理條例第十四條第一項規定, 增訂第五項六第六項規定係為鼓勵民眾能多利用本條規定之團體訴訟機制, 請求損害賠償, 並落實保護當事人之立法意旨, 爰參考民事訴訟法第七十七條之二十二第一項規定, 明定提起團體訴訟裁判費之 60

67 通過條文現行法說明其他因同一原因事實受有損害之當事人, 亦得聲請法院為前項之公告前二項公告, 應揭示於法院公告處資訊網路及其他適當處所 ; 法院認為必要時, 並得命登載於公報或新聞紙, 或用其他方法公告之, 其費用由國庫墊付依第一項規定提起訴訟之財團法人或公益社團法人, 其標的價額超過新臺幣六十萬元者, 超過部分暫免徵裁判費第三十五條當事人依前條第一項規定撤回訴訟實施權之授與者, 該部分訴訟程序當然停止, 該當事人應即聲明承受訴訟, 法院亦得依職權命該當事人承受訴訟財團法人或公益社團法人依前條規定起訴後, 因部分當事人撤回訴訟實施權之授與, 致 61 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 暫免徵收方式一本條新增二第一項明定當事人撤回訴訟實施權, 法院應停止該部分之訴訟程序, 當事人應即聲明承受訴訟, 法院亦得命當事人承受訴訟, 以兼顧當事人原已起訴之權益 ( 如中斷時效 ) 三基於訴訟安定及誠信原則, 爰於第二項明定財團法人或公益社團法人提起本條訴訟後, 縱因部分當事人撤回訴訟實施權, 致其人數未達二十人, 仍得就其餘部分繼

68 通過條文現行法說明其餘部分不足二十人者, 仍得就其餘部分繼續進行訴訟第三十六條各當事人於第三十四條第一項及第二項之損害賠償請求權, 其時效應分別計算第三十七條財團法人或公益社團法人就當事人授與訴訟實施權之事件, 有為一切訴訟行為之權但當事人得限制其為捨棄撤回或和解前項當事人中一人所為之限制, 其效力不及於其他當事人第一項之限制, 應於第三十四條第一項之文書內表明, 或以書狀提出於法院第三十八條當事人對於第三十四條訴訟之判決不服者, 得於財團法人或公益社團法人上訴期 62 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 續進行訴訟一本條新增二眾多之個人資料遭受侵害, 各當事人之損害賠償請求權時效, 不盡相同爰參考證券投資人及期貨交易人保護法第三十條及消費者保護法第五十條第四項, 明定其時效應分別計算, 以期公平並免爭議一本條新增二財團法人或公益社團法人為當事人提起團體訴訟時, 原則上有為一切訴訟行為之權但有關捨棄撤回或和解事項, 影響當事人權益甚鉅, 當事人自得限制之另當事人中一人所為之限制效力及其方式, 亦有規範必要, 以資明確爰參考證券投資人及期貨交易人保護法第三十一條, 增訂本條規定一本條新增二第一項明定當事人得自行提起上訴之要件及時期三第二項明定財團法人或公益社團法人應將訴訟結果及

69 通過條文現行法說明間屆滿前, 撤回訴訟實施權之授與, 依法提起上訴財團法人或公益社團法人於收受判決書正本後, 應即將其結果通知當事人, 並應於七日內將是否提起上訴之意旨以書面通知當事人第三十九條財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償, 扣除訴訟必要費用後, 分別交付授與訴訟實施權之當事人提起第三十四條第一項訴訟之財團法人或公益社團法人, 均不得請求報酬第四十條依本章規定提起訴訟之財團法人或公益社團法人, 應委任律師代理訴訟 63 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 是否提起上訴之意旨, 儘速以書面方式通知當事人, 俾當事人及早採行因應措施, 以保障其權益一本條新增二財團法人或公益社團法人為當事人提起團體訴訟, 係為了多數受害人之利益, 而非為其自身利益是以, 該訴訟如勝訴而得到賠償, 扣除訴訟必要費用後, 自應分別交付授與訴訟實施權之當事人, 且不得請求報酬, 以避免有趁機圖利之情事爰參考證券投資人及期貨交易人保護法第三十三條及消費者保護法第五十條, 增訂本條一本條新增二財團法人或公益社團法人依第三十四條第一項規定提起團體訴訟者, 應委任律師代理訴訟, 除期能加強該訴訟品質外, 並符合民事訴訟法第六十八條第一項本文, 有關訴訟代理人應委任律師之規定爰參考消費者保護法第四十九條第二項前段,

70 通過條文現行法說明 64 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 增訂本條規定第五章罰則第五章罰則章名未修正第四十一條違反第六條第一項第十五條第十六條第十九條第二十條第一項規定, 或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分, 足生損害於他人者, 處二年以下有期徒刑拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者, 處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金第四十二條意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以第三十三條意圖營利違反第七條第八條第十八條第十九條第一項第二項第二十三條之規定或依第二十四條所發布之限制命令, 致生損害於他人者, 處二年以下有期徒刑拘役或科或併科新臺幣四萬元以下罰金第三十四條意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法輸出干擾變更刪除或以其他非法方法妨害個人資料檔案之正確, 致生損害於他人者, 一條次變更二第一項修正理由如次 : ( 一 ) 修正主觀構成要件, 不具營利意圖者, 亦構成犯罪 ( 二 ) 鑑於現行條文第十九條之登記證照制度業已刪除, 爰將現行條文有關違反第十九條第一項第二項之規定刪除, 另增訂違反第六條第一項規定 ( 違法蒐集處理或利用特種個人資料 ) 者, 亦須處罰之規定, 其餘配合條次變更予以修正 ( 三 ) 為避免罰金數額上限偏低, 無法收刑懲之效, 爰提高罰金數額上限至新臺幣二十萬元三增訂第二項, 規定意圖營利犯前項之罪者, 刑罰提高到五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金, 期能遏阻盜賣個人資料之不法行為一條次變更二本條立法意旨在於處罰以非法方式妨害個人資料檔案正確性之行為現行條文之輸出二字, 易誤解為傳輸個人資料檔案, 即使未妨害該個人資料檔案之正確性亦得處罰, 爰予刪除輸出二字另將致生損害結果文字略作修正, 以資明確

71 通過條文現行法說明下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金第四十三條中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之第四十四條公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一第四十五條本章之罪, 須告訴乃論但犯第四十一條第二項之罪者, 或對公務機關犯第四十二條之罪者, 不在此限處三年以下有期徒刑拘役或科新臺幣五萬元以下罰金第三十五條公務員假借職務上之權力機會或方法, 犯前二條之罪者, 加重其刑至二分之一第三十六條本章之罪, 須告訴乃論 65 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 三為期本條刑責與偽造文書罪及妨害電腦使用罪平衡起見, 爰將刑度修正提高為五年以下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金一本條新增二違法侵害個人資料之行為, 並不限於在我國境內始足為之, 為強化對個人資料之保護, 爰增定本條規定三參考日本行政機關保有個人資訊保護法第五十六條獨立行政法人等保有個人資訊保護法第五十三條規定條次變更, 文字酌作修正一條次變更二由於意圖營利而違法蒐集處理或利用個人資料, 或違反限制國際傳輸之命令或處分者, 惡性較為重大, 且侵害個人隱私權益甚鉅, 爰增訂但書規定, 對於第四十一條第二項之罪者, 排除需告訴乃論, 即令無被害人提出告訴, 亦得追究犯罪者之刑事責任, 以期加強打擊盜賣個人資料之不法行為三鑑於刑法第三百六十一條與刑法第三百六十三條規定, 攻擊公務機關電腦或其相

72 通過條文現行法說明第四十六條犯本章之罪, 其他法律有較重處罰規定者, 從其規定第四十七條非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 : 一違反第六條第一項規定二違反第十九條規定三違反第二十條第一項規定四違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分第三十七條犯本章之罪, 其他法律有較重處罰規定者, 從其規定第三十八條有左列情事之一者, 由目的事業主管機關處負責人新臺幣二萬元以上十萬元以下罰鍰, 並令限期改正, 逾期未改正者, 按次處罰之 : 一違反第十八條規定者二違反第十九條第一項或第二項規定者三違反第二十三條規定者四違反依第二十四條所發布之限制命令者有前項第一款第三款或第四款之情事, 其情節重大者, 並得撤銷依本法所為之許可或登記 66 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 關設備係非告訴乃論罪, 爰於但書一併規定, 對公務機關犯第四十二條之罪者, 毋庸告訴乃論, 以求一致條次變更, 內容未修正一條次變更二本條係針對非公務機關違反本法規定時, 所得科處之行政罰為期明確, 爰於本條序文明定處罰範疇為非公務機關三將序文中之左列修正為下列, 以符合法制用語四明定處罰機關為中央目的事業主管機關或直轄市縣 ( 市 ) 政府, 修正理由參照本法第二十二條理由二 ( 一 ) 五本法適用對象已無行業別限制, 故非公務機關不再以法人或團體為限, 為達處罰效果, 爰將現行法處罰對象為非公務機關之負責人修正為該非公務機關至於該非公務機關有代表人管理人或其他有代表權人, 而未盡防止義務者, 則並受同一罰鍰之處罰, 另於本法第五十條規定之六為避免罰鍰數額上限及下限偏低, 無法收處罰之效, 爰提高本條罰鍰數額為新臺

73 通過條文現行法說明第四十八條非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 : 一違反第八條或第九條規定二違反第十條第十一條第十二條或第十三條規定三違反第二十條第二項或第三項規定四違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫第三十九條有左列情事之一者, 由目的事業主管機關限期改正, 逾期未改正者, 按次處負責人新臺幣一萬元以上五萬元以下罰鍰 : 一違反第二十條第二項之規定者二違反第二十一條關於登載於當地新聞紙之規定者三違反第二十二條規定者四違反第二十六條第一項準用第十二條第十三條第十五條第十七條之規定者五違反第二十六條第二項之收 67 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 幣五萬元以上五十萬元以下七增列第一款明定違反第六條規定者應予處罰, 並將現行條文第一款移列為第二款 ; 第三款第四款規定之條次配合修正八本法已廢除非公務機關應經許可或登記制度, 爰刪除第一項第二款與第二項規定一條次變更二本條序文增訂非公務機關等字, 修正理由同前條理由二三將序文中之左列修正為下列, 以符合法制用語四處罰對象修正為非公務機關, 修正理由同前條理由五五將目的事業主管機關修正為中央目的事業主管機關或直轄市縣 ( 市 ) 政府, 理由參照本法第二十二條理由二 ( 一 ) 六為避免罰鍰數額上限及下限偏低, 無法收行政處罰之效, 爰提高本條罰鍰數額為新臺幣二萬元以上二十萬元以下七增訂第一款明定違反第八條或第九條規定應告知義務, 經限期改正屆期仍未改正者, 應予處罰

74 通過條文現行法說明或業務終止後個人資料處理方法費標準者有前項第一款第二款第三款或第四款之情事, 其情節重大者, 並得撤銷依本法所為之許可或登記 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 八現行條文第二十條至第二十二條業經刪除, 現行條文第一項第一款至第三款亦配合刪除九現行條文第一項第四款配合修正條文修正條次, 移列為第二款, 另增列違反本法第十二條規定者, 亦得依第二款處罰十增訂第三款規定, 對於非公務機關違反本法第二十條第二項或第三項規定, 當事人已拒絕接受行銷, 仍未停止利用其個人資料行銷者, 或於首次行銷時未免費提供當事人表示拒絕方式者, 得限期改正, 屆期仍未改正者, 得按次處罰十一為落實非公務機關對個人資料檔案安全維護之義務, 明定違反第二十七條第一項未採行適當之安全措施, 或中央目的事業主管機關依第二項規定指定之非公務機關, 未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者, 得限期改正, 屆期仍未改正者, 則予以處罰, 爰為第四款規定十二現行條文第二十六條第二項業經刪除, 現行條文第五款配合併予刪除十三現行條文第二十條至第二十二條業經刪除, 非公務 68

75 通過條文現行法說明第四十九條非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰第四十條有左列情事之一者, 由目的事業主管機關, 按次處負責人新臺幣一萬元以上五萬元以下罰鍰 : 一不遵守目的事業主管機關依第二十條第三項核准方法處理者二違反第二十五條第二項規定者三違反依第三十二條第二項限期改正命令者有前項第二款或第三款之情事, 其情節重大者, 並得撤銷依本法所為之許可或登記 69 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 機關應經許可或登記制度亦併予廢除, 爰刪除現行條文第二項規定一條次變更二本條序文增訂非公務機關等字, 理由同第四十七條理由二三參考公平交易法第四十三條規定, 增加無正當理由, 以排除具有阻卻違法正當事由情況下拒絕檢查行為之可罰性四將目的事業主管機關修正為中央目的事業主管機關或直轄市縣 ( 市 ) 政府, 理由參照本法第二十二條理由二 ( 一 ) 五處罰對象修正為非公務機關理由同本法第四十七條理由五六現行條文第二十條業經刪除, 另第三十二條第二項亦予刪除限期改正之規定, 爰將第一項第一款及第三款配合刪除, 第一項第二款配合條次修正後, 移列於本文規定七為避免罰鍰數額上限及下限偏低, 無法收行政處罰之效, 爰提高本條罰鍰數額為新臺幣二萬元以上二十萬元以下另本條之處罰, 已僅限對規避妨害或拒絕檢查之行為, 依本法第二十二條第二項規定, 該等情形得使

76 通過條文現行法說明第五十條非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰第六章附則第六章附則章名未修正第五十一條有下列情形之一者, 不適用本法規定 : 一自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料二於公開場所或公開活動中所 70 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 用強制力進行檢查, 已無按次處罰之必要, 爰將現行條文按次二字, 予以刪除八本法已廢除非公務機關應經許可或登記制度, 爰刪除第二項規定一本條新增二非公務機關之代表人管理人或其他有代表權人, 對於該非公務機關, 本有指揮監督之責, 故非公務機關依第四十七條至第四十九條規定受罰鍰之處罰時, 該非公務機關之代表人管理人或其他有代表權人, 對該違反本法行為, 應視為疏於職責, 未盡其防止之義務 ( 包含個人資料應採取適當安全措施之義務 ), 而為指揮監督之疏失, 除能證明其已盡防止義務者外, 應並受同一額度罰鍰之處罰一本條新增二依本法第二條第八款規定, 本法所稱非公務機關包括自然人, 惟有關自然人為單純個人 ( 例如 : 社交活動等 ) 或家庭活動 ( 例如 : 建立親友通訊錄等 ) 而蒐集處理或利用個人資料, 因係屬私生活目的所為, 與其職業或業務職掌無關, 如納入本法之適用, 恐造成民眾之不便亦無必

77 通過條文現行法說明蒐集處理或利用之未與其他個人資料結合之影音資料公務機關及非公務機關, 在中華民國領域外對中華民國人民個人資料蒐集處理或利用者, 亦適用本法 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 要, 爰增訂第一項第一款規定, 予以排除三由於資訊科技及網際網路之發達, 個人資料之蒐集處理或利用甚為普遍, 尤其在網際網路上張貼之影音個人資料, 亦屬表現自由之一部分為解決合照或其他在合理範圍內之影音資料須經其他當事人之書面同意始得為蒐集處理或利用個人資料之不便, 且合照當事人彼此間均有同意之表示, 其本身共同使用之合法目的亦相當清楚, 爰對於在公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料, 不適用本法之規定, 回歸民法適用, 增訂如第一項第二款之規定四由於科技之進步與網際網路使用普遍, 即使在我國領域外蒐集處理或利用國人之個人資料, 亦非常容易為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益, 以規避法律責任, 爰增訂第二項, 明定在我國領域外, 亦有本法之適用五參考一九九五年歐盟資料保護指令 (95/46/EC) 第三條德國聯邦個人資料保護法第一條第二項第三款日本個 71

78 通過條文現行法說明第五十二條第二十二條至第二十六條規定由中央目的事業主管機關或直轄市縣 ( 市 ) 政府執行之權限, 得委任所屬機關委託其他機關或公益團體辦理 ; 其成員因執行委任或委託事務所知悉之資訊, 負保密義務前項之公益團體, 不得依第三十四條第一項規定接受當事人授與訴訟實施權, 以自己之名義提起損害賠償訴訟刪除第四十二條法務部辦理協調連繫本法執行之相關事項 ; 其協調連繫辦法, 由法務部定之 72 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 人資訊保護法第五十條等一本條新增二中央目的事業主管機關或直轄市縣 ( 市 ) 政府依第二十二條至第二十六條規定執行檢查扣留或複製等之權限, 應可委任所屬機關委託其他機關或公益團體辦理, 以期能充分發揮執行效率, 爰增訂第一項規定之另接受委任或委託執行事務而知悉他人之資訊者, 自應負保密義務不得洩漏, 爰於同項後段併予規定三本法第三十四條規定財團法人或公益社團法人得接受當事人訴訟實施權之授與後, 以自己名義提起團體訴訟, 代為請求損害賠償, 惟本條又授權中央目的事業主管機關或直轄市縣 ( 市 ) 政府得委託公益團體代為執行其權限為避免發生角色混淆利益衝突之情形, 爰增訂第二項, 明定接受委託執行主管機關權限之公益團體, 不得再依第三十四條規定, 接受當事人訴訟實施權之授與, 以自己名義, 提起損害賠償之團體訴訟一本條刪除二由於個人資料保護性質特殊, 非公務機關適用之行業別限制, 亦予刪除, 相關應辦理之事項, 於各個條文中

79 通過條文現行法說明第五十三條本法所定特定目的及個人資料類別, 由法務部會同中央目的事業主管機關指定之刪除依本法規定應由目的事業主管機關辦理之事項, 如無目的事業主管機關者, 由法務部辦理之非公務機關個人資料之蒐集電腦處理及利用之登記公告或其他事項之管理, 法務部及目的事業主管機關必要時得委託公益團體辦理之第四十三條本法公布施行前已從事個人資料之蒐集或電腦處理, 而依本法規定應申請登記或許可者, 應於本法施行之日起一年內補辦之經法務部會同中央目的事業主管機關依第三條第七款第三目指定之事業團體或個人, 應於指定之日起六個月內, 辦理登記 73 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ), 直接規定由中央目的事業主管機關或直轄市縣 ( 市 ) 政府辦理, 修正理由同本法第二十二條理由二 ( 二 ) 如各機關在執行上有必要連繫協調時, 自得隨時為之, 似毋庸在此規定訂定協調連繫辦法至於委任委託其他機關或公益團體執行權限事宜, 已於本法第五十二條明定之是以, 爰將本條配合刪除一條次變更二本條係將現行條文第三條第九款及第十條第二項合併規定, 並移入本章附則, 以符合立法體例一本條刪除二本修正草案已廢除非公務機關應經許可或登記制度, 爰刪除本條規定

80 通過條文現行法說明第五十四條本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處第五十五條本法施行細則, 由法務部定之第五十六條本法施行日期, 由行政院定之現行條文第十九條至第二十二條及第四十三條之刪除, 自公布日施行或許可逾期未為前二項之申請或申請未獲核准者, 以未經核准登記或許可論處第四十四條本法施行細則, 由法務部定之第四十五條本法自公布日施行 74 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 一本條新增二由於本修正條文擴大適用範圍, 原本不受本法規範從事個人資料蒐集處理或利用者, 修法後均將適用本法, 惟其在本法修正施行前已蒐集完成之個人資料 ( 該等資料大多屬於間接蒐集之情形 ), 雖非違法, 惟因當事人均不知資料被蒐集情形, 如未給予規範而繼續利用, 恐仍會損害當事人權益, 是以自宜訂定過渡條款, 明定一定期間內應向當事人完成告知, 逾期未告知當事人仍處理或利用該資料者, 則以違反第九條規定論處, 期能兼顧當事人與資料蒐集者雙方權益條次變更, 內容未修正一條次變更, 第一項內容未修正二本次修正, 擴大適用範圍, 慮及本法尚需宣導, 民間業者需相當時間調整與準備, 相關法規亦需配合增修, 爰參考日本個人資訊保護法

81 通過條文現行法說明前項公布日於現行條文第四十三條第二項指定之事業團體或個人應於指定之日起六個月內辦理登記或許可之期間內者, 該指定之事業團體或個人得申請終止辦理, 目的事業主管機關於終止辦理時, 應退還已繳規費已辦理完成者, 亦得申請退費前項退費, 應自繳費義務人繳納之日起, 至目的事業主管機關終止辦理之日止, 按退費額, 依繳費之日郵政儲金之一年期定期存款利率, 按日加計利息, 一併退還已辦理完成者, 其退費, 應自繳費義務人繳納之日起, 至目的事業主管機關核准申請之日止, 亦同 ( 法務部依行政院提案立法院協商結論復議條文理由等資料整理 ) 附則第一條, 規定施行日期, 由行政院定之, 不至因倉促施行而造成民眾不便或發生困擾三又廢除非公務機關取得執照後始得蒐集電腦處理及利用個人資料之制度, 自無需再申請登記及公告相關事項, 為求便民及促進行政效率, 相關現行條文第十九條至第二十二條及第四十三條之刪除, 爰新增第二項規定, 自修正公布日施行四自修正公布日廢除申請登記及執照制度, 如該公布日於登記或許可之辦理期間者, 該指定之事業團體或個人得申請終止辦理, 目的事業主管機關於終止辦理時, 應退還已繳規費已辦理完成者, 亦得申請退費退費應定期間, 退費額依繳費之日郵政儲金之一年期定期存款利率, 按日加計利息, 一併退還, 爰規定如第三項及第四項 75

82 參個人資料保護法施行細則中華民國 101 年 9 月 26 日法務部法令字第號令修正發布名稱及全文 33 條 ; 並自 101 年 10 月 1 日施行 ( 原名稱 : 電腦處理個人資料保護法施行細則 ) 第 1 條本細則依個人資料保護法 ( 以下簡稱本法 ) 第五十五條規定訂定之第 2 條本法所稱個人, 指現生存之自然人第 3 條本法第二條第一款所稱得以間接方式識別, 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照組合連結等, 始能識別該特定之個人第 4 條本法第二條第一款所稱病歷之個人資料, 指醫療法第六十七條第二項所列之各款資料本法第二條第一款所稱醫療之個人資料, 指病歷及其他由醫師或其他之醫事人員, 以治療矯正預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料本法第二條第一款所稱基因之個人資料, 指由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息本法第二條第一款所稱性生活之個人資料, 指性取向或性慣行之個人資料本法第二條第一款所稱健康檢查之個人資料, 指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料本法第二條第一款所稱犯罪前科之個人資料, 指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄第 5 條本法第二條第二款所定個人資料檔案, 包括備份檔案 76

83 第 6 條本法第二條第四款所稱刪除, 指使已儲存之個人資料自個人資料檔案中消失本法第二條第四款所稱內部傳送, 指公務機關或非公務機關本身內部之資料傳送第 7 條受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之第 8 條委託他人蒐集處理或利用個人資料時, 委託機關應對受託者為適當之監督前項監督至少應包含下列事項 : 一預定蒐集處理或利用個人資料之範圍類別特定目的及其期間二受託者就第十二條第二項採取之措施三有複委託者, 其約定之受託者四受託者或其受僱人違反本法其他個人資料保護法律或其法規命令時, 應向委託機關通知之事項及採行之補救措施五委託機關如對受託者有保留指示者, 其保留指示之事項六委託關係終止或解除時, 個人資料載體之返還, 及受託者履行委託契約以儲存方式而持有之個人資料之刪除第一項之監督, 委託機關應定期確認受託者執行之狀況, 並將確認結果記錄之受託者僅得於委託機關指示之範圍內, 蒐集處理或利用個人資料受託者認委託機關之指示有違反本法其他個人資料保護法律或其法規命令者, 應立即通知委託機關第 9 條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第 10 條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於 77

84 下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第 11 條本法第六條第一項第二款第八條第二項第二款所稱法定義務, 指非公務機關依法律或法律具體明確授權之法規命令所定之義務第 12 條本法第六條第一項第二款所稱適當安全維護措施第十八條所稱安全維護事項第二十七條第一項所稱適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之措施前項措施, 得包括下列事項, 並以與所欲達成之個人資料保護目的間, 具有適當比例為原則 : 一配置管理之人員及相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理九資料安全稽核機制十使用紀錄軌跡資料及證據保存十一個人資料安全維護之整體持續改善第 13 條本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱當事人自行公開之個人資料, 指當事人自行對不特定人或特定多數人揭露其個人資料本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱已合法公開之個人資料, 指依法律或法律具體 78

85 明確授權之法規命令所公示公告或以其他合法方式公開之個人資料第 14 條本法第七條所定書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之第 15 條本法第七條第二項所定單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容並確認同意第 16 條依本法第八條第九條及第五十四條所定告知之方式, 得以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之第 17 條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人第 18 條本法第十條第三款所稱妨害第三人之重大利益, 指有害於第三人個人之生命身體自由財產或其他重大利益第 19 條當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時, 應為適當之釋明第 20 條本法第十一條第三項所稱特定目的消失, 指下列各款情形之一 : 一公務機關經裁撤或改組而無承受業務機關二非公務機關歇業解散而無承受機關, 或所營事業營業項目變更而與原蒐集目的不符三特定目的已達成而無繼續處理或利用之必要四其他事由足認該特定目的已無法達成或不存在 79

86 第 21 條有下列各款情形之一者, 屬於本法第十一條第三項但書所定因執行職務或業務所必須 : 一有法令規定或契約約定之保存期限二有理由足認刪除將侵害當事人值得保護之利益三其他不能刪除之正當事由第 22 條本法第十二條所稱適當方式通知, 指即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護, 以網際網路新聞媒體或其他適當公開方式為之依本法第十二條規定通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施第 23 條公務機關依本法第十七條規定為公開, 應於建立個人資料檔案後一個月內為之 ; 變更時, 亦同公開方式應予以特定, 並避免任意變更本法第十七條所稱其他適當方式, 指利用政府公報新聞紙雜誌電子報或其他可供公眾查閱之方式為公開第 24 條公務機關保有個人資料檔案者, 應訂定個人資料安全維護規定第 25 條本法第十八條所稱專人, 指具有管理及維護個人資料檔案之能力, 且足以擔任機關之個人資料檔案安全維護經常性工作之人員公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練第 26 條本法第十九條第一項第二款所定契約或類似契約之關係, 不以本法修正施行後成立者為限第 27 條 80

87 本法第十九條第一項第二款所定契約關係, 包括本約, 及非公務機關與當事人間為履行該契約, 所涉及必要第三人之接觸磋商或聯繫行為及給付或向其為給付之行為本法第十九條第一項第二款所稱類似契約之關係, 指下列情形之一者 : 一非公務機關與當事人間於契約成立前, 為準備或商議訂立契約或為交易之目的, 所進行之接觸或磋商行為二契約因無效撤銷解除終止而消滅或履行完成時, 非公務機關與當事人為行使權利履行義務, 或確保個人資料完整性之目的所為之連繫行為第 28 條本法第十九條第一項第七款所稱一般可得之來源, 指透過大眾傳播網際網路新聞雜誌政府公報及其他一般人可得知悉或接觸而取得個人資料之管道第 29 條依本法第二十二條規定實施檢查時, 應注意保守秘密及被檢查者之名譽第 30 條依本法第二十二條第二項規定, 扣留或複製得沒入或可為證據之個人資料或其檔案時, 應掣給收據, 載明其名稱數量所有人地點及時間依本法第二十二條第一項及第二項規定實施檢查後, 應作成紀錄前項紀錄當場作成者, 應使被檢查者閱覽及簽名, 並即將副本交付被檢查者 ; 其拒絕簽名者, 應記明其事由紀錄於事後作成者, 應送達被檢查者, 並告知得於一定期限內陳述意見第 31 條本法第五十二條第一項所稱之公益團體, 指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人財團法人及行政法人第 32 條 81

88 本法修正施行前已蒐集或處理由當事人提供之個人資料, 於修正施行後, 得繼續為處理及特定目的內之利用 ; 其為特定目的外之利用者, 應依本法修正施行後之規定為之第 33 條本細則施行日期, 由法務部定之 82

89 肆個人資料保護法施行細則修正條文對照表 83 中華民國 101 年 9 月 26 日法務部法令字第號令修正公布修正名稱現行名稱說明個人資料保護法施行細則電腦處理個人資料保護法施行細則配合本法名稱之修正, 將名稱修正為個人資料保護法施行細則修正條文現行條文說明第一條本細則依個人第一條本細則依電腦配合本法名稱及條文之修正資料保護法 ( 以下簡稱本法 ) 第五十五條規定訂定之處理個人資料保護法 ( 以下簡稱本法 ) 第四十四條規定訂定之, 酌作文字修正第二條本法所稱個人, 指現生存之自然人第三條本法第二條第一款所稱得以間接方式識別, 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照組合連結等, 始能識別該特定之個人第二條本法所定個人, 指生存之特定或得特定之自然人本法第二條第一款對於個人資料之定義, 已修正為得以直接或間接方式識別該個人之資料, 規範意義即為特定或得特定之自然人之個人資料, 故刪除現行條文特定或得特定等文字 ; 另本法立法目的之一為個人人格權之隱私權保護, 唯有生存之自然人方有隱私權受侵害之恐懼情緒及個人對其個人資料之自主決定權, 故增訂現字, 以資明確一本條新增二由於社會態樣複雜, 某些資料雖未直接指名道姓, 但一經揭露仍足以識別為某一特定人, 因而本法第二條第一款個人資料之定義, 已將其他足資識別該個人之資料修正為其他得以直接或間接方式識別該個人之資料, 為明瞭間接方式識別之意義, 爰為本條之規定

90 第四條本法第二條第一款所稱病歷之個人資料, 指醫療法第六十七條第二項所列之各款資料本法第二條第一款所稱醫療之個人資料, 指病歷及其他由醫師或其他之醫事人員, 以治療矯正預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料本法第二條第一款所稱基因之個人資料, 指由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息 84 三至於是否得以直接或間接方式識別者, 需從蒐集者本身個別加以判斷, 原無一致性之標準, 此宜於個案中加以審認, 為權衡個人資料之保護與個人資料之合理利用, 並避免滋生疑義, 應依本法相關規定加以判斷至於各公務或非公務機關如在適用本條規定要件上有明確之必要者, 各公務機關或目的事業主管機關得斟酌訂定裁量基準, 俾供所屬機關或所管行業遵循一本條新增二為使本法第二條第一款之病歷與第六條第一項之醫療基因性生活及健康檢查等概念, 有統整性說明與定義規定, 以避免概念混淆, 爰為本條規定三關於病歷之定義, 醫療法第六十七條第二項已有明文, 本法第二條第一款所定病歷, 自宜與醫療法上開規定為相同定義, 爰為第一項規定四醫師法第二十八條對於未具合法醫師資格, 擅自執行醫療業務者, 定有相關處罰規定, 故行政院衛生署七四年四月二十六日衛署醫字第五二七四五四號函及同年八月三十日衛署醫字第五四八八一二號函, 對醫療行為作成釋示, 認為在一定目的下, 所

91 本法第二條第一款所稱性生活之個人資料, 指性取向或性慣行之個人資料本法第二條第一款所稱健康檢查之個人資料, 指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料本法第二條第一款所稱犯罪前科之個人資料, 指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄 85 為綜合可產生療效之行為, 均認定為醫療行為因此, 以醫療行為所產生之個人資料, 則認屬醫療之個人資料, 爰為第二項規定五本法第二條第一款所稱之基因, 參酌去氧核醣核酸採樣條例第三條規定, 指由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息, 爰為第三項規定六本法第二條第一款所稱之性生活 (sexual life), 應屬有關極為敏感且容易引起偏見或足使個人人格遭受歧視之性生活個人資料, 依本法第六條修正說明認為性生活包括性取向等相關事項, 並參考澳洲一九九八年隱私權法第六條規定及二七年澳洲法律改革委員會之修法建議, 將性生活界定為性取向 (sexual orientation) 及性慣行 (sexual practices), 爰為第四項規定七本法第二條第一款所稱健康檢查亦屬醫療行為之一種, 惟其與其他疾病診斷治療之不同, 在於係對於外觀健康之人, 非以特定疾病之治療或診斷為主要目的, 爰為第五項規定八本法第二條第一款所稱之犯罪前科, 除法院判決有罪確定之部分外, 依刑

92 第五條本法第二條第二款所定個人資料檔案, 包括備份檔案第六條本法第二條第四款所稱刪除, 指使已儲存之個人資料自個人資料檔案中消失本法第二條第四款所稱內部傳送, 指公務機關或非公務機第三條本法第三條第二款所稱電磁紀錄物或其他類似媒體, 指錄製記載有電磁紀錄之有體物, 包括磁碟磁帶光碟磁泡紀錄體磁鼓及其他材質而具有儲存電磁紀錄之能力者前項所稱電磁紀錄, 指以電子磁性或其他無法以人知覺直接認識之方式所製作之紀錄, 而供電腦處理之用者第四條本法第三條第二款所定個人資料檔案, 包括備份檔案第十條本法第四條第五款所稱刪除, 指依本法第十三條第三項規定, 使已儲存之個人資料自個人資料檔案中消失而不復存在 86 事訴訟法第二百五十三條及第二百五十三條之一規定, 亦包括檢察官參酌刑法第五十七條所列事項及公共利益之維護, 認以不起訴或緩起訴為適當者, 得為不起訴處分或緩起訴處分等有罪認定部分此外, 有關上開有罪判決或有罪認定之執行之紀錄, 亦屬之, 以保護當事人之個人資料隱私權益, 爰為第六項規定一本條刪除二為配合本法修正第二條第二款關於個人資料檔案之定義, 已將電磁紀錄物或其他類似媒體等文字刪除, 本條已無為定義性規定之必要, 爰予刪除一條次變更二配合本法條次變更, 酌作文字修正一條次變更二第一項刪除之定義除配合本法條次變更, 酌作文字修正外, 並以刪除係指使已儲存之個人資料自個人資料檔案中消失而刪除行為之認定, 應視刪除當時科技水準及技術, 參

93 關本身內部之資料傳送第五條本法第三條第三款所稱自動化機器, 指具有類似電腦功能, 而能接受指令程式或其他指示自動進行事件處理之機器第六條本法第三條第五款所稱第三人, 指保有個人資料檔案之公務機關或非公務機關以外之自然人法人或其他團體但不包括受委託處理資料之團體或個人第七條本法第三條第七款第三目所稱事業團體或個人, 指其以電腦處理大量之個人資料, 足以影響當事人之權益, 而有規 87 酌適用主體之組織型態, 使用一般社會通念之標準, 所為使個人資料消失之行為, 以作為參考標準, 尚無需達不復存在之標準, 始謂符合本法所稱之刪除, 爰刪除現行條文所定而不復存在文字三增訂第二項, 明定內部傳送係指公務機關或非公務機關內部之資料傳送, 例如公務機關內部各單位間之資料傳送 ( 不包括上級機關傳送個人資料予下級機關 ), 或者法人或團體或自然人之內部資料傳送一本條刪除二本法不區分是否用自動化機器處理之個人資料, 均適用相同之規定及法律效果, 是本條已無規定之必要, 爰予刪除一本條刪除二本法第二條第五款規定, 已刪除修正前第三條第五款所定第三人等文字, 本條已無規定之必要, 爰予刪除一本條刪除二配合本法放寬規範主體之修正意旨, 本法第二條第八款已修正刪除原第三條第七款第三目, 本條已無規定之必要, 爰予刪

94 第七條受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之範之必要者除第八條當事人向公務一本條刪除機關行使本法第四條所定之權利, 其程序由公務機關定之當事人向非公務機關行使本法第四條所定之權利, 其程序由其中央目的事業主管機關定之二有關公務機關對於當事人行使依本法第三條 ( 原第四條 ) 所定之權利, 相關執行方式等細節, 本得以行政規則訂定之 ( 例如公務機關個人資料保護要點等 ), 為免重複, 第一項規定爰予刪除三有關非公務機關對於當事人行使依本法第三條所定之權利, 為保持程序彈性並因應各行業特性, 相關程序可納入本法第二十七條第三項個人資料檔案安全維護計畫及業務終止後個人資料處理方法之標準等相關事項辦法, 或於消費者保護法第十七條定型化契約應記載或不得記載之事項中規範, 第二項規定爰予刪除第九條當事人行使本法第四條第一款及第二款所定權利時, 其個人資料以自個人資料檔案中列印者為限第十一條受公務機關或非公務機關委託電腦處理資料之團體或個人, 應依本法規定處理個人資料前項情形, 當事人行使本法之權利, 88 一本條刪除二鑒於本法保護客體不再限於經電腦處理之個人資料, 本法第二條第二款個人資料檔案, 包括其他非自動化方式檢索整理之個人資料之集合, 故本條已無規定之必要, 爰予刪除一條次變更二配合本法第四條, 將受委託行為除個人資料之處理外, 並包括蒐集及利用行為, 爰修正第一項, 並酌作文字修正三受委託蒐集處理或利

95 第八條委託他人蒐集處理或利用個人資料時, 委託機關應對受託者為適當之監督前項監督至少應包含下列事項 : 一預定蒐集處理或利用個人資料之範圍類別特定目的及其期間二受託者就第十二條第二項採取之措施三有複委託者, 其約定之受託者四受託者或其受僱人違反本法其他個人資料保護法律或其法規命令時, 應向委託機關通知之事項及採行之補救措施五委託機關如對受託者有保留指示者, 其保留指示之事項應向委託機關為之 89 用個人資料之法人團體或自然人, 依本法第四條規定, 於本法適用範圍內視同委託機關, 惟當事人行使依本法之相關權利, 究應向委託人或受託人為之, 允宜視個案狀況處理, 未必以委託機關為唯一對象, 爰刪除現行條文第二項規定一本條新增二由於本法第四條規定, 受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關為釐清公務機關或非公務機關與其受託人之責任歸屬, 參考日本個人資料保護法第二十二條規定, 明定委託機關應對受託者採取適當之監督, 以確保委託處理個人資料之安全管理, 爰為第一項規定三又為使委託機關與受託者之責任判斷有明確依據, 乃參考德國聯邦個人資料保護法第十一條第二項規定, 明定委託機關之監督事項, 以便委託機關善盡其選任及監督義務, 爰為第二項規定四委託機關應定期確認受託者執行個人資料保護措施之狀況, 委託機關並應將確認結果予以記錄, 乃參考德國聯邦個人資料保護法第十一條第二項規定, 為第三項規定 ; 又該紀

96 六委託關係終止或解除時, 個人資料載體之返還, 及受託者履行委託契約以儲存方式而持有之個人資料之刪除第一項之監督, 委託機關應定期確認受託者執行之狀況, 並將確認結果記錄之受託者僅得於委託機關指示之範圍內, 蒐集處理或利用個人資料受託者認委託機關之指示有違反本法其他個人資料保護法律或其法規命令者, 應立即通知委託機關第九條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務 90 錄應妥予保存, 以為舉證之便, 至於應保存之期限, 因涉及行業特性個人資料屬性及蒐集者內部資源分配與自負舉證程度而有不同, 無法統一規範, 從而各目的事業主管機關可依所管行業或團體之性質, 審酌於相關主管法規中加以訂定, 或由該行業或團體以自律規範為之, 或由蒐集者依其內部資源加以決定五另於第四項明定受託者受託處理個人資料之範圍及委託機關之指示違反本法其他法律或其法規命令涉有個人料保護之規定者, 受託者應立即通知委託機關之規定一本條新增二關於本法中所定法律是否包括法規命令, 宜予明文, 以杜爭議, 爰於本條明定本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 係指法律或法律具體明確授權之法規命令一本條新增二關於本法中所定法定職務之法定, 是否包括法規命令之規定, 宜予明文, 以杜爭議, 爰定明本法第六條第一項第二

97 , 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第十一條本法第六條第一項第二款第八條第二項第二款所稱法定義務, 指非公務機關依法律或法律具體明確授權之法規命 91 款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 係指法律法律授權之命令 ( 除依法律具體或概括授權之法規命令外, 依法律授權之處務規程或辦事細則亦屬之 ) 自治條例法律或自治條例授權之自治規則 ( 除依法律或自治條例具體或概括授權之自治法規外, 依法律或自治條例授權之組織規程亦屬之 ) 法律或中央法規授權之委辦規則所定公務機關之職務三又蒐集個人資料涉及當事人權益甚鉅, 不得僅以行政規則作為法定職掌之依據, 以符合法律保留原則是以, 未涉及公共利益或實現人民基本權利之保障等重大事項之給付行政措施, 其受法律規範之密度, 雖較限制人民權益者寬鬆, 而得以行政規則定之 ( 司法院釋字第四四三號及六一四號解釋意旨參照 ), 惟機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據, 併予敘明一本條新增二關於本法中所定法定義務之法定, 是否包括法規命令之規定, 宜予明文, 以杜爭議, 爰明定本法第六條第一項第二

98 令所定之義務第十二條本法第六條第一項第二款所稱適當安全維護措施第十八條所稱安全維護事項第二十七條第一項所稱適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之措施前項措施, 得包括下列事項, 並以與所欲達成之個人資料保護目的間, 具有適當比例為原則 : 一配置管理之人員及相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理 92 款第八條第二項第二款所稱法定義務, 係指非公務機關依法律或法律具體明確授權之法規命令所定之義務一本條新增二本法所稱適當安全維護措施安全維護事項適當之安全措施, 參考德國聯邦個人資料保護法第九條規定, 應係指技術上及組織上之措施, 爰為第一項規定三為確保個人資料檔案之合法且正當蒐集處理或利用, 辦理安全維護之適當措施內容宜予規範, 爰為第二項規定其目的為與國際接軌, 乃以 P-D- C-A 方法論予以建立, 使各企業得參考所列之十一款內容, 考量組織規模與保有個人資料之數量或內容, 依比例原則建立技術上與組織上之措施

99 九資料安全稽核機制十使用紀錄軌跡資料及證據保存十一個人資料安全維護之整體持續改善第十三條本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱當事人自行公開之個人資料, 指當事人自行對不特定人或特定多數人揭露其個人資料本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱已合法公開之個人資料, 指依法律或法律具體明確授權之法規命令所公示公告或以其他合法方式公開之個人資料第三十二條本法第十八條第二款所稱類似契約之關係, 指左列情形之一者 : 一非公務機關與當事人間於契約成立前, 為訂定契約或進行交易為目的, 所為接觸, 磋商所形成之信賴關係二契約因無效撤銷解除終止或履行而消滅時, 非公務機關與當事人為行使權利, 履行義務或確保個人資料完整性之目的所形成之連繫關係本法第十八條第三款所稱已公開之資料, 指不特定之第三人得合法取得或知悉之個人資料 93 一條次變更二現行第一項已移列修正條文第二十七條規範, 爰予刪除現行第二項則修正分列為二項規範三參酌司法院釋字第六三號解釋意旨, 基於人性尊嚴與個人主體性之維護及人格發展之完整, 並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制, 隱私權乃為不可或缺之基本權利, 而受憲法第二十二條所保障就個人自主控制個人資料之資訊隱私權而言, 乃保障人民決定是否揭露其個人資料及在何種範圍內於何時以何種方式向何人揭露之決定權, 並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權, 乃明確當事人自行公開之方式又參酌司法院釋字第一四五號解釋意旨, 所謂多數人, 係包括特定之多數人在內至於特定多數人之計算, 自應視其相關法規之立法意旨及實際情形已否達於公開之程度而

100 第十四條本法第七條所定書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之第十五條本法第七條第二項所定單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容並確認同意 94 定, 爰為第一項規定四本法規定已合法公開之個人資料, 係指該個人資料乃依法律或法律具體明確授權之法規命令所公示公告或以其他合法方式 ( 例如置於閱覽室供人閱覽 ) 公開者, 爰為第二項規定一本條新增二本法第七條所定書面意思表示之方式, 包括無實體存在界面之意思表示方式, 以目前對於以電子文件之方式表示意思者, 僅有電子簽章法之規範, 爰規定上開意思表示依電子簽章法之規定, 得以電子文件為之, 以解決實務上當事人利用網際網路及資訊通信設備所為同意之意思表示一本條新增二本法第七條第二項所定之書面同意, 乃當事人同意資料蒐集者, 將其個人資料作與蒐集目的不同之其他目的使用, 因不符原先蒐集資料之特定目的, 該書面同意自應特別審慎, 故明文規範須為單獨所為之書面意思表示因此, 該意思表示如與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容後並確認將其個人資料作與蒐集目的不同之其他目的使用之同意, 以避免當事

101 第十六條依本法第八條第九條及第五十四條所定告知之方式, 得以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之 95 人疏忽而為概括同意, 爰為本條規定三又使當事人得以知悉之內容, 依本法第七條第二項規定, 係指當事人經蒐集者明確告知特定目的外之其他利用目的範圍及同意與否對其權益之影響一本條新增二個人資料之蒐集, 事涉當事人之隱私權益為使當事人明知其個人資料被何人蒐集及其資料類別蒐集目的等, 本法規定告知義務, 俾使當事人能知悉其個人資料被他人蒐集之情形, 以落實個人資料之自主控制三由於本法修正擴大適用範圍, 原本不受本法規範從事個人資料蒐集處理或利用者, 修法後均將適用本法, 惟其在本法修正施行前已蒐集完成之個人資料 ( 該等資料大多屬於間接蒐集之情形 ), 雖非違法, 惟因當事人均不知資料被蒐集情形, 故本法明定仍應向當事人完成告知, 使當事人知悉其個人資料被使用之情形, 以落實個人資料之自主控制準此, 蒐集者應以個別通知之方式讓當事人知悉, 又告知之方式, 凡足以使當事人知悉或可得知悉之方式, 均屬之, 爰為本條規定

102 第十七條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人第十八條本法第十條第三款所稱妨害第三人之重大利益, 指有害於第三人個人之生命身體自由財產或其他重大利益第十九條當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時, 應為適當之釋明第二十二條本法第十二條第三款所稱妨害第三人之重大利益, 指左列各款情形之一 : 一有害於第三人個人之生命身體自由財產或其他重大利益者二檔案資料自第三人取得, 如應當事人之請求准予查詢閱覽或製給複製本, 將損及保有機關與第三人之協助或信賴關係者第二十五條當事人依本法第十三條第一項規定向公務機關請求更正或補充其個人資料時, 應提出足資釋明之證據 96 一本條新增二本條定明本法所稱資料經過處理後或依其揭露方式無從識別特定當事人之類型, 係指個人資料以代碼匿名隱藏部分資料或其他揭露方式使之無從辨識該特定個人之情形三至於各公務或非公務機關如在適用本條規定要件上有明確之必要者, 各公務機關或目的事業主管機關得斟酌訂定裁量基準, 俾供所屬機關或所管行業遵循一條次變更二現行條文第一款配合本法條次變更, 酌作文字修正並移列為修正條文 ; 現行條文第二款規定內涵已包含於第一款內, 並無訂定必要, 爰予刪除一條次變更二配合本法條次變更修正所引條次, 並增訂當事人亦得向非公務機關請求更正或補充其個人資料 ; 另以當事人請求更正或補充

103 第二十條本法第十一條第三項所稱特定目的消失, 指下列各款情形之一 : 一公務機關經裁撤或改組而無承受業務機關二非公務機關歇業解散而無承受機關, 或所營事業營業項目變更而與原蒐集目的不符三特定目的已達成而無繼續處理或利用之必要四其他事由足認該特定目的已無法達成或不存在第二十三條本法第十三條第一項所稱正確, 指個人資料於特定目的之利用範圍內, 應力求其確實完整及從新所稱適時, 指公務機關應儘速更正或補充本法第十三條第二項及第三項所稱執行職務, 指公務機關依法令執行公務, 或非公務機關經營其所營事業或依其設立目的所從事之行為本法第十三條第三項所稱特定目的消失, 指左列各款情形之一 : 一公務機關經裁撤或改組者二非公務機關停業歇業解散或所營事業營業項目變更者三特定目的已達成而無繼續使用之必要者四其他事由足認該特定目的已無法達成者 97 其個人資料時, 應舉其原因及事實而為適當之釋明即為已足, 爰酌作修正三又個人資料有關意見與鑑定部分, 因涉及價值判斷, 無關事實資料之對錯, 不能更正, 僅有事實部分可更正, 併予敘明一條次變更二現行條文第一項及第二項無規定之必要, 爰予刪除三現行條文第三項移列為修正條文, 並修正如下 : ( 一 ) 序文配合本法條次變更修正所引條次, 另併同各款作文字修正 ( 二 ) 有關公務機關經裁撤或改組, 須無業務之承受機關, 始能為公務機關之特定目的消失, 爰修正如第一款規定 ( 三 ) 有關非公務機關歇業解散而無承受機關, 或所營事業營業項目變更而有與原蒐集目的不符之情形, 方為非公務機關之特定目的消失, 停業因具有期限性, 非公務機關尚未喪失其主體性, 故非屬特定目的消失之情形, 爰修正如第二款規定 ( 四 ) 第三款酌作文字修正, 將使用修正為處理或利用 ( 五 ) 第四款增列特定目的已不存在之類型, 亦屬特定目的消失之情形

104 第二十一條有下列各款情形之一者, 屬於本法第十一條第三項但書所定因執行職務或業務所必須 : 一有法令規定或契約約定之保存期限二有理由足認刪除將侵害當事人值得保護之利益三其他不能刪除之正當事由第二十二條本法第十二條所稱適當方式通知, 指即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但需第二十四條公務機關依本法第十三條規定為更正補充刪除或停止電腦處理利用該資料時, 應通知其所知悉已收受該個人資料之機關團體或個人前項所稱個人資料, 包括經由電腦列印之報表或其他可供紀錄之物品但本法或其他法律另有規定者, 依其規定 98 一本條新增二公務機關或非公務機關有本法第十一條第三項本文所列事由, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料然如有同項但書所列因執行職務或業務所必須或經當事人書面同意者, 則不在此限所謂因執行職務或業務所必須, 有依法令規定或契約約定之保存期限有理由足認刪除將侵害當事人值得保護之利益或其他不能刪除之正當事由等情形, 爰增訂本條, 以資明確一本條刪除二現行第一項已於本法第十一條第五項明定, 爰予刪除三鑒於本法保護客體不再限於經電腦處理之個人資料, 本法第二條第二款個人資料檔案, 亦包括其他非自動化方式檢索整理之個人資料之集合, 故現行第二項亦已無規定必要, 併予刪除一本條新增二為使個人資料發生被竊取洩漏竄改或其他侵害者, 能即時通知當事人, 並兼顧個人資料權益保護與通知效率, 以保障個人權益, 乃規定通知之適當方式應即時以言詞書

105 費過鉅者, 得斟酌技術之可行性及當事人隱私之保護, 以網際網路新聞媒體或其他適當公開方式為之依本法第十二條規定通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施第十二條本法第八條第八款所稱有利於當事人權益者, 指顯於當事人有利, 當事人如知悉其事亦無理由可以拒絕者第十三條本法第九條及第二十四條所稱國際傳遞及利用, 指利 99 面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但通知需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護 ( 不揭示可直接或間接識別當事人之個人資料 ), 以網際網路新聞媒體或其他適當之公開方式為之, 爰為第一項規定三為使當事人能有知悉其個人資料遭受非法侵害之情形, 並明確公務機關或非公務機關通知當事人義務之內容, 參照德國聯邦個人資料保護法第四十二條 a 規定, 明定依法通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施, 爰為第二項規定四至於各公務或非公務機關如在適用本條規定要件上有明確之必要者, 各公務機關或目的事業主管機關得斟酌訂定裁量基準, 俾供所屬機關或所管行業遵循一本條刪除二本法所稱有利於當事人權益者, 係屬不確定法律概念, 宜由個案認定, 保留彈性, 爰刪除本條一本條刪除二本法第二條第六款已有國際傳輸之定義, 本條已

106 第二十三條公務機關依本法第十七條規定為公開, 應於建立個人資料檔案後一個月內為之 ; 變更時, 亦同公開方式應予以特定, 並避免任意變更本法第十七條所稱其他適當方式, 指利用政府公報新聞紙雜誌電子報或其他可供公眾查閱之方式為公開用有線電無線電光學系統或其他電磁系統等經由通信網路傳遞及利用, 不包括利用郵寄攜帶傳輸微縮膠片打孔卡片電腦報表電磁紀錄物傳遞之情形第十四條公務機關依本法第十條第一項規定為公告時, 應於個人資料檔案上線使用後一個月內為之變更時, 亦同前項公告方式應予以特定, 並避免任意更換第十五條本法第十條第一項所稱其他適當方式, 指利用電視新聞紙雜誌或其他可供公眾知悉之傳播媒體為公告前項公告期間不得少於二日 100 無規定之必要, 爰予刪除一本條由現行條文第十四條及第十五條合併修正二第一項由現行條文第十四條移列, 除配合本法條次變更外, 以本法規範已涵括自動化機器或其他非自動化方式蒐集之個人資料, 不限於上線使用方式, 故由各公務機關依其保有個人資料檔案之情形, 於建立個人資料檔案後一個月內為之, 爰酌修文字三第二項由現行條文第十五條第一項移列, 除配合本法條次變更修正文字外, 並參考其他法律之規定, 增訂公開適當方式之例示規定 ; 又新增之政府公報因不屬傳播媒體, 故將本項後段文字修正為其他可供公眾查閱之方式, 以為涵蓋四修正條文第二項已將現行條文第十五條第一項所定其他可供公眾知悉之傳播媒體為公告, 修正為其他可供公眾查閱之方式為公開, 故其規範公開個人資料檔案之義務應具有持續性, 且其列舉方式亦不

107 第二十四條公務機關保有個人資料檔案者, 應訂定個人資料安全維護規定第二十五條本法第十八條所稱專人, 指具有管理及維護個人資料檔案之能力, 且足以擔任機關之個人資料檔案安全維護經常性工作之人員公務機關為使專人具有辦理安全維護事項之能力, 應辦理第十六條本法第十條第一項第三款所定個人資料檔案利用機關名稱, 得以概括方式列明其範圍機關總數公告之但為特定目的外利用者, 應臚列其機關之名稱及本法第八條所定之事由第十七條本法第十條第一項第四款所稱依據, 指保有個人資料檔案法令或行政計畫之依據第三十四條公務機關保有個人資料檔案者, 應訂定電腦處理個人資料安全維護法令, 其內容應包括資料安全資料稽核, 設備管理及其他安全維護等事項限現行第十五條第一項所定情形, 故已毋庸另行規範公告期間, 現行條文第十五條第二項爰予刪除一本條刪除二本法修正前第十條第一項第三款規定業已刪除, 本條爰配合刪除一本條刪除二本法保有依據之規定甚為明確, 毋庸再行定義, 爰予刪除一條次變更二公務機關保有個人資料檔案所應訂定個人資料安全維護規定, 以強化公務機關個人資料管理之機制, 至其應訂定內容應依修正條文第十二條第二項規定處理, 並無規範必要, 爰酌作文字修正一本條新增二為使本法第十八條所定專人之職務內容更為明確, 爰於第一項定明係指具有管理及維護個人資料檔案之能力, 且足以擔任機關之個人資料檔案安全維護經常性工作之人員, 該人力得以團隊方式執行職務 101

108 或使專人接受相關專業之教育訓練第十八條本法第十條第一項第八款所定處所, 應載明其地址所定收受者為法人團體者, 應載明其名稱代表人姓名 ; 為自然人者, 其姓名本法第十條第一項第九款及第二十條第一項第九款所定直接收受者, 應載明其收受處所之地址為法人團體者, 應載明其國別名稱代表人姓名 ; 為自然人者, 其國籍及姓名本法第十條第一項第十款所定機關與保有個人資料檔案紀錄之機關相同者, 該機關毋需公告機關之名稱及地址第十九條本法第十一條第五款所定入出境管理事務, 包括個人護照事務 102 三又為使專人經常性接受專業之個人資料保護與管理教育訓練, 以維持相當水準之辦理安全維護事項能力, 所屬公務機關應辦理或使專人接受相關專業之教育訓練, 爰規定如第二項一本條刪除二本法修正前第十條第一項第八款至第十款及第二十條規定業已刪除, 本條爰配合刪除一本條刪除二本法基於個人資料檔案因其性質特殊而不宜公開其檔案名稱者, 應依政府資訊公開法或相關法律規定予以限制公開, 已刪除修正前第十一條規定, 本條爰配合刪除第二十條本法第十一一本條刪除

109 條第七款所稱人事事項, 指各級公務機關儲存管理之公務員個人基本資料及銓敘有關資料, 包括公務機關辦理訓練之機構對於學員履歷成績考核或其他考查之個人資料檔案處理事項前項資料之認定有疑義時, 由主管機關確認之第二十一條本法第十一條第八款所稱專供試驗性電腦處理之個人資料檔案, 指專供實驗測試等暫時性使用, 而應於六個月內銷毀者第二十六條本法第十四條及第二十二條所定簿冊, 得以電腦終端設備或其他足供當事人查閱之相關設備文件方式代替之第二十七條公務機關依本法第十四條非公務機關依本法第二十二條規定備置之簿冊, 除登載本法第十條第一項第二十條第一項第一款至第十款所列之事項外, 並得將資料之保有期限及已否公開等事項列入登載簿冊由公務機關及非公務機關指定管理單位及查閱處 103 二刪除理由同前條說明二一本條刪除二刪除理由同現行條文第十九條說明二一本條刪除二本法修正前第十四條及第二十二條所定備置簿冊之規定, 業已刪除, 本條爰配合刪除一本條刪除二刪除理由同前條說明二

110 第二十六條本法第十九條第一項第二款所定契約或類似契約之關係, 不以本法修正施行後成立者為限所第二十八條公務機關及非公務機關關於個人資料檔案之查閱及製給複製本之收費, 應具體反應受理查閱及製給複製本之成本第二十九條非公務機關依本法第二十條第一項規定申請登記時, 得為二項以上特定目的之登記第三十條本法第十八條第一款所稱當事人書面同意, 指依書面之記載, 足認當事人已有同意之表示者非公務機關基於特定目的, 為取得當事人書面同意, 於初次洽詢時, 檢附為特定目的蒐集電腦處理或利用之相關資料, 連同得於所定相當期間表示反對意思之書面, 經本人或其法定代理人收受, 而未於所定期間內為反對之意思表示者, 推定其已有同意之表示第三十一條本法第十八條第二款所定契約, 不以本法施行後成立者為限一本條刪除二本法第十四條已明定查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用, 本條已無規範之必要, 爰予刪除一本條刪除二本法對非公務機關已取消行業別之限制及登記制度, 修正前第二十條規定業已刪除, 本條爰配合刪除一本條刪除二有關當事人之書面同意, 本法第七條已定有明文, 本條爰予刪除一條次變更並配合本法條次修正酌作文字修正二由於契約或類似契約之關係可能跨越本法施行前後, 且本法修正前第十八條已有規範, 人民應有 104

111 第二十七條本法第十九條第一項第二款所定契約關係, 包括本約, 及非公務機關與當事人間為履行該契約, 所涉及必要第三人之接觸磋商或聯繫行為及給付或向其為給付之行為本法第十九條第一項第二款所稱類似契約之關係, 指下列情形之一者 : 一非公務機關與當事人間於契約成立前, 為準備或商議訂立契約或為交易之目的, 所進行之接觸或磋商行為二契約因無效撤銷解除終止而消滅或履行完成時, 非公務機關與當事人為行使權利履行義務, 或確保個人資料完整性之目的所為之連繫行為第二十八條本法第十九條第一項第七款所稱一般可得之來源, 指透過大眾傳播網際網路新聞雜誌政府公報及其他一第三十二條第一項本法第十八條第二款所稱類似契約之關係, 指左列情形之一者 : 一非公務機關與當事人間於契約成立前, 為訂定契約或進行交易為目的, 所為接觸, 磋商所形成之信賴關係二契約因無效撤銷解除終止或履行而消滅時, 非公務機關與當事人為行使權利, 履行義務或確保個人資料完整性之目的所形成之連繫關係 105 信賴之期待可能性, 不致產生衝擊, 無須重新締約一本條由現行條文第三十二條第一項移列修正二為解決非公務機關與契約當事人之權利義務關係, 因該內部關係之基本行為所涉及與第三人之接觸磋商或聯繫行為, 以及由該第三人為給付行為或向其為給付之行為等涉他契約之關係, 而附隨第三人個人資料之蒐集或處理, 亦屬非公務機關與當事人有契約之關係, 得由非公務機關蒐集或處理其個人資料, 爰增訂第一項三現行條文第一項移列至第二項, 除酌作文字修正外, 並以非公務機關與當事人間於契約成立前, 為準備或商議訂立契約所進行之接觸或磋商行為, 均屬非公務機關與當事人間之信賴關係, 爰參酌民法第二百四十五條之一第一項規定, 修正第一款規定一本條新增二由於資訊科技及網際網路之發達, 個人資料之蒐集處理或利用甚為普遍, 個人資料之來源是否合法, 經常無法求證或需費

112 般人可得知悉或接觸而取得個人資料之管道第三十三條本法第十九條第三項所稱收費標準, 指各級目的事業主管機關依本法所為之登記許可及發給執照所收之審查費登記費執照費等規費之數額第三十五條第二十四條第一項第二十五條及第三十四條規定, 於非公務機關準用之第三十六條非公務機關依本法第二十條第三項規定為處理方法之陳報時, 應依其種類載明左列各款 : 一銷毀 : ( 一 ) 銷毀之方法 ( 二 ) 銷毀之時間地點 ( 三 ) 以何種方式證明銷毀二移轉 : 106 過鉅, 為避免蒐集者動輒觸法或求證費時, 本法第十九條第一項第七款明定個人資料取自於一般可得之來源者, 亦得蒐集或處理為明確該一般可得之來源所指為何, 爰增訂本條, 明文例示包括網際網路新聞雜誌政府公報及其他一般人可得知悉個人資料之來源等情形在內一本條刪除二本法對非公務機關已取消行業別之限制及登記制度, 修正前第十九條規定業已刪除, 本條爰配合刪除一本條刪除二本條相關規定已分別明定於本法第十一條第五項本細則修正條文第十九條本法第二十七條第一項及本細則修正條文第十二條等規定, 爰予刪除一本條刪除二本條所定事項關涉本法第二十七條第二項第三項所定之處理方法, 應不限於銷毀移轉之方式, 為避免掛一漏萬, 爰不予規定, 由各中央目的事業主管機關依行業之特性於本法第二十七條第三項之授權辦法中規定, 本條爰予刪除

113 ( 一 ) 移轉之原因, 如出售贈與或其他原因 ( 二 ) 移轉之對象, 包括其屬性, 為公務機關或非公務機關 ( 三 ) 移轉對象得保有該項個人資料檔案之依據及證明 ( 四 ) 移轉之方法時間地點目的事業主管機關於必要時, 得派員監督其銷毀或移轉過程非公務機關於為第一項銷毀或移轉後, 應向目的事業主管機關提出證明第三十七條非公務機關依本法第二十一條規定為公告時, 應於申請登記核准後二個月內為之變更時, 亦同第三十八條本法第二十一條所定登載於當地新聞紙, 其期間不得少於二日第三十九條非公務機關依本法第二十一條所為之公告並登載於當地新聞紙, 左列事項得不記載 : 一關於該非公務機關之人事勤務薪給衛生 107 一本條刪除二本法對非公務機關已取消行業別之限制及登記制度, 修正前第二十一條規定業已刪除, 本條爰配合刪除一本條刪除二刪除理由同前條說明二一本條刪除二刪除理由同現行條文第三十七條說明二

114 第二十九條依本法第二十二條規定實施檢查時, 應注意保守秘密及被檢查者之名譽第三十條依本法第二十二條第二項規定, 扣留或複製得沒入或可為證據之個人資料或其檔案時, 應掣給收據, 載明其名稱數量所有人地點及時間依本法第二十二條第一項及第二項規定實施檢查後, 應作成紀錄前項紀錄當場作成者, 應使被檢查者福利或其他相關事項者二專供試驗性電腦處理者三將於公告前刪除者四其他法律特別規定者第四十條本法第二十五條第一項所稱必要時, 指有事實足認為該非公務機關有違反本法第十八條至第二十四條之情事, 或有違反之虞者本法第二十五條第一項所定證明文件, 應記載左列事項 : 一檢查機關名稱二檢查人員之姓名及職稱三檢查依據檢查機關應保守秘密, 並應注意被檢查者之名譽第四十一條目的事業主管機關依本法第二十五條第一項規定派員檢查時, 要求受檢查者提供資料書面說明或其他物品, 或為扣押者, 應掣給收據, 載明其名稱數量所有人地點及時間目的事業主管機關實施檢查後, 應作成紀錄, 記載檢查程序要求提供之資料 108 一條次變更二現行條文第一項規定已明定於本法第二十二條第一項前段, 第二項則無規定必要, 爰併予刪除三現行條文第三項規定移列修正條文, 並配合本法條次變更酌作文字修正一條次變更二第一項除配合本法第二十二條第一項規定作文字修正外, 並以得扣留或複製之物為本法第二十二條第二項規定之得沒入或可為證據之個人資料或其檔案者, 應掣給收據, 載明其名稱數量所有人地點及時間, 以供查證, 爰定明之三中央目的事業主管機關及直轄市縣 ( 市 ) 政府依本法第二十二條第一項

115 閱覽及簽名, 並即將副本交付被檢查者 ; 其拒絕簽名者, 應記明其事由紀錄於事後作成者, 應送達被檢查者, 並告知得於一定期限內陳述意見檢查結果及其他之配合措施有扣押物者, 應載明前項收據應載明之事項前項紀錄當場作成者, 應使被檢查者閱覽並簽名 ; 被檢查者得以另以書面陳述意見紀錄於事後作成者, 應另寄副本與被檢查者, 告以得陳述意見 ; 被檢查者於收受後得以書面表示意見目的事業主管機關依檢查報告, 並斟酌被檢查者提出之意見, 認被檢查者違反法令時, 應依法處理扣押物無留存之必要者, 應發還之第四十二條依本法第二十七條或第二十八 109 及第二項規定實施檢查後, 應作成紀錄, 至紀錄所記載之事項, 衡諸行政程序法第三十八條行政罰法第三十四條有關製作書面紀錄之規定, 均未詳列記載內容, 故宜視實際狀況由中央各目的事業主管機關及直轄市縣 ( 市 ) 政府本於權責酌定之, 並避免掛漏, 且第一項已就扣留或複製得沒入或可為證據之個人資料或其檔案時, 其收據應記載事項予以明文, 爰第二項配合修正四現行第三項前段紀錄係當場作成者, 除應使被檢查者閱覽及簽名之外, 亦應將副本立即交付被檢查者, 其拒絕簽名者, 應記明其事由, 以資證明, 爰酌予修正 ; 至於機關依行政程序法第一百零二條第一百零四條或行政罰法第四十二條規定告知被檢查人得陳述意見, 事屬當然五現行第三項後段移列至第四項, 並配合行政程序法送達規定, 酌作文字修正六現行第四項及第五項規定, 得依行政程序法第四十三條規定處理或已明定於本法第二十三條第二項, 爰予刪除一本條刪除二依法律不溯及既往原則

116 第三十一條本法第五十二條第一項所稱之公益團體, 指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人財團法人及行政法人第三十二條本法修正施行前已蒐集或處理由當事人提供之個人資料, 於修正施行後, 得繼續為處理及特定目的內之利用 ; 其條規定請求賠償者, 以該違法行為及其所生損害均在本法施行後者為限第四十三條公務機關之監督機關收受當事人依本法第三十一條第一項所為之請求後, 認其請求不合法或無理由者, 應敘明理由駁回之 ; 認其請求有理由者, 應限期命原公務機關依當事人之請求改正之, 並通知當事人第四十四條本法第四十二條第三項所稱之公益團體, 指從事與該種類個人資料相關之公益活動, 依民法或其他特別法令組成之公益社團法人財團法人以及經中央目的事業主管機關核准之非法人團體 110, 本條規定內容乃為當然之理, 毋庸再行規定, 爰予刪除一本條刪除二本法修正前之第三十一條規定業已刪除, 本條爰配合刪除一條次變更二中央目的事業主管機關及直轄市縣 ( 市 ) 政府, 依本法第五十二條第一項規定於必要時得委託公益團體辦理相關管理事業, 屬公權力之授予, 事關人民權益, 爰對得受委託之公益團體之資格明確規定, 除依民法或其他法律設立之外, 並須具備個人資料保護專業能力之公益團體 ; 至所定公益團體, 參考公益勸募條例第五條規定, 包括公益社團法人財團法人及行政法人者, 爰併配合本法條次變更, 酌作修正一本條新增二本法第五十四條係規範本法修正施行前非由當事人提供之個人資料, 雖非違法, 惟因當事人均不知資料被蒐集情形, 如未給

117 為特定目的外之利用者, 應依本法修正施行後之規定為之第三十三條本細則施行日期, 由法務部定之第四十五條本法公布施行前非公務機關已從事個人資料之蒐集或電腦處理, 而於依本法申請登記或許可前, 經告知當事人而當事人未為反對之意思表示者, 得於本法第四十三條第一項所定期間內, 繼續從事該個人資料之蒐集或電腦處理第四十六條本細則自發布日施行予規範而繼續利用, 恐仍會損害當事人權益, 故訂定過渡條款, 以資適用反面解釋, 如屬由當事人提供之個人資料, 為避免新舊法銜接之適用疑慮, 爰增訂本條, 規定本法修正施行前公務機關或非公務機關已蒐集由當事人提供之個人資料, 於修正施行後, 得繼續為蒐集處理及特定目的內之利用, 以資明確至於如欲為特定目的外之利用, 自當依本法修正施行後之規定為之一本條刪除二本法對非公務機關已取消行業別之限制及登記制度, 修正前第四十三條規定業已刪除, 本條爰配合刪除一條次變更二本細則本次修正條文之施行日期, 修正為由法務部配合本法之施行日期定之 111

118 伍個人資料保護法及同法施行細則相關條文對照表個人資料保護法第五十五條本法施行細則, 由法務部定之第一條為規範個人資料之蒐集處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用, 特制定本法第二條本法用詞, 定義如下 : 一個人資料 : 指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料二個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合三蒐集 : 指以任何方式取得個人資料四處理 : 指為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送五利用 : 指將蒐集之個人資料為處理以外之使用六國際傳輸 : 指將個人資料作跨國 ( 境 ) 之處理或利用七公務機關 : 指依法行使公權力之中央或地方機關或行政法人八非公務機關 : 指前款以外之自然人法人或其他團體個人資料保護法施行細則第一條本細則依個人資料保護法 ( 以下簡稱本法 ) 第五十五條規定訂定之第二條本法所稱個人, 指現生存之自然人第三條本法第二條第一款所稱得以間接方式識別, 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照組合連結等, 始能識別該特定之個人第四條本法第二條第一款所稱病歷之個人資料, 指醫療法第六十七條第二項所列之各款資料本法第二條第一款所稱醫療之個人資料, 指病歷及其他由醫師或其他之醫事人員, 以治療矯正預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料本法第二條第一款所稱基因之個人資料, 指由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息本法第二條第一款所稱性生活之個人資料, 指性取向或性慣行之個人資料本法第二條第一款所稱健康檢查之個人資料, 指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料 112

119 個人資料保護法九當事人 : 指個人資料之本人第三條當事人就其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除第四條受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關個人資料保護法施行細則本法第二條第一款所稱犯罪前科之個人資料, 指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄第五條本法第二條第二款所定個人資料檔案, 包括備份檔案第六條本法第二條第四款所稱刪除, 指使已儲存之個人資料自個人資料檔案中消失本法第二條第四款所稱內部傳送, 指公務機關或非公務機關本身內部之資料傳送第七條受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之第八條委託他人蒐集處理或利用個人資料時, 委託機關應對受託者為適當之監督前項監督至少應包含下列事項 : 一預定蒐集處理或利用個人資料之範圍類別特定目的及其期間二受託者就第十二條第二項採取之措施三有複委託者, 其約定之受託者四受託者或其受僱人違反本法其他個人資料保護法律或其法規命令時, 應向委託機關通知之事項及採行之補救措施 113

120 個人資料保護法第五條個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯第六條有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用但有下列情形之一者, 不在此限 : 一法律明文規定二公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施三當事人自行公開或其他已合法公開之個人資料四公務機關或學術研究機構基於醫療衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集處理或利用之個人資料前項第四款個人資料蒐集處理或利用之範圍程序及其他應遵行事項之辦法, 由中央目的事業主管機關個人資料保護法施行細則五委託機關如對受託者有保留指示者, 其保留指示之事項六委託關係終止或解除時, 個人資料載體之返還, 及受託者履行委託契約以儲存方式而持有之個人資料之刪除第一項之監督, 委託機關應定期確認受託者執行之狀況, 並將確認結果記錄之受託者僅得於委託機關指示之範圍內, 蒐集處理或利用個人資料受託者認委託機關之指示有違反本法其他個人資料保護法律或其法規命令者, 應立即通知委託機關第四條本法第二條第一款所稱病歷之個人資料, 指醫療法第六十七條第二項所列之各款資料本法第二條第一款所稱醫療之個人資料, 指病歷及其他由醫師或其他之醫事人員, 以治療矯正預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料本法第二條第一款所稱基因之個人資料, 指由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息本法第二條第一款所稱性生活之個人資料, 指性取向或性慣行之個人資料 114

121 個人資料保護法會同法務部定之個人資料保護法施行細則本法第二條第一款所稱健康檢查之個人資料, 指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料本法第二條第一款所稱犯罪前科之個人資料, 指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄第九條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第十一條本法第六條第一項第二款第八條第二項第二款所稱法定義務, 指非公務機關依法律或法律具體明確授權之法規命令所定之義務第十二條本法第六條第一項第二款所稱適當安全維護措施第十八條所稱安全維護事項第二十七條第一項所稱適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之措施前項措施, 得包括下列事項, 並以與所欲達成之個人資料保護目的間 115

122 個人資料保護法第七條第十五條第二款及第十九條第五款所稱書面同意, 指當事人經蒐集者告知本法所定應告知事項後, 所為允許之書面意思表示第十六條第七款第二十條第一項第六款所稱書面同意, 指當事人經蒐集者明確告知特定目的外之其他利用目的範圍及同意與否對其權益之影響後, 單獨所為之書面意思表示個人資料保護法施行細則, 具有適當比例為原則 : 一配置管理之人員及相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理九資料安全稽核機制十使用紀錄軌跡資料及證據保存十一個人資料安全維護之整體持續改善第十三條本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱當事人自行公開之個人資料, 指當事人自行對不特定人或特定多數人揭露其個人資料本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱已合法公開之個人資料, 指依法律或法律具體明確授權之法規命令所公示公告或以其他合法方式公開之個人資料第十四條本法第七條所定書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之第十五條本法第七條第二項所定單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容並確認同意第八條公務機關或非公務機關依第十第九條本法第六條第一項第一款第 116

123 個人資料保護法五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一公務機關或非公務機關名稱二蒐集之目的三個人資料之類別四個人資料利用之期間地區對象及方式五當事人依第三條規定得行使之權利及方式六當事人得自由選擇提供個人資料時, 不提供將對其權益之影響有下列情形之一者, 得免為前項之告知 : 一依法律規定得免告知二個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要三告知將妨害公務機關執行法定職務四告知將妨害第三人之重大利益五當事人明知應告知之內容第九條公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料, 應於處理或利用前, 向當事人告知個人資料來源及前條第一項第一款至第五款所列事項有下列情形之一者, 得免為前項之告知 : 一有前條第二項所列各款情形之一二當事人自行公開或其他已合法公開之個人資料三不能向當事人或其法定代理人為告知個人資料保護法施行細則八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第十一條本法第六條第一項第二款第八條第二項第二款所稱法定義務, 指非公務機關依法律或法律具體明確授權之法規命令所定之義務第十六條依本法第八條第九條及第五十四條所定告知之方式, 得以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之第十三條本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱當事人自行公開之個人資料, 指當事人自行對不特定人或特定多數人揭露其個人資料本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱已合法公開之個人資料, 指依法律或法律具體明確授權之法規命令所公示公告或以其他合法方式公開之個人資料第十六條依本法第八條第九條及第五十四條所定告知之方式, 得以言詞 117

124 個人資料保護法四基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限五大眾傳播業者基於新聞報導之公益目的而蒐集個人資料第一項之告知, 得於首次對當事人為利用時併同為之第十條公務機關或非公務機關應依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本但有下列情形之一者, 不在此限 : 一妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益二妨害公務機關執行法定職務三妨害該蒐集機關或第三人之重大利益第十一條公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料但因執行職務或業務所必須或經個人資料保護法施行細則書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之第十七條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第十八條本法第十條第三款所稱妨害第三人之重大利益, 指有害於第三人個人之生命身體自由財產或其他重大利益第十九條當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時, 應為適當之釋明第二十條本法第十一條第三項所稱特定目的消失, 指下列各款情形之一 : 一公務機關經裁撤或改組而無承受業務機關二非公務機關歇業解散而無承受機關, 或所營事業營業項目變更而與原蒐集目的不符三特定目的已達成而無繼續處理或 118

125 個人資料保護法當事人書面同意者, 不在此限違反本法規定蒐集處理或利用個人資料者, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料因可歸責於公務機關或非公務機關之事由, 未為更正或補充之個人資料, 應於更正或補充後, 通知曾提供利用之對象第十二條公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人第十三條公務機關或非公務機關受理當事人依第十條規定之請求, 應於十五日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾十五日, 並應將其原因以書面通知請求人公務機關或非公務機關受理當事人依第十一條規定之請求, 應於三十日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾三十日, 並應將其原因以書面通知請求人第十四條查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用第十五條公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料個人資料保護法施行細則利用之必要四其他事由足認該特定目的已無法達成或不存在第二十一條有下列各款情形之一者, 屬於本法第十一條第三項但書所定因執行職務或業務所必須 : 一有法令規定或契約約定之保存期限二有理由足認刪除將侵害當事人值得保護之利益三其他不能刪除之正當事由第二十二條本法第十二條所稱適當方式通知, 指即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護, 以網際網路新聞媒體或其他適當公開方式為之依本法第十二條規定通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條 119

126 個人資料保護法外, 應有特定目的, 並符合下列情形之一者 : 一執行法定職務必要範圍內二經當事人書面同意三對當事人權益無侵害第十六條公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為維護國家安全或增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六有利於當事人權益七經當事人書面同意第十七條公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱及聯絡方式個人資料保護法施行細則第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第九條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十條本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則第十七條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人第二十三條公務機關依本法第十七條規定為公開, 應於建立個人資料檔案後一個月內為之 ; 變更時, 亦同公開方式應予以特定, 並避免任意變更 120

127 個人資料保護法三個人資料檔案保有之依據及特定目的四個人資料之類別第十八條公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏個人資料保護法施行細則本法第十七條所稱其他適當方式, 指利用政府公報新聞紙雜誌電子報或其他可供公眾查閱之方式為公開第十二條本法第六條第一項第二款所稱適當安全維護措施第十八條所稱安全維護事項第二十七條第一項所稱適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之措施前項措施, 得包括下列事項, 並以與所欲達成之個人資料保護目的間, 具有適當比例為原則 : 一配置管理之人員及相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理九資料安全稽核機制十使用紀錄軌跡資料及證據保存十一個人資料安全維護之整體持續改善第二十四條公務機關保有個人資料檔案者, 應訂定個人資料安全維護規定第二十五條本法第十八條所稱專人, 指具有管理及維護個人資料檔案之能力, 且足以擔任機關之個人資料檔案安全維護經常性工作之人員公務機關為使專人具有辦理安全 121

128 個人資料保護法第十九條非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一法律明文規定二與當事人有契約或類似契約之關係三當事人自行公開或其他已合法公開之個人資料四學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人五經當事人書面同意六與公共利益有關七個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料個人資料保護法施行細則維護事項之能力, 應辦理或使專人接受相關專業之教育訓練第九條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十三條本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱當事人自行公開之個人資料, 指當事人自行對不特定人或特定多數人揭露其個人資料本法第六條第一項第三款第九條第二項第二款第十九條第一項第三款所稱已合法公開之個人資料, 指依法律或法律具體明確授權之法規命令所公示公告或以其他合法方式公開之個人資料第十七條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人第二十六條本法第十九條第一項第二款所定契約或類似契約之關係, 不以本法修正施行後成立者為限第二十七條本法第十九條第一項第二款所定契約關係, 包括本約, 及非公務機關與當事人間為履行該契約, 所涉及必要第三人之接觸磋商或聯繫行為及給付或向其為給付之行為本法第十九條第一項第二款所稱類似契約之關係, 指下列情形之一者 : 一非公務機關與當事人間於契約成 122

129 個人資料保護法第二十條非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六經當事人書面同意非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用第二十一條非公務機關為國際傳輸個個人資料保護法施行細則立前, 為準備或商議訂立契約或為交易之目的, 所進行之接觸或磋商行為二契約因無效撤銷解除終止而消滅或履行完成時, 非公務機關與當事人為行使權利履行義務, 或確保個人資料完整性之目的所為之連繫行為第二十八條本法第十九條第一項第七款所稱一般可得之來源, 指透過大眾傳播網際網路新聞雜誌政府公報及其他一般人可得知悉或接觸而取得個人資料之管道第九條本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令第十七條本法第九條第二項第四款第十六條但書第五款第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人, 指個人資料以代碼匿名隱藏部分資料或其他方式, 無從辨識該特定個人 123

130 個人資料保護法人資料, 而有下列情形之一者, 中央目的事業主管機關得限制之 : 一涉及國家重大利益二國際條約或協定有特別規定三接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞四以迂迴方法向第三國 ( 地區 ) 傳輸個人資料規避本法第二十二條中央目的事業主管機關或直轄市縣 ( 市 ) 政府為執行資料檔案安全維護業務終止資料處理方法國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件, 進入檢查, 並得命相關人員為必要之說明配合措施或提供相關證明資料中央目的事業主管機關或直轄市縣( 市 ) 政府為前項檢查時, 對於得沒入或可為證據之個人資料或其檔案, 得扣留或複製之對於應扣留或複製之物, 得要求其所有人持有人或保管人提出或交付 ; 無正當理由拒絕提出交付或抗拒扣留或複製者, 得採取對該非公務機關權益損害最少之方法強制為之中央目的事業主管機關或直轄市縣( 市 ) 政府為第一項檢查時, 得率同資訊電信或法律等專業人員共同為之對於第一項及第二項之進入檢查或處分, 非公務機關及其相關人員不得規避妨礙或拒絕參與檢查之人員, 因檢查而知悉他人資料者, 負保密義務第二十三條對於前條第二項扣留物或個人資料保護法施行細則第二十九條依本法第二十二條規定實施檢查時, 應注意保守秘密及被檢查者之名譽第三十條依本法第二十二條第二項規定, 扣留或複製得沒入或可為證據之個人資料或其檔案時, 應掣給收據, 載明其名稱數量所有人地點及時間依本法第二十二條第一項及第二項規定實施檢查後, 應作成紀錄前項紀錄當場作成者, 應使被檢查者閱覽及簽名, 並即將副本交付被檢查者 ; 其拒絕簽名者, 應記明其事由紀錄於事後作成者, 應送達被檢查者, 並告知得於一定期限內陳述意見 124

131 個人資料保護法複製物, 應加封緘或其他標識, 並為適當之處置 ; 其不便搬運或保管者, 得命人看守或交由所有人或其他適當之人保管扣留物或複製物已無留存之必要, 或決定不予處罰或未為沒入之裁處者, 應發還之但應沒入或為調查他案應留存者, 不在此限第二十四條非公務機關物之所有人持有人保管人或利害關係人對前二條之要求強制扣留或複製行為不服者, 得向中央目的事業主管機關或直轄市縣 ( 市 ) 政府聲明異議前項聲明異議, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府認為有理由者, 應立即停止或變更其行為 ; 認為無理由者, 得繼續執行經該聲明異議之人請求時, 應將聲明異議之理由製作紀錄交付之對於中央目的事業主管機關或直轄市縣 ( 市 ) 政府前項決定不服者, 僅得於對該案件之實體決定聲明不服時一併聲明之但第一項之人依法不得對該案件之實體決定聲明不服時, 得單獨對第一項之行為逕行提起行政訴訟第二十五條非公務機關有違反本法規定之情事者, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府除依本法規定裁處罰鍰外, 並得為下列處分 : 一禁止蒐集處理或利用個人資料二命令刪除經處理之個人資料檔案三沒入或命銷燬違法蒐集之個人資料四公布非公務機關之違法情形, 及個人資料保護法施行細則 125

132 個人資料保護法其姓名或名稱與負責人中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項處分時, 應於防制違反本法規定情事之必要範圍內, 採取對該非公務機關權益損害最少之方法為之第二十六條中央目的事業主管機關或直轄市縣 ( 市 ) 政府依第二十二條規定檢查後, 未發現有違反本法規定之情事者, 經該非公務機關同意後, 得公布檢查結果第二十七條非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之第二十八條公務機關違反本法規定, 個人資料保護法施行細則第十二條本法第六條第一項第二款所稱適當安全維護措施第十八條所稱安全維護事項第二十七條第一項所稱適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之措施前項措施, 得包括下列事項, 並以與所欲達成之個人資料保護目的間, 具有適當比例為原則 : 一配置管理之人員及相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理九資料安全稽核機制十使用紀錄軌跡資料及證據保存十一個人資料安全維護之整體持續改善 126

133 個人資料保護法致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處分依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元為限但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制第二項請求權, 不得讓與或繼承但以金額賠償之請求權已依契約承諾或已起訴者, 不在此限第二十九條非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證明其無故意或過失者, 不在此限依前項規定請求賠償者, 適用前條第二項至第六項規定第三十條損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同第三十一條損害賠償, 除依本法規定個人資料保護法施行細則 127

134 個人資料保護法外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定第三十二條依本章規定提起訴訟之財團法人或公益社團法人, 應符合下列要件 : 一財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人二保護個人資料事項於其章程所定目的範圍內三許可設立三年以上第三十三條依本法規定對於公務機關提起損害賠償訴訟者, 專屬該機關所在地之地方法院管轄對於非公務機關提起者, 專屬其主事務所主營業所或住所地之地方法院管轄前項非公務機關為自然人, 而其在中華民國現無住所或住所不明者, 以其在中華民國之居所, 視為其住所 ; 無居所或居所不明者, 以其在中華民國最後之住所, 視為其住所 ; 無最後住所者, 專屬中央政府所在地之地方法院管轄第一項非公務機關為自然人以外之法人或其他團體, 而其在中華民國現無主事務所主營業所或主事務所主營業所不明者, 專屬中央政府所在地之地方法院管轄第三十四條對於同一原因事實造成多數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者, 得以自己之名義, 提起損害賠償訴訟當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與, 並通知法院前項訴訟, 法院得依聲請或依個人資料保護法施行細則 128

135 個人資料保護法職權公告曉示其他因同一原因事實受有損害之當事人, 得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權, 由該財團法人或公益社團法人於第一審言詞辯論終結前, 擴張應受判決事項之聲明其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者, 亦得於法院公告曉示之一定期間內起訴, 由法院併案審理其他因同一原因事實受有損害之當事人, 亦得聲請法院為前項之公告前二項公告, 應揭示於法院公告處資訊網路及其他適當處所 ; 法院認為必要時, 並得命登載於公報或新聞紙, 或用其他方法公告之, 其費用由國庫墊付依第一項規定提起訴訟之財團法人或公益社團法人, 其標的價額超過新臺幣六十萬元者, 超過部分暫免徵裁判費第三十五條當事人依前條第一項規定撤回訴訟實施權之授與者, 該部分訴訟程序當然停止, 該當事人應即聲明承受訴訟, 法院亦得依職權命該當事人承受訴訟財團法人或公益社團法人依前條規定起訴後, 因部分當事人撤回訴訟實施權之授與, 致其餘部分不足二十人者, 仍得就其餘部分繼續進行訴訟第三十六條各當事人於第三十四條第一項及第二項之損害賠償請求權, 其時效應分別計算第三十七條財團法人或公益社團法人就當事人授與訴訟實施權之事件, 有個人資料保護法施行細則 129

136 個人資料保護法為一切訴訟行為之權但當事人得限制其為捨棄撤回或和解前項當事人中一人所為之限制, 其效力不及於其他當事人第一項之限制, 應於第三十四條第一項之文書內表明, 或以書狀提出於法院第三十八條當事人對於第三十四條訴訟之判決不服者, 得於財團法人或公益社團法人上訴期間屆滿前, 撤回訴訟實施權之授與, 依法提起上訴財團法人或公益社團法人於收受判決書正本後, 應即將其結果通知當事人, 並應於七日內將是否提起上訴之意旨以書面通知當事人第三十九條財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償, 扣除訴訟必要費用後, 分別交付授與訴訟實施權之當事人提起第三十四條第一項訴訟之財團法人或公益社團法人, 均不得請求報酬第四十條依本章規定提起訴訟之財團法人或公益社團法人, 應委任律師代理訴訟第四十一條違反第六條第一項第十五條第十六條第十九條第二十條第一項規定, 或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分, 足生損害於他人者, 處二年以下有期徒刑拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者, 處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金第四十二條意圖為自己或第三人不法之利益或損害他人之利益, 而對於個個人資料保護法施行細則 130

137 個人資料保護法人資料檔案為非法變更刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金第四十三條中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之第四十四條公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一第四十五條本章之罪, 須告訴乃論但犯第四十一條第二項之罪者, 或對公務機關犯第四十二條之罪者, 不在此限第四十六條犯本章之罪, 其他法律有較重處罰規定者, 從其規定第四十七條非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 : 一違反第六條第一項規定二違反第十九條規定三違反第二十條第一項規定四違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分第四十八條非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 : 一違反第八條或第九條規定二違反第十條第十一條第十二條或第十三條規定三違反第二十條第二項或第三項個人資料保護法施行細則 131

138 個人資料保護法規定四違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法第四十九條非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰第五十條非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰第五十一條有下列情形之一者, 不適用本法規定 : 一自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料二於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料公務機關及非公務機關, 在中華民國領域外對中華民國人民個人資料蒐集處理或利用者, 亦適用本法第五十二條第二十二條至第二十六條規定由中央目的事業主管機關或直轄市縣 ( 市 ) 政府執行之權限, 得委任所屬機關委託其他機關或公益團體辦理 ; 其成員因執行委任或委託事務所知悉之資訊, 負保密義務前項之公益團體, 不得依第三十四條第一項規定接受當事人授與訴訟實施權, 以自己之名義提起損害賠償訴訟第五十三條本法所定特定目的及個人個人資料保護法施行細則第三十一條本法第五十二條第一項所稱之公益團體, 指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人財團法人及行政法人 132

139 個人資料保護法資料類別, 由法務部會同中央目的事業主管機關指定之第五十四條本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處第五十六條本法施行日期, 由行政院定之現行條文第十九條至第二十二條及第四十三條之刪除, 自公布日施行前項公布日於現行條文第四十三條第二項指定之事業團體或個人應於指定之日起六個月內辦理登記或許可之期間內者, 該指定之事業團體或個人得申請終止辦理, 目的事業主管機關於終止辦理時, 應退還已繳規費已辦理完成者, 亦得申請退費前項退費, 應自繳費義務人繳納之日起, 至目的事業主管機關終止辦理之日止, 按退費額, 依繳費之日郵政儲金之一年期定期存款利率, 按日加計利息, 一併退還已辦理完成者, 其退費, 應自繳費義務人繳納之日起, 至目的事業主管機關核准申請之日止, 亦同個人資料保護法施行細則第十六條依本法第八條第九條及第五十四條所定告知之方式, 得以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之第三十二條本法修正施行前已蒐集或處理由當事人提供之個人資料, 於修正施行後, 得繼續為處理及特定目的內之利用 ; 其為特定目的外之利用者, 應依本法修正施行後之規定為之第三十三條部定之本細則施行日期, 由法務 133

140 陸個人資料保護法之特定目的及個人資料之類別個人資料保護法 ( 簡稱新法 ) 第五十三條規定 : 本法所定特定目的及個人資料類別, 由法務部會同中央目的事業主管機關指定之, 其修正理由係將電腦處理個人資料保護法 ( 簡稱舊法 ) 第三條第九款及第十條第二項規定合併之查上開舊法條文立法理由略以 : 關於特定目的及個人資料之類別, 宜有細目規定, 以便作為公告或其他相關作業之依據尤其舊法適用之非公務機關採登記執照公告制度, 故參考英國個人資料保護法申報登記制度有關例示兼概括特定目的及個人資料類別等文件, 頒訂電腦處理個人資料保護法之特定目的及個人資料之類別, 以供各界參考雖新法已廢除非公務機關取得執照後始得蒐集處理及利用個人資料之制度 ( 新法第五十六條第二項規定 ), 自無需再申請登記及公告相關事項, 惟公務機關及非公務機關為確保個人資料檔案之合法且正當蒐集處理或利用, 宜保存相關之證據文件 ( 新法施行細則第十二條第二項第十款規定意旨 ), 包含蒐集處理或利用之特定目的內涵, 屬安全維護之適當措施之一部分 ; 且公務機關辦理個人資料檔案公開事項作業, 尚須說明特定目的及個人資料之類別故參考歐盟個人資料保護指令第二十九條工作小組於二六年有關成員國申報登記要求事項手冊 (Vademecum on Notification Requirements) 調查報告, 有提供特定目的及個人資料類別清單文件之國家 ( 例如 : 英國比利時西班牙等 ), 係採例示兼概括並得自由敘述補充之立法例 ; 同時參酌各機關函復本部有關特定目的及個人資料類別之修正意見, 適度修正項目與類別, 並避免過度繁瑣, 以免掛一漏萬另例示或概括之特定目的及個人資料類別, 並非可包含所有可能之活動, 公務機關或非公務機關於參考本規定, 選擇特定目的及個人資料類別時, 仍宜提出詳盡之業務活動說明, 列入證據文件或個人資料檔案公開事項作業內, 以補充澄清特定目的及個人資料類別實質內涵 134

141 代號一二三四五六七八九一一一一二一三一四一五一六一七一八一九二二一二二二三二四二五二六二七二八二九三三一三二修正特定目的項目人身保險人事管理 ( 包含甄選離職及所屬員工基本資訊現職學經歷考試分發終身學習訓練進修考績獎懲銓審薪資待遇差勤福利措施褫奪公權特殊查核或其他人事措施 ) 入出國及移民土地行政工程技術服務業之管理工業行政不動產服務中小企業及其他產業之輔導中央銀行監理業務公立與私立慈善機構管理公共造產業務公共衛生或傳染病防治公共關係公職人員財產申報利益衝突迴避及政治獻金業務戶政文化行政文化資產管理水利農田水利行政火災預防與控制消防行政代理與仲介業務外交及領事事務外匯業務民政民意調查犯罪預防刑事偵查執行矯正保護處分犯罪被害人保護或更生保護事務生態保育立法或立法諮詢交通及公共建設行政公民營 ( 辦 ) 交通運輸公共運輸及公共建設仲裁全民健康保險勞工保險農民保險國民年金保險或其他社會保險刑案資料管理 135

142 三三多層次傳銷經營三四多層次傳銷監管三五存款保險三六存款與匯款三七有價證券與有價證券持有人登記三八行政執行三九行政裁罰行政調查四行銷 ( 包含金控共同行銷業務 ) 四一住宅行政四二兵役替代役行政四三志工管理四四投資管理四五災害防救行政四六供水與排水服務四七兩岸暨港澳事務四八券幣行政四九宗教非營利組織業務五放射性物料管理五一林業農業動植物防疫檢疫農村再生及土石流防災管理五二法人或團體對股東會員 ( 含股東會員指派之代表 ) 董事監察人理事監事或其他成員名冊之內部管理五三法制行政五四法律服務五五法院執行業務五六法院審判業務五七社會行政五八社會服務或社會工作五九金融服務業依法令規定及金融監理需要, 所為之蒐集處理及利用六金融爭議處理六一金融監督管理與檢查六二青年發展行政六三非公務機關依法定義務所進行個人資料之蒐集處理及利用六四保健醫療服務六五保險經紀代理公證業務六六保險監理 136

143 六七六八六九七七一七二七三七四七五七六七七七八七九八八一八二八三八四八五八六八七八八八九九九一九二九三九四九五九六九七九八九九一一〇一一〇二一〇三信用卡現金卡轉帳卡或電子票證業務信託業務契約類似契約或其他法律關係事務客家行政建築管理都市更新國民住宅事務政令宣導政府資訊公開檔案管理及應用政府福利金或救濟金給付行政科技行政科學工業園區農業科技園區文化創業園區生物科技園區或其他園區管理行政訂位住宿登記與購票業務計畫管制考核與其他研考管理飛航事故調查食品藥政管理個人資料之合法交易業務借款戶與存款戶存借作業綜合管理原住民行政捐供血服務旅外國人急難救助核子事故應變核能安全管理核貸與授信業務海洋行政消費者客戶管理與服務消費者保護畜牧行政財產保險財產管理財稅行政退除役官兵輔導管理及其眷屬服務照顧退撫基金或退休金管理商業與技術資訊國內外交流業務國家安全行政安全查核反情報調查國家經濟發展業務國家賠償行政專門職業及技術人員之管理懲戒與救濟 137

144 一〇四帳務管理及債權交易業務一〇五彩券業務一〇六授信業務一〇七採購與供應管理一〇八救護車服務一〇九教育或訓練行政一一〇產學合作一一一票券業務一一二票據交換業務一一三陳情請願檢舉案件處理一一四勞工行政一一五博物館美術館紀念館或其他公私營造物業務一一六場所進出安全管理一一七就業安置規劃與管理一一八智慧財產權光碟管理及其他相關行政一一九發照與登記一二〇稅務行政一二一華僑資料管理一二二訴願及行政救濟一二三貿易推廣及管理一二四鄉鎮市調解一二五傳播行政與管理一二六債權整貼現及收買業務一二七募款 ( 包含公益勸募 ) 一二八廉政行政一二九會計與相關服務一三〇會議管理一三一經營郵政業務郵政儲匯保險業務一三二經營傳播業務一三三經營電信業務與電信加值網路業務一三四試務銓敘保訓行政一三五資 ( 通 ) 訊服務一三六資 ( 通 ) 訊與資料庫管理一三七資通安全與管理一三八農產品交易一三九農產品推廣資訊一四〇農糧行政一四一遊說業務行政 138

145 一四二一四三一四四一四五一四六一四七一四八一四九一五〇一五一一五二一五三一五四一五五一五六一五七一五八一五九一六〇一六一一六二一六三一六四一六五一六六一六七一六八一六九一七〇一七一一七二一七三一七四一七五運動競技活動運動休閒業務電信及傳播監理僱用與服務管理圖書館出版品管理漁業行政網路購物及其他電子商務服務蒙藏行政輔助性與後勤支援管理審計監察調查及其他監察業務廣告或商業行為管理影視音樂與媒體管理徵信標準檢驗度量衡行政衛生行政調查統計與研究分析學生 ( 員 )( 含畢結業生 ) 資料管理學術研究憑證業務管理輻射防護選民服務管理選舉罷免及公民投票行政營建業之行政管理環境保護證券期貨證券投資信託及顧問相關業務警政護照簽證及文件證明處理體育行政觀光行政觀光旅館業旅館業旅行業觀光遊樂業及民宿經營管理業務其他中央政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務其他公共部門 ( 包括行政法人政府捐助財團法人及其他公法人 ) 執行相關業務其他公務機關對目的事業之監督管理其他司法行政其他地方政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務 139

146 一七六一七七一七八一七九一八〇一八一一八二其他自然人基於正當性目的所進行個人資料之蒐集處理及利用其他金融管理業務其他財政收入其他財政服務其他經營公共事業 ( 例如 : 自來水瓦斯等 ) 業務其他經營合於營業登記項目或組織章程所定之業務其他諮詢與顧問服務代號識別類 : C 一辨識個人者例如 : 姓名職稱住址工作地址以前地址住家電話號碼行動電話即時通帳號網路平臺申請之帳號通訊及戶籍地址相片指紋電子郵遞地址電子簽章憑證卡序號憑證序號提供網路身分認證或申辦查詢服務之紀錄及其他任何可辨識資料本人者等 C 二辨識財務者例如 : 金融機構帳戶之號碼與姓名信用卡或簽帳卡之號碼保險單號碼個人之其他號碼或帳戶等 C 三政府資料中之辨識者例如 : 身分證統一編號統一證號稅籍編號保險憑證號碼殘障手冊號碼退休證之號碼證照號碼護照號碼等代號特徵類 : C 一一個人描述例如 : 年齡性別出生年月日出生地國籍聲音等 C 一二身體描述例如 : 身高體重血型等 C 一三習慣例如 : 抽菸喝酒等 C 一四個性例如 : 個性等之評述意見代號家庭情形 : 140

147 C 二一家庭情形例如 : 結婚有無配偶或同居人之姓名前配偶或同居人之姓名結婚之日期子女之人數等 C 二二婚姻之歷史例如 : 前次婚姻或同居離婚或分居等細節及相關人之姓名等 C 二三家庭其他成員之細節例如 : 子女受扶養人家庭其他成員或親屬父母同居人及旅居國外及大陸人民親屬等 C 二四其他社會關係例如 : 朋友同事及其他除家庭以外之關係等代號社會情況 : C 三一住家及設施例如 : 住所地址設備之種類所有或承租住用之期間租金或稅率及其他花費在房屋上之支出房屋之種類價值及所有人之姓名等 C 三二財產例如 : 所有或具有其他權利之動產或不動產等 C 三三移民情形例如 : 護照工作許可文件居留證明文件住居或旅行限制入境之條件及其他相關細節等 C 三四旅行及其他遷徙細節例如 : 過去之遷徙旅行細節外國護照居留證明文件及工作證照及工作證等相關細節等 C 三五休閒活動及興趣例如 : 嗜好運動及其他興趣等 C 三六生活格調例如 : 使用消費品之種類及服務之細節個人或家庭之消費模式等 C 三七慈善機構或其他團體之會員資格例如 : 俱樂部或其他志願團體或持有參與者紀錄之單位等 C 三八職業例如 : 學校校長民意代表或其他各種職業等 C 三九執照或其他許可例如 : 駕駛執照行車執照自衛槍枝使用執照釣魚執照等 141

148 C 四意外或其他事故及有關情形例如 : 意外事件之主體損害或傷害之性質當事人及證人等 C 四一法院檢察署或其他審判機關或其他程序例如 : 關於資料主體之訴訟及民事或刑事等相關資料等代號教育考選技術或其他專業 : C 五一學校紀錄例如 : 大學專科或其他學校等 C 五二資格或技術例如 : 學歷資格專業技術特別執照 ( 如飛機駕駛執照等 ) 政府職訓機構學習過程國家考試考試成績或其他訓練紀錄等 C 五三職業團體會員資格例如 : 會員資格類別會員資格紀錄參加之紀錄等 C 五四職業專長例如 : 專家學者顧問等 C 五五委員會之會員資格例如 : 委員會之詳細情形工作小組及會員資格因專業技術而產生之情形等 C 五六著作例如 : 書籍文章報告視聽出版品及其他著作等 C 五七學生 ( 員 ) 應考人紀錄例如 : 學習過程相關資格考試訓練考核及成績評分評語或其他學習或考試紀錄等 C 五八委員工作紀錄例如 : 委員參加命題閱卷審查口試及其他試務工作情形紀錄代號受僱情形 : C 六一現行之受僱情形例如 : 僱主工作職稱工作描述等級受僱日期工時工作地點產業特性受僱之條件及期間與現行僱主有關之以前責任與經驗等 C 六二僱用經過例如 : 日期受僱方式介紹僱用期間等 C 六三離職經過例如 : 離職之日期離職之原因離職之通知及條件等 142

149 C 六四工作經驗例如 : 以前之僱主以前之工作失業之期間及軍中服役情形等 C 六五工作差勤紀錄例如 : 上下班時間及事假病假休假娩假各項請假紀錄在職紀錄或未上班之理由考績紀錄獎懲紀錄褫奪公權資料等 C 六六健康與安全紀錄例如 : 職業疾病安全意外紀錄急救資格旅外急難救助資訊等 C 六七工會及員工之會員資格例如 : 會員資格之詳情在工會之職務等 C 六八薪資與預扣款例如 : 薪水工資佣金紅利費用零用金福利借款繳稅情形年金之扣繳工會之會費工作之基本工資或工資付款之方式加薪之日期等 C 六九受僱人所持有之財產例如 : 交付予受僱人之汽車工具書籍或其他設備等 C 七工作管理之細節例如 : 現行義務與責任工作計畫成本用人費率工作分配與期間工作或特定工作所花費之時間等 C 七一工作之評估細節例如 : 工作表現與潛力之評估等 C 七二受訓紀錄例如 : 工作必須之訓練與已接受之訓練, 已具有之資格或技術等 C 七三安全細節例如 : 密碼安全號碼與授權等級等代號財務細節 : C 八一收入所得資產與投資例如 : 總收入總所得賺得之收入賺得之所得資產儲蓄開始日期與到期日投資收入投資所得資產費用等 C 八二負債與支出例如 : 支出總額租金支出貸款支出本票等信用工具支出等 C 八三信用評等例如 : 信用等級財務狀況與等級收入狀況與等級等 143

150 C 八四貸款例如 : 貸款類別貸款契約金額貸款餘額初貸日到期日應付利息付款紀錄擔保之細節等 C 八五外匯交易紀錄 C 八六票據信用例如 : 支票存款基本資料退票資料拒絕往來資料等 C 八七津貼福利贈款 C 八八保險細節例如 : 保險種類保險範圍保險金額保險期間到期日保險費保險給付等 C 八九社會保險給付就養給付及其他退休給付例如 : 生效日期付出與收入之金額受益人等 C 九一資料主體所取得之財貨或服務例如 : 貨物或服務之有關細節資料主體之貸款或僱用等有關細節等 C 九二資料主體提供之財貨或服務例如 : 貨物或服務之有關細節等 C 九三財務交易例如 : 收付金額信用額度保證人支付方式往來紀錄保證金或其他擔保等 C 九四賠償例如 : 受請求賠償之細節數額等代號商業資訊 : C 一一資料主體之商業活動例如 : 商業種類提供或使用之財貨或服務商業契約等 C 一二約定或契約例如 : 關於交易商業法律或其他契約代理等 C 一三與營業有關之執照例如 : 執照之有無市場交易者之執照貨車駕駛之執照等代號健康與其他 : C 一一一健康紀錄例如 : 醫療報告治療與診斷紀錄檢驗結果身心障礙種類等級有效期間身心障礙手冊證號及聯絡人等 144

151 C 一一二性生活 C 一一三種族或血統來源例如 : 去氧核醣核酸資料等 C 一一四交通違規之確定裁判及行政處分例如 : 裁判及行政處分之內容其他與肇事有關之事項等 C 一一五其他裁判及行政處分例如 : 裁判及行政處分之內容其他相關事項等 C 一一六犯罪嫌疑資料例如 : 作案之情節通緝資料與已知之犯罪者交往化名足資證明之證據等 C 一一七政治意見例如 : 政治上見解選舉政見等 C 一一八政治團體之成員例如 : 政黨黨員或擔任之工作等 C 一一九對利益團體之支持例如 : 係利益團體或其他組織之會員支持者等 C 一二宗教信仰 C 一二一其他信仰代號其他各類資訊 : C 一三一書面文件之檢索例如 : 未經自動化機器處理之書面文件之索引或代號等 C 一三二未分類之資料例如 : 無法歸類之信件檔案報告或電子郵件等 C 一三三輻射劑量資料例如 : 人員或建築之輻射劑量資料等 C 一三四國家情報工作資料例如 : 國家情報工作法國家情報人員安全查核辦法等有關資料 145

152 柒中央目的事業主管機關依個人資料保護法第二十七條第三項規定訂定辦法之參考事項本部 101 年 12 月 27 日法律字第號函送各中央目的事業主管機關辦理法務部為協助各中央目的事業主管機關依個人資料保護法第二十七條第三項規定, 訂定非公務機關個人資料檔案安全維護計畫或業務終止後個人資料處理方法之標準等相關個人資料保護事項之辦法, 參酌 P-D-C-A(Plan-Do-Check-Act) 方法論後, 爰擬具本參考事項, 其重點如次 : 一個人資料保護事項之規劃 : 有關人員資源界定個人資料範圍風險評估通報應變措施認知宣導及教育訓練等機制之規劃事項 ( 第二點 ) 二個人資料蒐集處理及利用之管理程序 : 有關蒐集處理及利用個人資料時, 宜採取之方法 ( 第三點 ) 三個人資料管理措施 : 有關資料安全管理人員管理設備安全管理及業務終止後個人資料處理方法等事項 ( 第四點 ) 四個人資料安全稽核紀錄保存及改善機制 : 有關資料安全稽核機制證據保存及整體持續改善事項 ( 第五點 ) 146

153 中央目的事業主管機關依個人資料保護法第二十七條第三項規定訂定辦法之參考事項參考事項一中央目的事業主管機關依個人資料保護法 ( 下稱本法 ) 第二十七條第二項規定指定非公務機關及依本法第二十七條第三項訂定計畫及處理方法之標準等相關事項之辦法, 宜審酌非公務機關規模特性保有個人資料之性質及數量等事項, 並參酌本法施行細則第十二條規定之適當安全措施事項定之非公務機關依本法第二十七條第三項訂定計畫及處理方法之標準等相關事項之辦法, 得包括本參考事項第二點至第五點, 並參酌前項事項, 酌予調整 147 說明一中央目的事業主管機關得審酌指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關個人資料保護事項之辦法, 以及訂定上開計畫及處理方法之標準其指定及訂定時, 除本法施行細則第十二條規定之適當安全措施事項, 宜審酌下列事項 : ( 一 ) 非公務機關規模特性 : 由於非公務機關之組織規模大小與事業特性不一, 為使各中央目的事業主管機關所訂定之辦法能符合其實際需要, 中央目的事業主管機關宜根據受指定非公務機關之組織規模大小與事業特性, 依比例原則, 衡酌所欲達成之個人資料保護目的, 並參酌本法施行細則第十二條第二項所列技術上及組織上等適當安全維護措施事項, 訂定不同之個人資料檔案安全維護計畫或業務終止後個人資料處理方法之標準等相關個人資料保護事項之辦法 ( 二 ) 非公務機關保有個人資料之性質及數量 : 鑑於部分行業保有大量且重要之個人資料檔案, 宜加強其保護個人資料之安全維護措施因此, 中央目的事業主管機關得指定非公務機關 ( 例如以行業別或其他條件限制下之非公務機關 ), 要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法, 以加強管理, 確保個人資料之安全維護二非公務機關所訂個人資料檔案安全維護計畫或業務終止後個人資料處理方法, 應符合中央目的事業主管機關

154 二個人資料保護之規劃, 包括下列事項 : ( 一 ) 配置管理之人員及相當資源 : 1 規劃訂定修正與執行個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關事項, 並定期向所屬非公務機關提出報告 2 訂定個人資料保護管理政策, 將其所蒐集處理及利用個人資料之依據特定目的及其他相關保護事項, 公告使其所屬人員均明確瞭解 ( 二 ) 界定個人資料之範圍 : 1 定期清查保有之個人資料現況 2 確認保有之個人資料所應遵循適用之個人資料保護相關法令現況 ( 三 ) 個人資料之風險評估及管理機制 : 依已界定之個人資料範圍及個人資料蒐集處理利用之流程, 分析可能產生之風險, 並根據風險分析之結果, 訂定適當之管控措施 ( 四 ) 為因應所保有之個人資料被竊取竄改毀損滅失或洩漏等事故之預防通報及應變機制 : 1 採取適當之應變措施, 以控制事故對當事人之損害, 並通報有關單位 2 查明事故之狀況並以適當方式通知當事人 3 研議預防機制, 避免類似事故再次發生 ( 五 ) 認知宣導及教育訓練 : 定期對於所屬人員施以基礎認知宣導或專業教育訓練, 使其明瞭個人資料保護相關法令之要求所屬人員之責任範圍及各種個人資料保護事項之方法或管理措施 148 所定上開計畫或處理方法之標準等相關個人資料保護事項之辦法, 並得參酌第一項所列相關事項, 酌予調整一為有效訂定與執行個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關個人資料保護事項, 應配置適當之管理人員及資源, 且該管理人員宜就上開事項, 作相關程序之策劃訂定執行與修訂, 並宜定期向所屬非公務機關報告上開事項之推動情形, 爰為第一款第一目規定二為使非公務機關全體人員對於個人資料之保護能有所體認, 進而落實個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關個人資料保護事項, 故非公務機關宜訂定個人資料保護管理政策, 將其所蒐集處理及利用個人資料之依據特定目的及其他相關保護事項於政策內闡明且為達上述目的, 該等政策宜予公告使其所屬人員均明確瞭解, 爰為第一款第二目規定三為瞭解其所蒐集處理及利用之個人資料, 宜先掌握其保有個人資料之內涵 ( 例如 : 個人資料檔案名稱個人資料類別等 ), 以便有效規劃個人資料保護事項另為瞭解其所蒐集處理及利用之個人資料是否合法, 宜清查所應遵循適用之個人資料保護相關法令現況 ( 例如有無修正廢止 ), 爰為第二款規定四於界定個人資料之範圍後, 宜參照其相關業務流程, 判斷其於蒐集處理及利用個人資料之過程中, 可能發生非公務機關違反本法規定, 致使個人資料被竊取洩漏竄改或其他侵害等事故, 包含該等事故發生之原因程度及頻率, 方能進一步以適當管控措施保護個人資料並降低其風險,

155 三個人資料之管理程序, 包括下列事項 : ( 一 ) 依一般個人資料及本法第六條之特種個人資料之屬性, 分別訂定下列管理程序 : 1 檢視所蒐集處理及利用之個人資料是否包含特種個人資料及其特定目的 2 檢視蒐集處理及利用特種個人資料, 是否符合相關法令之要件 3 雖非特種個人資料, 惟如認為具有特別管理之需要, 仍得比照或訂定特別管理程序 ( 二 ) 為遵守本法第八條及第九條關於告知義務之規定, 應採取下列方法 : 1 檢視蒐集處理個人資料之特定目的 2 檢視是否符合免告知之事由 ( 三 ) 為查知蒐集處理及利用一般個人資料行為, 有無符合本法規定, 宜採取下列方法 : 1 檢視蒐集處理個人資料是否符合本 149 爰為第三款規定五當非公務機關違反本法規定, 致使個人資料被竊取洩漏竄改或其他侵害等事故發生時, 常造成當事人財產及非財產上之損害, 故為降低或控制損害之範圍, 非公務機關應訂定相關之因應措施另通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施 ( 本法施行細則第二十二條第二項規定參照 ), 爰為第四款規定六為使非公務機關之所屬人員均能明瞭個人資料保護相關法令之要求各該所屬人員之責任範圍及各種作業程序, 故應透過定期舉辦基礎認知宣導及專業教育訓練為之, 爰為第五款規定一本法第六條雖尚未施行, 惟因該條所定特種個人資料性質較為特殊或具敏感性, 故非公務機關宜注意是否有蒐集處理及利用特種個人資料另雖非特種資料, 如有特別管理之需要者 ( 例如 : 指紋聲紋等個人資料 ), 亦得比照特種個人資料予以保護, 爰為第一款規定二依本法第八條及第九條規定, 非公務機關原則上應適時履行告知義務, 除經檢視有例外無須告知之事由外, 依據資料蒐集之情形, 採取適當之告知方式, 以確實履行告知義務所稱適當方式通知當事人, 係指即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之 ( 本法施行細則第十六條規定參照 ), 爰為第二款規定三為查知一般蒐集處理利用個人資料行為, 有無符合本法第十九條及第二十條規定, 爰為第三款規定

156 法第十九條規定, 具有特定目的及法定要件 2 檢視利用個人資料是否符合本法第二十條第一項規定, 符合特定目的內利用 ; 於特定目的外利用個人資料時, 應檢視是否具備法定特定目的外利用要件 ( 四 ) 委託他人蒐集處理或利用個人資料之全部或一部時, 應對受託人依本法施行細則第八條規定為適當之監督, 並明確約定相關監督事項與方式 ( 五 ) 利用個人資料為行銷時, 應檢視下列事項 : 1 當事人表示拒絕行銷後, 應立即停止利用其個人資料行銷, 並週知所屬人員 2 至少於首次行銷時, 提供當事人免費表示拒絕接受行銷之方式 ( 六 ) 進行個人資料國際傳輸前, 檢視有無中央目的事業主管機關依本法第二十一條規定為限制國際傳輸之命令或處分, 並應遵循之 ( 七 ) 當事人行使本法第三條所規定之權利時, 非公務機關得採取下列方法為之 : 1 確認是否為個人資料之本人 2 提供當事人行使權利之方式, 並遵守本法第十三條有關處理期限之規定 3 告知所酌收必要成本費用之標準 4 如認有本法第十條及第十一條得拒絕當事人行使權利之事由, 一併附理由通知當事人 ( 八 ) 為維護其所保有個人資料之正確性, 宜採取下列方法 : 1 檢視個人資料於蒐集處理或利用過程, 是否正確 2 當發現個人資料不正確時, 應適時更正或補充 ; 若該不正確可歸責於非公務機關者, 應通知曾提供利用之對 150 四非公務機關如將個人資料之蒐集處理或利用委託他人為之, 應對受託人為適當之監督, 以使資料之蒐集處理或利用仍符合法令之要求, 爰為第四款規定五為查知利用個人資料行銷行為, 有無符合本法第二十條第二項及第三項規定, 爰為第五款規定六依本法第二十一條規定, 中央目的事業主管機關得於一定情形下, 限制非公務機關對於個人資料進行國際傳輸, 因此非公務機關宜檢視上開主管機關是否有所限制, 並予以遵守, 爰為第六款規定七非公務機關宜採取相關方法協助當事人行使本法第三條第十條及第十一條規定之權利, 因此非公務機關宜檢視上開法令規定, 並予以遵守, 爰為第七款規定八非公務機關所保有個人資料之正確性, 攸關非公務機關是否能有效利用個人資料以提供當事人相關服務, 並避免當事人遭受因資料不正確而生之損害因此, 非公務機關宜採取相關方法, 檢視個人資料之正確性, 爰為第八款規定九蒐集處理或利用個人資料, 均應於特定目的必要範圍內為之, 若蒐集處理利用個人資料之特定目的已消失或期限已屆滿, 依本法第十一條第三項之規定, 應予以刪除停止處理或利用, 爰為第九款規定

157 象 3 個人資料正確性有爭議者, 依本法第十一條第二項規定處理之方式 ( 九 ) 非公務機關應檢視其所保有個人資料之特定目的是否消失, 或期限是否屆滿 ; 確認特定目的消失或期限屆滿時, 應依本法第十一條第三項規定處理四個人資料之管理措施, 包括下列事項 : ( 一 ) 資料安全管理措施 : 1 運用電腦或自動化機器相關設備蒐集處理或利用個人資料時, 宜訂定使用可攜式設備或儲存媒體之規範 2 針對所保有之個人資料內容, 如有加密之需要, 於蒐集處理或利用時, 宜採取適當之加密機制 3 作業過程有備份個人資料之需要時, 應比照原件, 依本法規定予以保護之 4 個人資料存在於紙本磁碟磁帶光碟片微縮片積體電路晶片等媒介物, 嗣該媒介物於報廢或轉作其他用途時, 宜採適當防範措施, 以免由該媒介物洩漏個人資料 ; 若委託他人執行上開行為時, 宜依本參考事項第三點第四款規定辦理 ( 二 ) 人員管理措施 : 1 依據作業之需要, 適度設定所屬人員不同之權限並控管其接觸個人資料之情形 2 檢視各相關業務流程涉及蒐集處理及利用個人資料之負責人員 3 與所屬人員約定保密義務 ( 三 ) 保有個人資料存在於紙本磁碟磁帶光碟片微縮片積體電路晶片電腦或自動化機器設備等媒介物之環境, 宜採取下列設備安全管理措施 : 151 一使用可攜式設備或儲存媒體 ( 指可攜帶且具備運算處理或資料擷取儲存功能之設備, 例如 : 筆記型電腦行動電話隨身碟記憶卡光碟等 ), 可能提高個人資料外洩之風險, 因此若有使用可攜式設備或儲存媒體之情況, 宜訂定相關使用規範, 爰為第一款第一目規定二針對個人資料蒐集處理及利用之不同態樣, 如個人資料內容有加密之需要, 即應採取適當之加密機制, 爰為第一款第二目規定三參照國家機密保護法第十八條有關複製物與原件規定之立法例, 非公務機關相關作業過程, 有備份個人資料之需要時, 應比照原件個人資料, 採取適當之保護措施, 爰為第一款第三目規定四儲存個人資料之媒介物 ( 參考政府資訊公開法第三條規定之立法例 ), 嗣報廢或轉作其他用途時 ( 例如 : 移轉與他人 ), 宜採適當防範措施, 以免由該媒介物洩漏個人資料 ( 例如 : 燒毀裁碎磁性媒體予以消磁或破壞回收再利用之紙本不含個人資料之記載部分等 ) 另倘委託第三者執行報廢或轉作其他用途時, 宜依本參考事項第三點第四款規定辦理, 爰為本點第一款第四目規定五非公務機關就其保有之個人資料, 宜對其所屬人員採取適當之監督措施

158 1 依據作業內容之不同, 實施適宜之進出管制方式 2 所屬人員妥善保管個人資料之儲存媒介物 3 針對不同媒介物存在之環境, 審酌建置適度之保護設備或技術 ( 四 ) 業務終止後個人資料處理方法得參酌下列方式為之, 並留存下列紀錄 : 1 銷毀 : 銷毀之方法時間地點及證明銷毀之方式 2 移轉 : 移轉之原因對象方法時間地點及受移轉對象得保有該項個人資料之合法依據 3 其他刪除停止處理或利用個人資料 : 刪除停止處理或利用之方法時間或地點五個人資料之安全稽核紀錄保存及改善機制, 包括下列事項 : ( 一 ) 為確保安全稽核及改善, 宜採取個人資料安全稽核機制, 查察該機關是否落實其所訂定之個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關事項, 以符合法令規範 ( 二 ) 採取個人資料使用紀錄留存自動化機器設備之軌跡資料或其他相關證據保存機制, 以供說明其執行所訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關個人資料保護事項之情況 ( 三 ) 為個人資料安全維護之整體持續改善, 宜參酌執行業務現況社會輿情技術發展法令變化等因素, 注意下列事項 : 1 檢視或修訂個人資料檔案安全維護計畫或業務終止後個人資料處理方法等相關個人資料保護事項 2 針對個人資料安全稽核結果之不符合法令之虞者, 宜規劃執行改善及預防措施 152, 爰為第二款規定六非公務機關就保有個人資料所存在之媒介物環境, 宜採取適當之管理措施, 爰為第三款規定七為明定非公務機關於業務終止後, 其陳報個人資料處理方法之應記載事項, 爰為第四款規定非公務機關宜採取個人資料稽核 ( 例如以複查或抽查方式等 ) 適當之證據保存及持續改善個人資料保護等機制, 以落實執行個人資料保護相關事項

159 捌個人資料保護法問答 Q1: 為何現行電腦處理個人資料保護法要修正為個人資料保護法? 其修正重點為何? A1: 電腦處理個人資料保護法自 84 年 8 月 11 日公布施行至今, 已近 18 年, 由於資訊通信科技發達的結果, 透過電腦及網際網路處理與傳輸個人資料之情形已今非昔比, 該法的規範顯然已不足夠, 且個人資料外洩事件時有所聞, 尤其是尚有龐大未適用該法的民間產業, 影響個人資料本人的隱私權益甚鉅鑑此, 法務部組成修法專案小組於 93 年間完成修正草案, 歷經數年審議, 終於 99 年 4 月 27 日完成三讀, 同年 5 月 26 日總統公布個人資料保護法 ( 以下簡稱本法 ), 除第 6 條第 54 條外, 其餘條文行政院指定於 101 年 10 月 1 日施行修正重點如下 : ( 一 ) 擴大保護客體 : 落實對個人資料之保護, 不再以經電腦處理為限, 爰將名稱修正為個人資料保護法 ( 二 ) 普遍適用主體 : 刪除行業別限制, 涵蓋任何自然人法人或團體 ( 三 ) 增修行為規範 : 嚴格限制醫療基因性生活健康檢查犯罪前科等五類特種資料之蒐集處理及利用 ; 增修個人資料蒐集處理與利用之合法要件告知義務書面同意意涵個資外洩通知拒絕接受行銷權利等規範 ( 四 ) 強化行政監督 : 明訂中央目的事業主管機關與地方政府之行政檢查權, 違法者得裁處罰鍰與行政處分 ( 五 ) 促進民眾參與 : 增訂財團法人與公益社團法人提起團體訴訟之相關規定 ( 六 ) 調整責任內涵 : 提高意圖營利犯罪刑度領域外犯罪適用提高損害賠償總額提高非公務機關罰鍰額度及代表人管理人或其他有代表權人之併罰 ( 七 ) 除外適用條款 ( 豁免本法適用 ) Q2: 請問個人資料保護法之立法目的為何? A2: 由於本法第 1 條開宗明義表示 : 為規範個人資料之蒐集處理及利用, 避免人格權受侵害, 並促進個人資料之合理利 153

160 用, 故本法對個人資料的蒐集處理或利用, 係兼顧個人的隱私權保護及合理利用的衡平 Q3: 何謂個人資料? 何謂特種資料? 又什麼是個人資料檔案? A3: 1. 個人資料 : 依本法第 2 條第 1 款規定, 個人資料指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活 ( 包括性取向 ) 健康檢查犯罪前科聯絡方式財務情況社會活動等及其他得以直接或間接方式識別該個人之資料 2. 個人資料中有部分資料性質較為特殊或具敏感性, 如任意蒐集處理或利用, 恐會造成社會不安或對當事人造成難以彌補之傷害, 故另規定較嚴格之蒐集處理或利用要件該特種資料包括醫療基因性生活健康檢查及犯罪前科之 5 種個人資料屬特種資料 3. 個人資料檔案 : 將以上所列的個人資料, 依系統建立而得以自動化機器 ( 例如電腦 ) 或其他非自動化方式 ( 例如紙本 ) 檢索整理的集合, 就是個人資料檔案 ; 備份檔案也包括在內 ( 本法第 2 條第 2 款規定 ; 施行細則第 5 條規定 ) Q4: 個人資料保護法第 6 條之特種資料蒐集處理或利用規定尚未施行, 目前如何適用本法? A4: 行政院於 101 年 9 月 21 日以院臺法字第號令 : 中華民國 99 年 5 月 26 日修正公布之個人資料保護法, 除第 6 條第 54 條外, 其餘條文定自 101 年 10 月 1 日施行目前本法第 6 條關於特種資料蒐集處理或利用之規定尚未施行, 故有關特種資料之蒐集處理或利用則依一般個人資料之規定 ( 本法第 15 條第 16 條規定 ; 第 19 條 20 條規定 ) 為之 Q5: 本法的個人資料, 是否以生存的人為限? A5: 本法的立法目的之一, 即在保護人格權中的資料隱私權, 唯 154

161 有有生命的自然人, 方有隱私權受到侵害的恐懼情緒, 至於已死亡的人已無恐懼其隱私權受侵害情緒, 故不在本法保護之列 ( 本法第 2 條第 1 款規定 ; 施行細則第 2 條規定 ) Q6: 本法所規範的蒐集處理及利用行為, 分別是指什麼? A6: 1. 蒐集 : 指以任何方式取得的個人資料 ( 本法第 2 條第 3 款規定 ) 例如 : 內政部警政署依法向中央健康保險局蒐集失蹤人口之就醫時間及地點等個人資料 2. 處理 : 指為建立或利用個人資料檔案, 所為資料的記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送 ( 本法第 2 條第 4 款規定 ) 例如 : 公司行號以建置職員勤惰管理系統儲存或編輯員工上下班情形 3. 利用 : 指將已蒐集的個人資料為處理以外的使用 ( 本法第 2 條第 5 款規定 ) 例如 :(1) 金融機構將蒐集之存款戶個人資料提供行政執行分署依行政執行法令辦理相關執行事項 (2) 公司行號運用員工差勤系統之個人差勤資料, 作為年終考核或抽查員工差勤之用 Q7: 為什麼本法規定蒐集處理或利用個人資料, 需要有特定目的? 又所謂的特定目的究何所指? A7: 依經濟合作暨發展組織 (OECD) 所揭示之目的明確化原則及限制利用原則, 個人資料於蒐集時其目的即應明確化, 其後的利用亦應與蒐集目的相符合, 於目的變更後亦應明確化, 個人資料的利用, 除符合法定要件外, 不得為特定目的以外的利用特定目的是保護個人資料的重要項目, 故本法第 53 條規定由法務部會同中央目的事業主管機關指定特定目的, 並已訂頒個人資料保護法之特定目的及個人資料類別 ( 可參考 : 本部全球資訊網 / 個人資料保護專區 / 法令及執行措施 ) Q8: 什麼是個人資料的國際傳輸? A8: 依本法第 2 條第 6 款規定, 國際傳輸係指將個人資料作跨國 155

162 ( 境 ) 之處理或利用例如 :(1) 總公司將資料傳送給國外 ( 境外 ) 分公司或國外其他公司機關 ( 構 ) 等 (2) 公務機關將資料傳送給國外 ( 境外 ) 辦事處或國外其他公務機關 ( 構 ) 公司等 Q9: 中央目的事業主管機關在那些情形下, 得限制非公務機關為國際傳輸個人資料? A9: 中央目的事業主管機關在有下列情形之一時, 得限制公務機關為國際傳輸個人資料 ( 本法第 21 條規定 ): 1. 涉及國家重大利益 2. 國際條約或協定有特別規定 3. 接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞 4. 以迂迴方法向第三國 ( 地區 ) 傳輸個人資料規避本法 Q10: 本法的公務機關及非公務機關分別有那些? A10: 1. 公務機關 : 指依法行使公權力之中央或地方機關或行政法人 ( 本法第 2 條第 7 款規定 ) 2. 非公務機關 : 指公務機關以外所有之自然人法人或其他團體 ( 本法第 2 條第 8 款規定 ), 通通都是本法所定的非公務機關 Q11: 在那些情形下, 不適用本法的規定? 理由為何? A11: 不適用本法規定的情形有 ( 本法第 51 條第 1 項規定 ): 1. 自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料有關自然人為單純個人或家庭活動而蒐集處理或利用個人資料, 因係屬私生活目的所為, 與其職業或業務職掌無關, 如納入本法之適用, 恐造成民眾之不便亦無必要, 故不適用本法之規定 2. 於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料 156

163 由於資訊科技及網際網路的發達, 個人資料之蒐集處理或利用甚為普遍, 尤其在網際網路上張貼的影音個人資料, 亦屬表現自由之一部分為解決合照或其他在合理範圍內的影音資料須經其他當事人的書面同意始得為蒐集處理或利用個人資料的不便, 且合照當事人彼此間均有同意的表示, 其本身共同使用之合法目的亦相當清楚, 因此, 對於在公開場所或公開活動中所蒐集處理或利用, 而未與其他個人資料結合的影音資料, 不適用本法之規定 Q12: 公務機關在那些情形下, 可以蒐集處理或利用一般性個人資料? A12: 1. 公務機關蒐集或處理一般性個人資料, 必須有特定目的, 並且符合下列情形之一 ( 本法第 15 條第 7 條規定 ; 施行細則第 10 條第 14 條第 15 條規定 ): (1) 執行法定職務必要範圍內 (2) 經當事人書面同意 (3) 對當事人權益無侵害 2. 公務機關利用一般性個人資料, 應區分是屬於特定目的內利用或是特定目的外利用, 其要件如下 ( 個人資料保護法第 16 條第 7 條規定 ; 施行細則第 9 條第 10 條第 14 條第 15 條第 17 條規定 ): (1) 特定目的內利用 : 公務機關利用您的一般性個人資料, 原則上應在執行法定職務必要範圍內為之, 且其利用個人資料與蒐集的特定目的相符 (2) 特定目的外利用 : 公務機關於有下列情形之一時, 得在特定目的外利用一般性個人資料 : 1 法律明文規定 2 為維護國家安全或增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 6 有利於當事人權益 157

164 7 經當事人書面同意 Q13: 非公務機關在那些情形下, 可以蒐集處理或利用一般性個人資料嗎? A13: 1. 非公務機關蒐集或處理一般性個人資料, 必須有特定目的, 並且必須符合下列情形之一 ( 本法第 19 條第 7 條規定 ; 施行細則第 9 條第 13 條第 14 條第 15 條第 17 條第 26 條第 27 條第 28 條規定 ): (1) 法律明文規定 (2) 與當事人有契約或類似契約之關係 (3) 當事人自行公開或其他已合法公開之個人資料 (4) 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 (5) 經當事人書面同意 (6) 與公共利益有關 (7) 個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 2. 非公務機關利用一般性個人資料, 應區分是屬於特定目的內利用或是特定目的外利用, 其要件如下 ( 個人資料保護法第 20 條第 7 條規定 ; 施行細則第 9 條第 14 條第 15 條第 17 條規定 ): (1) 特定目的內利用 : 非公務機關利用一般性個人資料, 原則上應在蒐集的特定目的必要範圍內為之 (2) 特定目的外利用 : 非公務機關於有下列情形之一時, 得在特定目的外利用一般性個人資料 : 1 法律明文規定 2 為增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其 158

165 揭露方式無從識別特定之當事人 6 經當事人書面同意 Q14: 為保障個人資料之自主控制, 依個人資料保護法規定, 個人資料本人可以行使哪些權利? A14: 為保障個人生活私密領域免於他人侵擾及個人資料之自主控制, 隱私權乃為不可或缺之基本權利, 而受憲法第 22 條所保障其中對個人自主控制個人資料之資訊隱私權而言, 乃保障人民決定是否揭露其個人資料及在何種範圍內於何時以何種方式向何人揭露之決定權, 並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權 ( 司法院釋字第號解釋參照 ) 因此, 本法第 3 條規定, 當事人對其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除 ( 另請參照本法第 10 條第 11 條規定 ; 施行細則第 10 條第 18 條至第 21 條規定 ) Q15: 個人資料保護法之告知義務所指為何? A15: 公務機關或非公務機關在蒐集您的個人資料時, 應同時向您告知必要事項 ; 除非有法律所規定的例外情形, 才能不履行此項告知義務其詳細規定如下 ( 本法第 8 條第 9 條規定 ; 施行細則第 9 條第 10 條第 11 條第 13 條第 16 條第 17 條規定 ): 1. 由當事人提供其個人資料時, 應告知之事項 : (1) 該蒐集您個人資料的公務機關或非公務機關名稱 (2) 蒐集之目的 (3) 所蒐集的個人資料類別 (4) 該個人資料利用的期間地區對象及方式 (5) 當事人依本法第 3 條規定得行使的權利及方式 (6) 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響 2. 非由當事人提供其個人資料時, 應告知之事項 : 159

166 公務機關或非公務機關若非直接向您本人蒐集您的個人資料時, 應於處理或利用您的個人資料前, 向您告知該個人資料來源及 (1)~(5) 所列事項 3. 由當事人提供其個人資料時, 該蒐集個人資料之公務機關或非公務機關得例外不向當事人履行告知義務之情形有 :(1) 依法律規定可以不用告知 (2) 個人資料的蒐集為公務機關執行法定職務所必要 (3) 個人資料的蒐集為非公務機關履行法定義務所必要 (4) 告知將妨害公務機關執行法定職務 (5) 告知將妨害第三人之重大利益 (6) 當事人明知應告知之內容 4. 非由當事人提供其個人資料時, 該蒐集個人資料之公務機關或非公務機關得例外不向當事人履行告知義務之情形有 :(1) 有本法第 8 條第 2 項所列各款情形之一 (2) 當事人自行公開或其他已合法公開之個人資料 (3) 不能向當事人或其法定代理人為告知 (4) 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 (5) 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 Q16: 非公務機關合法利用個人資料從事商品行銷時, 為方便當事人拒絕接受該產品之行銷, 該非公務機關應有何作為? 又被拒絕行銷時應如何處理? A16: 1. 為便利當事人表達拒絕接受行銷之意思表示, 本法增訂第 20 條第 3 項規定, 非公務機關對當事人進行首次行銷時, 應支付當事人拒絕行銷之費用, 例如, 提供免付費電話免費回郵等至於當事人日後得隨時以自費方式, 表示拒絕再接受行銷, 非公務機關應即停止再利用其個人資料進行行銷即使當事人已經同意非公務機關將其個人資料為目的外利用, 非公務機關如有依此同意對於利用個人資料行銷時, 本法規定, 非公務機關應建立退場機制, 於當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 ; 且非公務機關於首次行銷時, 應提供當事人表示拒絕 160

167 接受行銷之方式, 並支付所需費用 2. 非公務機關依本法第 20 條第 1 項規定, 利用個人資料從事商品行銷時 ( 包括特定目的內與特定目的外之利用 ), 如當事人希拒絕接受該產品之行銷, 只能依第 3 條規定請求停止處理或利用或刪除其個人資料, 往往緩不濟急為尊重當事人拒絕接受行銷之權利, 爰參考 1995 年歐盟資料保護指令 (95/46/EC) 第 14 條德國聯邦個人資料保護法第 28 條第 4 項規定, 增訂本法第 20 條第 2 項規定, 明定當事人表示拒絕接受行銷時, 非公務機關即應停止再利用其個人資料進行行銷 Q17: 個人資料外洩時, 公務機關或非公務機關是否有通報或告知當事人之義務? A17: 公務機關或非公務機關管理之個人資料, 如有被竊取洩漏竄改或其他侵害者, 應於查明後通知當事人 ( 本法第 12 條規定 ), 以使當事人得以知悉個人資料遭違法侵害之情事, 以及時採取補救措施或提起救濟至於通知之方式, 依本法施行細則第 22 條規定, 應即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但通知需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護 ( 不揭示可直接或間接識別當事人之個人資料 ), 以網際網路新聞媒體或其他適當之公開方式為之通知之內容, 應包括個人資料被侵害之事實以及已採取之因應措施, 以使當事人得有效採取適當補救措施以降低損害之擴大 Q18: 公務機關或非公務機關委託其他法人團體或個人, 進行個人資料之蒐集處理或利用行為, 如果受託者將個人資料外洩, 委託機關是否要負賠償責任? A18: 法人團體或個人辦理公務機關或非公務機關所委託業務涉及處理個人資料, 則該受託處理個人資料之法人團體或個人, 視同委託機關, 並以委託機關為權責歸屬機關, 由委託機關負賠償責任例如 : 委託機關為公務機關時, 161

168 則受託之個人法人或團體於受託範圍內, 視同委託機關, 而應適用本法有關公務機關之規範 ( 本法第 4 條規定 ; 施行細則第 7 條規定 ) Q19: 違反個人資料保護法會有哪些相關責任? A19: 違反個人資料保護法規定, 可能發生民事賠償責任刑事責任和行政責任三部分 : 1. 民事賠償責任 : (1) 公務機關違反規定, 致當事人權益受損害者, 應負損害賠償責任但損害是因天災事變或其他不可抗力所致者, 則不在此限 ( 本法第 28 條第 1 項規定 ) (2) 非公務機關違反規定, 致當事人權益受損害者, 應負損害賠償責任但如果能證明其沒有故意或過失者, 不在此限 ( 本法第 29 條第 1 項規定 ) (3) 對於基於同一原因事實應對當事人負損害賠償責任之總額, 提高至 2 億元, 被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節以每人每一事件 5 百元以上 2 萬元以下計算之 ( 本法第 28 條第 3 項第 4 項及第 29 條第 2 項規定 ) 2. 刑事責任 : 對於違法蒐集處理或利用個人資料者, 區別其是否具有意圖營利之主觀要件, 課予程度不等之刑事責任另意圖為自己或第三人不法之利益或損害他人之利益而妨害個人資料檔案之正確性, 足生損害於他人者, 亦有刑事責任, 且中華民國人民在我國領域外對中華民國人民觸犯本法第 41 條第 42 條之罪者, 亦適用本法 ( 本法第 41 條第 42 條及第 43 條規定 ) 3. 行政責任 : 個人資料保護法針對非公務機關違反本法相關規定時, 賦予各中央目的事業主管機關命其所管非公務機關限期改善對該非公務機關處以罰鍰等權限 ; 而該非公務機關之代表人管理人或其他有代表權人, 除非能證明已盡防止義務者外, 並應課以同一額度之罰鍰, 以加強其 162

169 監督之責任 ( 本法第 47 條至第 50 條規定 ) Q20: 依本法規定請求損害賠償時, 是否有時間上之限制? A20: 依法您必須在知有損害及賠償義務人時起 2 年間行使損害賠償請求權 ; 如果沒有在期間內行使的話, 請求權就會消滅, 而且在損害發生已經超過 5 年之後, 您的請求權也會消滅 ( 本法第 30 條規定 ) 所以, 提醒當事人應特別留意此請求權行使之時間上之限制, 請勿在權利上睡著了 Q21: 個人資料保護法施行前, 已經蒐集的個人資料, 是否可以繼續予以利用? A21: 本法施行細則第 32 條規定, 如果本法施行前已經蒐集之個人資料, 是由當事人本人所提供者, 仍得繼續為蒐集處理及特定目的內之利用惟如擬為特定目的外之利用, 則應依照施行後之本法相關規定辦理 163

170

展开

個人資料保護法問答

個人資料保護法問答 Q1: 為何現行電腦處理個人資料保護法要修正為個人資料保護法? 其修正重點為何? A1: 電腦處理個人資料保護法自 84 年 8 月 11 日公布施行至今, 已近 18 年, 由於資訊通信科技發達的結果, 透過電腦及網際網路處理與傳輸個人資料之情形已今非昔比, 該法的規範顯然已不足夠, 且個人資料外洩事件時有所聞, 尤其是尚有龐大未適用該法的民間產業, 影響個人資料本人的隱私權益甚鉅