個人資料保護介紹 - PDF Free Download

個人資料保護法修正對公務機關之衝擊與影響陳秭璇律師資訊工業策進會科技法律研究所 irenechen@iii.org.tw 1

大綱無所不在的個人資料 ~ 個人資料保護, 人人有責個人資料保護法介紹 - 以公務機關為主個人資料的蒐集處理與利用者對非公務機關蒐集處理利用個人資料的管理與監督對於個人資料保護法通過之因應 2

無所不在的個人資料 ~ 個人資料保護, 人人有責個人資料無所不在個人資料外洩的影響個人資料外洩的主要原因個人資料保護, 人人有責 3

個人資料無所不在 4

個人資料外洩的影響社會訴訟成本英國史上最嚴重資料外洩官員寄丟光碟導致 2500萬筆資料遺失分析公司 Gartner預計該事件引發的帳戶關閉及重建以防止可能的詐騙行為大約需要花費5億美元資料來源趨勢科技個人資料控制者個人資料主體損害賠償 5

資料來源 : 聯合報 6

資料來源 : 聯合報 7

8 資料來源 :BBC 中文網

資料來源 : http://news.msn.com.tw/news2390792.aspx 9

資料來源 : http://blog.udn.com/infolaw/1643161 10

資料來源 : 蘋果日報 11

資料來源 : 資安人, http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6582 12

個人資料外洩的主要原因協力廠商 (Subcontractors) 駭客入侵 (Hacking) 人為疏失 (human error) 內賊 (Insider theft) 個人資料 13

個人資料保護, 人人有責!!! 14

個人資料保護法介紹 - 以公務機關為主隱私權與個人資料保護個人資料保護法的修法緣由與歷程個人資料保護法 vs. 電腦處理個人資料保護法個人資料保護法架構個人資料保護法 vs. 公務機關 15

隱私的概念 16

我國憲法對於隱私的保護憲法 22 凡人民之其他自由及權利不妨害社會秩序公共利益者均受憲法之保障維護人性尊嚴與尊重人格自由發展乃自由民主憲政秩序之核心價值隱私權雖非憲法明文列舉之權利惟基於人性尊嚴與個人主體性之維護及人格發展之完整並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制隱私權乃為不可或缺之基本權利而受憲法第二十二條所保障(司法院釋字第五八五號解釋參照) 其中就個人自主控制個人資料之資訊隱私權而言乃保障人民決定是否揭露其個人資料及在何種範圍內於何時以何種方式向何人揭露之決定權並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權 (釋字第603號) 17

刑法 306 ( 個人住宅免受他人侵入 ) 刑法 307 ( 住宅身體免受執法人員侵擾 ) 刑法 310 第 3 項 ( 與公益無關之個人私事免於被揭露於眾 ) 刑法 315 ( 個人信件免於被刺探 ) 刑法 315-1 ( 非公開之活動言論談話或身體隱私部位者免於被監視 ) 我國法律對於隱私的保護刑法刑法 315-2 ( 非公開之活動言論談話或身體隱私部位者免於被散佈 ) 刑法 318-1 ( 利用電腦取得之祕密免於被洩露 ) 刑法 358 ( 電腦或其相關設備免於被入侵 ) 刑法 359 ( 電磁紀錄罪免於被破壞 ) 18 民法民法 18 ( 人格權 ) 民法 195 個人資料保護法

個人資料保護法的修法緣由與歷程適用主體與保護客體範圍有限, 未能因應社會發展趨勢與國際資訊隱私保護發展趨勢接軌抑制詐騙事件公布電腦處理個人資料保護 2010/04/27 新版個資法三讀通公布新版個人資料保護法 2011/10/27 預告個人資料保護無爭議條文正式施行法 1995/08/11 過 2010/05/26 法施行細則 2012/10/01 19

新版個資法之施行狀況民國 99 年新版個人資料保護法通過, 今年 10 月 1 日開始施行第 6 條以及第 54 條暫緩施行, 有待立法院修法新法正式於 10 月 1 日施行, 公務機關必須正視個資保護, 須修正過往管理模式, 建立符合新法要求之內部個人資料管理機制與管控流程 20

個人資料生命週期個人資料保護法架構 (1/2) 個人資料資料擁有者當事人蒐集銷毀 21

第一章總則 ( 第 1 條至第 14 條 ) 個人資料保護法架構 (2/2) 目的 / 定義 / 當事人權利 / 委外 / 個人資料的蒐集處理與利用原則 / 特種個人資料 / 書面同意 / 當事人告知 / 答覆當事人查詢提供閱覽或複製本 / 個人資料的正確性 / 個資違法事件通知 / 回覆當事人權利行使 / 費用收取第二章公務機關對個人資料之蒐集處理與利用 ( 第 15 條至第 18 條 ) 特定目的內 / 特定目的外 / 個人資料持有資訊之公開 / 個人資料檔案之安全維護事項第三章非公務機關對個人資料之蒐集處理與利用 ( 第 19 條至第 27 條 ) 特定目的內 / 特定目的外 / 國際傳輸 / 行政檢查 / 違反個資法之行政處分 / 行政檢查結果公布 / 個人資料檔案之安全維護事項第四章損害賠償及團體訴訟 ( 第 28 條至第 40 條 ) 第五章罰則 ( 第 41 條至第 50 條 ) 第六章附則 ( 第 50 條至第 56 條 ) 22

個人資料保護法 vs. 公務機關個人資料的蒐集處理與利用者保護客體 - 個人資料適用主體 - 公務機關當事人權利保護及行使個人資料的蒐集處理與利用個人資料之保存維護與銷毀個人資料持有資訊之公開委外損害賠償罰則對非公務機關蒐集處理利用個人資料的管理與監督行政監督 23

政府機關 : 個人資料的蒐集處理與利用者保護客體 - 個人資料適用主體 - 公務機關當事人權利保護及行使個人資料的蒐集處理與利用個人資料之保存維護與銷毀個人資料持有資訊之公開委外損害賠償罰則 24

保護客體 : 個人資料自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料 ( 個資法 2) 不適用個人資料保護法本法第二條第一款所稱得以間接方式識 ( 個資法 51) 1. 自然人為單純個人或家庭活動目的別該個人之資料, 指僅以該資料不能識, 而蒐集處理與利用個人資料別, 須與其他資料對照組合連結等, 2. 於公開場所或公開活動中所蒐集處理或利用之未與始能識別該特定個人者 ( 個人資料保護其他個人資料結合之影音資料法施行細則 3) 25

個人資料特種個人資料特種個人資料 ( 個資法 6) 醫療 : 指病歷及其他由醫師或其他之醫事人員, 以治療矯正或預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料基因 : 由一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息性生活 : 性取向或性慣行之個人資料健康檢查 : 非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料犯罪前科 : 指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄 ( 個資法施行細則 4) 26

適用主體 : 公務機關公務機關 : 指依法行使公權力之中央或地方機關或行政法人 ( 個資法 2) 受委託機關受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關 ( 個資法 4) 受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之 ( 個資法施行細則 7) 行政法人 : 指國家及地方自治團體以外, 由中央目的事業主管機關, 為執行特定公共事務, 依法律設立之公法人 ( 行政法人法 2) 全國第一個行政法人機構 : 國立中正文化中心 27

查詢或請求閱覽請求製給複製本當事人權利保護及行使請求補充或更正請求停止蒐集處理或利用請求刪除當事人通知公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人 ( 個人資料保護法第 12 條 ) 不得預先拋棄或以特約限制個人資料保護法第 3 條 28

以適當方式通知當事人本法第十二條所稱適當方式通知, 係指即時以書面電話傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護, 以網際網路新聞媒體或其他適當公開方式為之 ( 個資法施行細則 22 第一項 ) 依本法第十二條通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施 ( 個資法施行細則 22 第二項 ) 重要通知 29

個人資料之查詢閱覽與複本請求公務機關或非公務機關依當事人請求, 就其所蒐集之個人資料, 答覆查詢提供閱覽或製給複製本 ( 個人資料保護法第 10 條 ) 妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益妨害公務機關執行法定職務妨害該蒐集機關或第三人之重大利益回覆期間應於 15 日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾 15 日, 並應將其原因以書面通知請求人 ( 個人資料保護法第 13 條 ) 費用收取查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用 ( 個人資料保護法第 14 條 ) 30

個人資料之正確性 & 當事人請求更正與補充個人資料之正確性公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限因可歸責於公務機關或非公務機關之事由, 未為更正或補充之個人資料, 應於更正或補充後, 通知曾提供利用之對象 ( 個人資料保護法第 11 條 ) 回覆期間應於 15 日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾 15 日, 並應將其原因以書面通知請求人 ( 個人資料保護法第 13 條 ) 31

個人資料之刪除停止處理或利用個人資料之刪除停止處理或利用個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料但因執行職務或業務所必須或經當事人書面同意者, 不在此限違反本法規定蒐集處理或利用個人資料者, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料 ( 個人資料保護法第 11 條 ) 回覆期間應於 15 日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾 15 日, 並應將其原因以書面通知請求人 ( 個人資料保護法第 13 條 ) 32

Case Study 丁小宇向電信公司索取她個人行動電話的通聯記錄是行使個資法第 3 條的那一個權利? 電信事業用戶查詢本人之通信紀錄, 於電信事業之電信設備系統技術可行, 並支付必要費用後, 電信事業應提供之 ( 電信法第 7 條 ) 33

個人資料之蒐集處理與利用原則尊重當事人權益一般個人資料依誠實信用方法於特定目的之必要範圍內與蒐集目的間具有正當合理之關聯當事人告知特定目的內利用特定目的外利用特種個人資料原則不得蒐集處理與利用例外情形 34

個人資料之蒐集處理與利用原則特定目的之必要範圍內為之與蒐集目的間具有正當合理之關聯蒐集處理尊重當事人之權益依誠實及信用方法為之利用以任何方式取得個人資料為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送將蒐集之個人資料為處理以外之使用資料來源 : 個人資料保護法第 2 條 & 第 5 條 35

一般個人資料之蒐集處理與利用 : 對於當事人之告知一般個人資料直接蒐集間接蒐集於蒐集時, 告知當事人自然人之姓名出生年月日國民身分證統一編號護照號碼特徵告知之方式, 得以言詞書指紋婚姻家庭教育職業面電話簡訊電子郵件病歷聯絡方式財務情況社會傳真電子文件或其他足以活動及其他得以直接或間接方式識使當事人知悉之方式為之別該個人之資料 ( 個資法施行細則 16) 資料來源 : 個人資料保護法第 8 條 & 第 9 條 36 於處理或利用前, 告知當事人 ; 得於首次對當事人為利用時併同為之

對於當事人之告知 : 直接蒐集告知事項公務機關機關名稱蒐集之目的個人資料之類別個人資料利用之期間地區對象及方式當事人依第三條規定得行使之權利及方式當事人得自由選擇提供個人資料時, 不提供將對其權益之影響免告知之情況依法律規定得免告知個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要告知將妨害公務機關執行法定職務告知將妨害第三人之重大利益當事人明知應告知之內容 37

對於當事人之告知 : 間接蒐集免告知之情況依法律規定得免告知個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要告知將妨害公務機關執行法定職務告知事項個人資料來源公務機關機關名稱蒐集之目的告知將妨害第三人之重大利益指個人資料以代碼匿名當事人明知應告知之內容隱藏部分資料或其他方式, 當事人自行公開或其他已合法公開之個人資料無從辨識該特定個人 ( 個資法施行細則 17) 不能向當事人或其法定代理人為告知基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限大眾傳播業者基於新聞報導之公益目的而蒐集個人資料個人資料之類別個人資料利用之期間地區對象及方式當事人依第 3 條規定得行使之權利及方式 38

一般個人資料 : 特定目的內利用個人資料的蒐集或處理 ( 個資法 15) 特定目的執行法定職務必要範圍內, 或經當事人書面同意, 或對當事人權益無傷害公務機關對個人資料之利用例如 : 保險人為辦理本保險業務所需之必要資料, 應於執行法定職務必要, 得範圍內為之請求相關機關提供之, 並與蒐集之特定目的相符 ; 各該機關不得拒絕保險人依 ( 個資法 16) 前項規定所取得之資料, 應盡善良管理人之注意義務 ; 相關資料之保存利用等事項, 應依個人資料保護法之規定為之 ( 全民健康保險法 79) 39

一般個人資料 : 特定目的外利用法律明文規定為維護國家安全或增進公共利益為免除當事人之生命身體自由或財產上之危險為防止他人權益之重大危害公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人有利於當事人權益經當事人書面同意 40

書面同意-特定目的內當事人經蒐集者告知本法所定應告知事項後所為允許之書面意思表示 (個資法 7) 書面意思表示之方式依電子簽章法之規定得以電子文件為之(個資法施行細則 14) 41 直接蒐集公務機關或非公務機關名稱蒐集之目的個人資料之類別個人資料利用之期間地區對象及方式當事人依個資法第3條規定得行使之權利及方式當事人得自由選擇提供個人資料時不提供將對其權益之影響間接蒐集個人資料來源公務機關或非公務機關名稱蒐集之目的個人資料之類別個人資料利用之期間地區對象及方式當事人依第3條規定得行使之權利及方式

書面同意 - 特定目的外當事人經蒐集者明確告知特定目的外之其他利用目的範圍及同意與否對其權益之影響後, 單獨所為之書面意思表示 ( 個資法 7) 單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容後並確認同意 ( 個資法施行細則 15) 書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之 ( 個資法施行細則 11) 42

Case study 提示 : 調閱的資料是個人資料嗎? 適用主體? 近來辦公室有接獲民眾爆料 XXX 水道公程採購不公,OOO 市議員為了問政, 向主管機關調閱公共工程採購案人事資料及請領工程款之簽報單, 該主管機關可以提供嗎? 主管機關提供資料是目的內或目的外利用? 43 案例設計參考法務部法律字第 1000008936 號

特種個人資料之蒐集處理與利用特種個人資料法律明文規定公務人員公務人員訓公務機關執行法定職務或非公務人員分資格考式練期滿合格公務機關履行法定義務所必發任用例如警察機關依兒童及少年福利法第47 條規定提供社政機關收養案件監護案要且有適當安全維護措施件當事人及保護案件兒童及少年父母或監當事人自行公開或其他已合護人之素行危害兒童及少年人身安全的法公開之個人資料前科等資料公務機關或學術研究機構基公務人員考試得視需要實施體格檢查體格檢查時間及標準於醫療衛生或犯罪預防之由考試院定之(公務人員考試法第6條) 目的為統計或學術研究實施體格檢查之考試類科其體格檢查標準於各該考試規則有關醫療基蒐集而有必要且經一定程序所訂定前項體格檢查內容應包括應考人個人身分資料自填為蒐集處理或利用之個人因性生活病史檢查日期檢查項目檢查結果檢查機構檢查醫處理資料健康檢查及犯師等欄體格檢查表由考選部定之 (公務人員考試體格檢查辦法第3條) 罪前科之個人資料利用資料來源個人資料保護法第6條 44

機密文書公務機關機密文書 vs. 適當安全維護措施國家機密文書適當安全維護措施 : 分為絕對機密極機密機密應 ( 文書處理手冊第視為一般公務機密並以 50 條 ) 一般公務機密文書密件辦理歸檔 : 指本機關持有或保管之資訊, 除國家機密外, 依法令或契約有保密義務者視公務機關職務內容 ( 文書處理手冊第 51 條 ) 之性質特種個人資料之種類數量等其他具書, 應審核鑑定是否具保密體情狀而定 ( 法律字第價值, 如確有保密必要 1000025319 號,) 應各機關承辦人員處理一般文即改作機密文書處理如為他機關來文, 得依本手冊機密等級變更或解密程序, 建議來文機關變更密等及解密條件或保密期限 45 特種個人資料是機密文書嗎?

適當安全維護措施本法所稱適當安全維護措施安全維護事項或適當之安全措施, 指公務機關或非公務機關為防止個人資料被竊取竄改毀損滅失或洩漏, 採取技術上及組織上之必要措施措施得包括左列事項, 以與所欲達成之個人資料保護目的間, 具有適當比例者為原則配置管理之人員及相當資源事故之預防通報及應變機制認知宣導及教育訓練界定個人資料之範圍個人資料蒐集處理及利用之內部管理程序設備安全管理個人資料之風險評估及管理機制資料安全管理及人員管理資料安全稽核機制使用紀錄軌跡資料及證據保存個人資料安全維護之整體持續改善個資法施行細則 12 46

Case Study 林姓男教師於 OOO 市立小學担任老師,OOO 市立小學為了要保保護幼兒學童教養及基於安全需要, 向林姓男教師戶籍所在地的地方政府索取林姓男子人體複檢之免役原因證明文件, 該地方政府即提供之請教依個資法之規定市立小學和地方政府可以這樣做嗎? 個人資料的種類 - 特種或一般個資? 市立小學 - 資料蒐集行為地方政府 - 資料利用行為, 特定目的內或特定目的外? 案例設計參考法律決字第 0999026180 號 47

個人資料的保存與維護個人資料之保存維護與銷毀公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏 ( 個資法 18) 個人資料的刪除與銷毀依當事人請求 ( 個資法 3) 特定目的消失或期限屆滿 ( 個資法 11) 違反個資法規定蒐集處理或利用個人資料者 ( 個資法 11) 48

個人資料的保存與維護公務機關保有個人資料檔案者, 應訂定個人資料安全維護規定 ( 個資法施行細則 24) 個資法第 18 條所稱專人, 指具有管理及維護個人資料檔案之專業能力, 且足以擔任機關檔案資料安全維護經常性工作之人員 ( 個資法施行細則 25) 公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練 ( 個資法施行細則 25) 配置管理之人員及相當資源界定個人資料之範圍個人資料之風險評估及管理機制事故之預防通報及應變機制個人資料蒐集處理及利用之內部管理程序資料安全管理及人員管理認知宣導及教育訓練設備安全管理資料安全稽核機制使用紀錄軌跡資料及證據保存個人資料安全維護之整體持續改善 49

組織內部個人資料保護與管理制度 / 流程個人資料保護與管理制度推動單位作業流程 / 個資盤點風險評估與確認矯正 / 改善檢討 / 查核制度建立與實施因應措施評估與確認 50

EX: 法務部個人資料保護管理要點 (1/2)( 尚未下達生效 ) 總則 : 明定本要點及法務部個人資料保護管理執行小組設置之目的執行小組之任務執行小組召集人執行秘書及委員之組成及幕僚工作之負責單位執行小組會議召開之期間主持人及得邀請出列席之人員指定專人及其辦理事項設置個人資料保護聯絡窗口及其辦理事項 ( 草案第一點至第六點 ) 個人資料範圍 : 明定本部保有特種資料之個人資料檔案名稱本部保有個人資料特定目的之項目以本部依適當方式公開者為限, 有變更者亦同 ( 草案第七點及第八點 ) 個人資料之蒐集處理及利用 : 明定個人資料之蒐集處理或利用之正當法律程序告知義務之程序取得當事人書面同意之程序個人資料補充或更正之程序資料正確性有爭議之處理程序刪除停止處理或利用個人資料之程序個人資料遭到竊取洩漏竄改或遭其他方式侵害之通知處理程序 ( 草案第九點至第十八點 ) 資料來源 : 法務部 http://www.moj.gov.tw/ct.asp?xitem=215772&ctnode=28007&mp=001 51

EX: 法務部個人資料保護管理要點 (2/2)( 尚未下達生效 ) 當事人行使權利之處理 : 明定當事人請求答覆查詢提供閱覽製給複製本更正補充停止蒐集處理利用或刪除之處理程序請求查詢閱覽或製給個人資料複製本適用法務部及所屬機關提供政府資訊收費標準之規定並依法務部受理申請提供政府資訊及閱覽卷宗須知辦理明定本部保有之個人資料檔案仍適用政府資訊公開法或相關法律規定, 限制公開或不予提供 ( 草案第十九點至第二十三點 ) 個人資料檔案安全維護 : 明定專人應依本要點及相關法令規定辦理個人資料檔案安全維護事項建立個人資料檔案應建立管理制度及人員安全管理規範明定個人資料檔案安全稽核之組織及程序規定個人資料檔案發生非法入侵情事之緊急應變與通報程序個人資料檔案安全維護工作應符合本要點行政院及本部訂定之相關資訊作業安全與機密維護規範 ( 草案第二十四點至第二十八點 ) 附則 : 明定本部委託蒐集處理或利用個人資料者, 亦適用本要點 ( 草案第二十九點 ) 資料來源 : 法務部 http://www.moj.gov.tw/ct.asp?xitem=215772&ctnode=28007&mp=001 52

個人資料持有資訊之公開公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 ( 個資法 17) 個人資料檔案名稱保有機關名稱及聯絡方式個人資料檔案保有之依據及特定目的個人資料之類別公務機關依本法第十七條規定為公開時, 應於建立個人資料檔案後一個月內為之 ; 變更時, 亦同公開方式應予以特定, 並避免任意變更本法第十七條所稱其他適當方式, 指利用新聞紙雜誌政府公報電子報或其他可供公眾查閱之方式為公開 ( 個資法施行細則 23) 53

Ex: 法務部保有個人資料檔案公開項目彙整表資料來源 : 法務部 http://www.moj.gov.tw/ct.asp?xitem=257410&ctnode =28007&mp=001 54

個人資料蒐集處理或利用之委外 (1/2) 受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關 ( 個資法 4) 受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之 ( 個資法施行細則 7) 55

個人資料蒐集處理或利用之委外(2/2) 公務機關適當監督應對受託人為適當之監督委託人應定期確認受託人執行之狀況並將確認結果記錄之(個資法施行細則 8) 受委託機關僅得於委託人指示之範圍內蒐集處理或利用個人資料受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事應立即通知委託人預定蒐集處理或利用個人資料之範圍類別特定目的及其期間受託人就施行細則第12條第2項應採取之必要措施有複委託者其約定之受託人受託人或其受僱人違反個人資料保護法規或委託契約條款時應向委託人通知之事項及採行之補救措施委託人對受託人保留指示之事項委託關係終止或解除時個人資料載體之返還及儲存於受託人持有個人資料之刪除 56

公務機關外洩個資之責任程序不合法欠缺管理程序人員認知不足受理聲請時, 表單即有申請人之個人資料 ; 有個資之處, 即有風險與應採行之管理措施公務機關於個資損害事件上必須負擔無過失責任, 亦有國賠適用機關未依法行政與違法缺失確認後, 不但面臨糾舉, 更易滋生民怨 57 個人資料保護管理與程序事項要求, 所涉事務龐雜, 且多數承辦人員並不明暸其係法定要求義務

損害賠償 (1/2) 公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限 ( 個資法 28) 損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同 ( 個資法 30) 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定 ( 個資法 31) 依本法規定對於公務機關提起損害賠償訴訟者, 專屬該機關所在地之地方法院管轄 ( 個資法 33) 58

財產損害賠償非財產損害回復名譽之適當處分資料來源 : 個人資料保護法第 28 條不易或不能證明其實際損害損害賠償 (2/2) 59 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元為限但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受定每人每一事件最低賠償金額新臺幣五百元之限制

罰則(1/2) 違法蒐集利用及處理個人資料足生損害於他人者處二年以下有期徒刑拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者處五年以下有期徒刑得併科新臺幣一百萬元以下罰金 (個人資料保護法 41) 意圖為自己或第三人不法之利益或損害他人之利益而對於個人資料檔案為非法變更刪除或以其他非法方法致妨害個人資料檔案之正確而足生損害於他人者處五年以下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金 (個人資料保護法 42) 60

罰則 (2/2) 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之 ( 個資法 43) 公務員假借職務上之權力機會或方法, 犯本章 ( 第 5 章罰則 ) 之罪者, 加重其刑至二分之一 ( 個資法 44) 本章 ( 第 5 章罰則 ) 之罪, 須告訴乃論但犯第四十一條第二項之罪者, 或對公務機關犯第四十二條之罪者, 不在此限 ( 個資法 45) 犯本章 ( 第 5 章罰則 ) 之罪, 其他法律有較重處罰規定者, 從其規定 ( 個資法 46) 61

政府機關 : 對非公務機關蒐集處理利用個人資料的管理與監督行政檢查行政處罰採取必要處分, 以保護當事人權益不被繼續侵害 62

對各行業個資保護之行政監督採取必要處分, 以保護當事人權益不被繼續侵害 ( 個人資料保護法第 25 條 ) 1. 行政檢查 ( 個人資料保護法第 22 條 ) 2. 經非公務機關同意, 得公布檢查結果 ( 個人資料保護法第 26 條 ) 依法裁處罰鍰 ( 個人資料保護法第 47 條與 48 條 ) 63 禁止蒐集處理或利用個人資料沒入或命銷燬違法蒐集之個人資料命令刪除經處理之個人資料檔案公布非公務機關之違法情形, 及其姓名或名稱與負責人

行政檢查 & 公布檢查結果 (1/2) 行政檢查 ( 個資法 22) 中央目的事業主管機關或直轄市縣 ( 市 ) 政府為執行資料檔案安全維護業務終止資料處理方法國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件, 進入檢查, 並得命相關人員為必要之說明配合措施或提供相關證明資料中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項檢查時, 對於得沒入或可為證據之個人資料或其檔案, 得扣留或複製之對於應扣留或複製之物, 得要求其所有人持有人或保管人提出或交付 ; 無正當理由拒絕提出交付或抗拒扣留或複製者, 得採取對該非公務機關權益損害最少之方法強制為之 64

行政檢查 & 公布檢查結果 (2/2) 中央目的事業主管機關或直轄市縣 ( 市 ) 政府為第一項檢查時, 得率同資訊電信或法律等專業人員共同為之對於第 1 項及第 2 項之進入檢查或處分, 非公務機關及其相關人員不得規避妨礙或拒絕參與檢查之人員, 因檢查而知悉他人資料者, 負保密義務公布檢查結果 ( 個資法 26) 中央目的事業主管機關或直轄市縣 ( 市 ) 政府依第 22 條規定檢查後, 未發現有違反本法規定之情事者, 經該非公務機關同意後, 得公布檢查結果 65

依法裁處罰鍰 (1/3) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 ( 個資法 47) 違反第六條第一項規定 ( 特種個人資料之蒐集處理與利用 ) 違反第十九條規定 ( 非公務機關對一般個人資料之蒐集處理與利用 ) 違反第二十條第一項規定 ( 非公務機關對一般個人資料之特定目的外利用 ) 違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分 ( 國際傳輸 ) 66

依法裁處罰鍰 (2/3) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 ( 個資法 48) 違反第八條或第九條規定 ( 當事人告知 ) 違反第十條第十一條第十二條或第十三條規定 ( 當事人權利行使 ) 違反第二十條第二項或第三項規定 ( 非公務機關利用個人資料行銷者 ) 違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 67

依法裁處罰鍰 (3/3) 非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰 ( 個資法 49)( 進入非公務機關進行檢查 ) 非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定 ( 第 48 條至 49 條 ) 受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 ( 個資法 50) 68

採取必要處分, 以保護當事人權益不被繼續侵害非公務機關有違反本法規定之情事者, 中央目的事業主管機關或直轄市縣 ( 市 ) 政府除依本法規定裁處罰鍰外, 並得為下列處分 ( 個資法 25) 禁止蒐集處理或利用個人資料命令刪除經處理之個人資料檔案沒入或命銷燬違法蒐集之個人資料公布非公務機關之違法情形, 及其姓名或名稱與負責人中央目的事業主管機關或直轄市縣 ( 市 ) 政府為前項處分時, 應於防制違反本法規定情事之必要範圍內, 採取對該非公務機關權益損害最少之方法為之 ( 個資法 25) 69

對於個人資料保護法通過之因應 70

政府個資外洩事件頻傳政府不設防報稅資料也曾外洩外交部員工電子郵件驚傳外洩其實政府資安出現漏洞並非頭一遭二八年五月所得稅申報期間就曾爆發報稅資料外洩事件事後財政部財稅資料中心亡羊補牢緊急發布新版報稅軟體 99.8.28 自由日報水保計劃洩民眾個資水利署水災保全計畫資料下載區可下載各縣市政府的水災保全計畫民進黨台北市議員徐佳青和立委黃淑英指出有民眾下載資料後發現北市府竟把民眾的個人隱私登載在可公開下載的資料內 100.1.20自由日報教部洩個資判國賠創首例教育部把趙男的陳情書連名帶姓地公布在官網的常見問題中趙男認為隱私權遭侵害請求國賠20萬元台北地院日前判趙可獲國賠 5000元創下公務機關侵害隱私判賠的罕見案例 100.5.30蘋果日報 71

新法實施後公務機關面臨之難題對於保護客體與規範主體之範圍認識不清不確定資料主體之權利及行使程序欠缺行政檢查工作之實施及項目之概念如何整合個資管理制度與現行機關內之管理程序如何確認公務機關同仁對於個資保護已具備基礎概念 72

對於個人資料保護法通過之因應 (1/2) 確認個人資料種類 1. 個人資料持有資訊之公開 2. 指定專人辦理個資檔案安全維護事項建立個人資料安全維護規定 73

對於個人資料保護法通過之因應 (2/2) 個人資料持有資訊之公開應將特定事項公開於電腦網站供公眾查詢, 例如法務部公告法務部保有個人資料檔案公開項目彙整表各公務機關應指定專人辦理個人資料檔案安全維護事項例如 : 法務部設置個人資料保護管理執行小組公務機關保有個人資料檔案者, 訂定個人資料安全維護規定例如 : 法務部草擬法務部個人資料保護管理要點公務人員個資保護認知及法治概念之增進 74

感謝聆聽, 敬請指教 75