個人資料保護法問答 - PDF 免费下载

個人資料保護法問答 Q1: 為何現行電腦處理個人資料保護法要修正為個人資料保護法? 其修正重點為何? A1: 電腦處理個人資料保護法自 84 年 8 月 11 日公布施行至今, 已近 18 年, 由於資訊通信科技發達的結果, 透過電腦及網際網路處理與傳輸個人資料之情形已今非昔比, 該法的規範顯然已不足夠, 且個人資料外洩事件時有所聞, 尤其是尚有龐大未適用該法的民間產業, 影響個人資料本人的隱私權益甚鉅鑑此, 法務部組成修法專案小組於 93 年間完成修正草案, 歷經數年審議, 終於 99 年 4 月 27 日完成三讀, 同年 5 月 26 日總統公布個人資料保護法, 除第 6 條第 54 條外, 其餘條文行政院指定於 101 年 10 月 1 日施行修正重點如下 : ( 一 ) 擴大保護客體 : 落實對個人資料之保護, 不再以經電腦處理為限, 爰將名稱修正為個人資料保護法 ( 二 ) 普遍適用主體 : 刪除行業別限制, 涵蓋任何自然人法人或團體 ( 三 ) 增修行為規範 : 嚴格限制醫療基因性生活健康檢查犯罪前科等五類特種資料之蒐集處理及利用 ; 增修個人資料蒐集處理與利用之合法要件告知義務書面同意意涵個資外洩通知拒絕接受行銷權利等規範 ( 四 ) 強化行政監督 : 明訂中央目的事業主管機關與地方政府之行政檢查權, 違法者得裁處罰鍰與行政處分 ( 五 ) 促進民眾參與 : 增訂財團法人與公益社團法人提起團體訴訟之相關規定 1

( 六 ) 調整責任內涵 : 提高意圖營利犯罪刑度領域外犯罪適用提高損害賠償總額提高非公務機關罰鍰額度及代表人管理人或其他有代表權人之併罰 ( 七 ) 除外適用條款 ( 豁免本法適用 ) Q2: 請問個人資料保護法之立法目的為何? A2: 由於個人資料保護法第 1 條開宗明義表示 : 為規範個人資料之蒐集處理及利用, 避免人格權受侵害, 並促進個人資料之合理利用, 故本法對個人資料的蒐集處理或利用, 係兼顧個人的隱私權保護及合理利用的衡平 Q3: 何謂個人資料? 何謂特種資料? 又什麼是個人資料檔案? A3:1. 個人資料 : 依本法第 2 條第 1 款規定, 個人資料指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活 ( 包括性取向 ) 健康檢查犯罪前科聯絡方式財務情況社會活動等及其他得以直接或間接方式識別該個人之資料 2. 個人資料中有部分資料性質較為特殊或具敏感性, 如任意蒐集處理或利用, 恐會造成社會不安或對當事人造成難以彌補之傷害, 故另規定較嚴格之蒐集處理或利用要件該特種資料包括醫療基因性生活健康檢查及犯罪前科之 5 種個人資料屬特種資料 2

3. 個人資料檔案 : 將以上所列的個人資料, 依系統建立而得以自動化機器 ( 例如電腦 ) 或其他非自動化方式 ( 例如紙本 ) 檢索整理的集合, 就是個人資料檔案 ; 備份檔案也包括在內 ( 個人資料保護法第 2 條第 2 款規定 ; 施行細則第 5 條規定 ) Q4: 個人資料保護法第 6 條之特種資料蒐集處理或利用規定尚未施行, 目前如何適用本法? A4: 行政院於 101 年 9 月 21 日以院臺法字第 1010056845 號令 : 中華民國 99 年 5 月 26 日修正公布之個人資料保護法, 除第 6 條第 54 條外, 其餘條文定自 101 年 10 月 1 日施行目前個人資料保護法第 6 條關於特種資料蒐集處理或利用之規定尚未施行, 故有關特種資料之蒐集處理或利用則依一般個人資料之規定 ( 個人資料保護法第 15 條第 16 條規定 ; 第 19 條 20 條規定 ) 為之 Q5: 本法的個人資料, 是否以生存的人為限? A5: 本法的立法目的之一, 即在保護人格權中的資料隱私權, 唯有有生命的自然人, 方有隱私權受到侵害的恐懼情緒, 至於已死亡的人已無恐懼其隱私權受侵害情緒, 故不在本法保護之列 ( 個人資料保護法第 2 條第 1 款規定 ; 施行細則第 2 條規定 ) Q6: 本法所規範的蒐集處理及利用行為, 分別是指什麼? A6:1. 蒐集 : 指的是以任何方式取得的個人資料 ( 個人資料保護法第 2 條第 3 款規定 ) 例如: 內政部警政署依法向中央健康保險局蒐集失蹤人口之就醫時間及地點等個人資料 3

2. 處理 : 指的是為建立或利用個人資料檔案, 所為資料的記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送 ( 個人資料保護法第 2 條第 4 款規定 ) 例如 : 公司行號以建置職員勤惰管理系統儲存或編輯員工上下班情形 3. 利用 : 指的是將蒐集的個人資料為處理以外的使用 ( 個人資料保護法第 2 條第 5 款規定 ) 例如:(1) 金融機構將蒐集之存款戶個人資料提供行政執行分署依行政執行法令辦理相關執行事項 (2) 公司行號運用員工差勤系統之個人差勤資料, 作為年終考核或抽查員工差勤之用 Q7: 為什麼本法規定蒐集處理或利用個人資料, 需要有特定目的? 又所謂的特定目的究何所指? A7: 依經濟合作暨發展組織 (OECD) 所揭示之目的明確化原則及限制利用原則, 個人資料於蒐集時其目的即應明確化, 其後的利用亦應與蒐集目的相符合, 於目的變更後亦應明確化, 個人資料的利用, 除符合法定要件外, 不得為特定目的以外的利用特定目的是保護個人資料的重要項目, 故本法第 53 條規定由法務部會同中央目的事業主管機關指定特定目的, 並已訂頒個人資料保護法之特定目的及個人資料類別 ( 可參考 : 本部全球資訊網 / 個人資料保護專區 / 法令及執行措施 ) Q8: 什麼是個人資料的國際傳輸? A8: 依本法第 2 條第 6 款規定, 國際傳輸指將個人資料作跨國 ( 境 ) 之處理或利用例如 :(1) 總公司將資料傳送給國外 ( 境外 ) 分公 4

司或國外其他公司機關 ( 構 ) 等 (2) 公務機關將資料傳送給國外 ( 境外 ) 辦事處或國外其他公務機關 ( 構 ) 公司等 Q9: 中央目的事業主管機關在那些情形下, 得限制非公務機關為國際傳輸個人資料? A9: 中央目的事業主管機關在有下列情形之一時, 得限制公務機關為國際傳輸個人資料 ( 個人資料保護法第 21 條規定 ): 1. 涉及國家重大利益 2. 國際條約或協定有特別規定 3. 接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞 4. 以迂迴方法向第三國 ( 地區 ) 傳輸個人資料規避個人資料保護法 Q10: 本法的公務機關及非公務機關分別有那些? A10:1. 公務機關 : 指的是中央或地方機關或行政法人 ( 個人資料保護法第 2 條第 7 款規定 ) 2. 非公務機關 : 指公務機關以外所有之自然人法人或其他團體 ( 個人資料保護法第 2 條第 8 款規定 ), 通通都是本法所定的非公務機關 Q11: 在那些情形下, 不適用本法的規定? 理由為何? A11: 不適用個人資料保護法規定的情形有 ( 個人資料保護法第 51 條第 1 項規定 ): 5

(1) 自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料有關自然人為單純個人或家庭活動而蒐集處理或利用個人資料, 因係屬私生活目的所為, 與其職業或業務職掌無關, 如納入本法之適用, 恐造成民眾之不便亦無必要, 故不適用本法之規定 (2) 於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料由於資訊科技及網際網路的發達, 個人資料之蒐集處理或利用甚為普遍, 尤其在網際網路上張貼的影音個人資料, 亦屬表現自由之一部分為解決合照或其他在合理範圍內的影音資料須經其他當事人的書面同意始得為蒐集處理或利用個人資料的不便, 且合照當事人彼此間均有同意的表示, 其本身共同使用之合法目的亦相當清楚, 因此, 對於在公開場所或公開活動中所蒐集處理或利用, 而未與其他個人資料結合的影音資料, 不適用個人資料保護法之規定 Q12: 公務機關在那些情形下, 可以蒐集處理或利用一般性個人資料? A12:1. 公務機關蒐集或處理一般性個人資料, 必須有特定目的, 並且必須符合下列情形之一 ( 個人資料保護法第 15 條第 7 條規定 ; 施行細則第 10 條第 14 條規定 ): (1) 執行法定職務必要範圍內 (2) 經當事人書面同意 (3) 對當事人權益無侵害 6

2. 公務機關利用一般性個人資料, 應區分是屬於特定目的內利用或是特定目的外利用, 其要件如下 ( 個人資料保護法第 16 條第 7 條規定 ; 施行細則第 9 條第 14 條第 15 條第 17 條規定 ): (1) 特定目的內利用 : 公務機關利用您的一般性個人資料, 原則上應在執行法定職務必要範圍內為之, 且其利用個人資料與蒐集的特定目的相符 (2) 特定目的外利用 : 公務機關於有下列情形之一時, 得在特定目的外利用一般性個人資料 : 1 法律明文規定 2 為維護國家安全或增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 6 有利於當事人權益 7 經當事人書面同意 Q13: 非公務機關在那些情形下, 可以蒐集處理或利用一般性個人資料嗎? A13:1. 非公務機關蒐集或處理一般性個人資料, 必須有特定目的, 並且必須符合下列情形之一 ( 個人資料保護法第 19 條第 7 條規定 ; 施行細則第 9 條第 13 條第 14 條第 17 條第 26 條第 27 條第 28 條規定 ): 7

(1) 法律明文規定 (2) 與當事人有契約或類似契約之關係 (3) 當事人自行公開或其他已合法公開之個人資料 (4) 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 (5) 經當事人書面同意 (6) 與公共利益有關 (7) 個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 2. 非公務機關利用一般性個人資料, 應區分是屬於特定目的內利用或是特定目的外利用, 其要件如下 ( 個人資料保護法第 20 條第 7 條規定 ; 施行細則第 9 條第 14 條第 15 條第 17 條規定 ): (1) 特定目的內利用 : 非公務機關利用一般性個人資料, 原則上應在蒐集的特定目的必要範圍內為之 (2) 特定目的外利用 : 非公務機關於有下列情形之一時, 得在特定目的外利用一般性個人資料 : 1 法律明文規定 2 為增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方 8

式無從識別特定之當事人 6 經當事人書面同意 Q14: 為保障個人資料之自主控制, 依個人資料保護法規定, 個人資料本人可以行使哪些權利? A14: 為保障個人生活私密領域免於他人侵擾及個人資料之自主控制, 隱私權乃為不可或缺之基本權利, 而受憲法第 22 條所保障其中對個人自主控制個人資料之資訊隱私權而言, 乃保障人民決定是否揭露其個人資料及在何種範圍內於何時以何種方式向何人揭露之決定權, 並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權 ( 司法院釋字第 585 603 689 號解釋參照 ) 因此, 個人資料保護法第 3 條規定, 當事人對其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除 ( 個人資料保護法第 10 條第 11 條規定 ; 施行細則第 10 條第 18 條至第 21 條規定 ) Q15: 個人資料保護法之告知義務所指為何? A15: 公務機關或非公務機關在蒐集您的個人資料時, 應同時向您告知必要事項 ; 除非有法律所規定的例外情形, 才能不履行此項告知義務其詳細規定如下 ( 個人資料保護法第 8 條第 9 條規定 ; 施行細則第 9 條第 10 條第 11 條第 13 條第 16 條第 17 條規定 ): 1. 由當事人提供其個人資料時, 應告知之事項 : (1) 該蒐集您的個人資料的公務機關或非公務機關名稱 9

(2) 蒐集之目的 (3) 所蒐集的個人資料類別 (4) 該個人資料利用的期間地區對象及方式 (5) 當事人依個人資料保護法第 3 條規定得行使的權利及方式 (6) 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響 2. 非由當事人提供其個人資料時, 應告知之事項 : 公務機關或非公務機關若非直接向您本人蒐集您的個人資料時, 應於處理或利用您的個人資料前, 向您告知該個人資料來源及上開 (1)~(5) 所列事項 3. 由當事人提供其個人資料時, 該蒐集個人資料之公務機關或非公務機關例外得不向當事人履行告知義務之情形有 :(1) 依法律規定可以不用告知 (2) 個人資料的蒐集為公務機關執行法定職務所必要 (3) 個人資料的蒐集為非公務機關履行法定義務所必要 (4) 告知將妨害公務機關執行法定職務 (5) 告知將妨害第三人之重大利益 (6) 當事人明知應告知之內容 4. 非由當事人提供其個人資料時, 該蒐集個人資料之公務機關或非公務機關例外得不向當事人履行告知義務之情形有 : (1) 有個人資料保護法第 8 條第 2 項所列各款情形之一 (2) 當事人自行公開或其他已合法公開之個人資料 (3) 不能向當事人或其法定代理人為告知 (4) 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 (5) 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 10

Q16: 非公務機關合法利用個人資料從事商品行銷時, 為方便當事人拒絕接受該產品之行銷, 該非公務機關應有何作為? 又被拒絕行銷時應如何處理? A16: 1. 為便利當事人表達拒絕接受行銷之意思表示, 本法增訂第 20 條第 3 項規定, 非公務機關對當事人進行首次行銷時, 應支付當事人拒絕行銷之費用, 例如, 提供免付費電話免費回郵等至於當事人日後得隨時以自費方式, 表示拒絕再接受行銷, 非公務機關應即停止再利用其個人資料進行行銷, 自不待言即使當事人已經同意非公務機關將其個人資料為目的外利用, 非公務機關如有依此同意對於利用個人資料行銷時, 個資法規定, 非公務機關應建立當事人退場 (Opt-out) 之機制, 於當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 ; 且非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 2. 非公務機關依個人資料保護法第 20 條第 1 項規定, 利用個人資料從事商品行銷時 ( 包括特定目的內與特定目的外之利用 ), 如當事人擬拒絕接受該產品之行銷, 只能依第 3 條規定, 請求停止處理或利用或刪除其個人資料, 往往緩不濟急為尊重當事人拒絕接受行銷之權利, 爰參考 1995 年歐盟資料保護指令 (95/46/EC) 第 14 條德國聯邦個人資料保護法第 28 條第 4 項規定, 增訂第 2 項, 明定當事人表示拒絕接受行銷時, 非公務機關即應停止再利用其個人資料進行行銷 11

Q17: 個人資料外洩時, 公務機關或非公務機關是否有通報或告知當事人之義務? A17: 公務機關或非公務機關管理之個人資料, 如有被竊取洩漏竄改或其他侵害者, 應於查明後通知當事人 ( 個人資料保護法第 12 條規定 ), 以使當事人得以知悉個人資料遭違法侵害之情事, 以及時採取補救措施或提起救濟個資法並未硬性要求通知之方式, 依個資法施行細則第 22 條規定, 乃規定通知之適當方式應即時以言詞書面電話簡訊電子郵件傳真電子文件或其他足以使當事人知悉或可得知悉之方式為之但通知需費過鉅者, 得斟酌技術之可行性及當事人隱私之保護 ( 不揭示可直接或間接識別當事人之個人資料 ), 以網際網路新聞媒體或其他適當之公開方式為之通知之內容, 應包括個人資料被侵害之事實以及已採取之因應措施, 以使當事人得有效採取適當補救措施以降低損害之擴大 Q18: 公務機關或非公務機關委託其他法人團體或個人, 進行個人資料之蒐集處理或利用行為, 如果受託者將個人資料外洩, 委託機關是否要負賠償責任? A18: 法人團體或個人辦理公務機關或非公務機關所委託業務涉及處理個人資料, 則該受託處理個人資料之法人團體或個人, 視同委託機關, 並以委託機關為權責歸屬機關, 由委託機關負賠償責任例如 : 委託機關為公務機關時, 則受託之個人法人或團體於受託範圍內, 視同委託機關, 而應適用本法有關公務機關之規範 ( 個人資料保護法第 4 條施行細則第 7 條規定 ) 12

Q19: 違反個人資料保護法會有哪些相關責任? A19: 違反個人資料保護法規定, 可能發生民事賠償責任刑事責任和行政責任三部分 : ( 一 ) 民事賠償責任 : 1 公務機關違反規定, 致當事人權益受損害者, 應負損害賠償責任但損害是因天災事變或其他不可抗力所致者, 則不在此限 ( 個人資料保護法第 28 條第 1 項規定 ) 2 非公務機關違反規定, 致當事人權益受損害者, 應負損害賠償責任但如果能證明其沒有故意或過失者, 不在此限 ( 個人資料保護法第 29 條第 1 項規定 ) 3 對於基於同一原因事實應對當事人負損害賠償責任之總額, 提高至 2 億元, 被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節以每人每一事件 5 百元以上 2 萬元以下計算之 ( 個人資料保護法第 28 條第 3 項第 4 項規定 ; 第 29 條第 2 項規定 ) ( 二 ) 刑事責任 : 對於違法蒐集處理或利用個人資料者, 區別其是否具有意圖營利之主觀要件, 課予程度不等之刑事責任另意圖為自己或第三人不法之利益或損害他人之利益而妨害個人資料檔案之正確性, 足生損害於他人者, 亦有刑事責任, 且中華民國人民在我國領域外對中華民國人民觸犯本法第 41 條第 42 條之罪者, 亦適用本法 ( 個人資料保護法第 41 條第 42 條及第 43 條規定 ) 13

( 三 ) 行政責任 : 個人資料保護法針對非公務機關違反本法相關規定時, 賦予中央目的事業主管機關命非公務機關限期改善, 並得對非公務機關處以罰鍰, 而非公務機關之代表人管理人或其他有代表權人, 除非能證明已盡防止義務者外, 並應課以同一額度之罰鍰, 以加強其監督之責任 ( 個人資料保護法第 47 條至第 50 條規定 ) Q20: 依本法規定請求損害賠償時, 是否有時間上之限制? A20: 依法您必須在知有損害及賠償義務人時起 2 年間行使損害賠償請求權 ; 如果沒有在期間內行使的話, 請求權就會消滅, 而且在損害發生已經超過 5 年之後, 您的請求權也會消滅 ( 個人資料保護法第 30 條規定 ) 所以, 提醒當事人應特別留意此請求權行使之時間上之限制, 請勿在權利上睡著了 Q21: 個人資料保護法施行前, 已經蒐集的個人資料, 是否可以繼續予以利用? A21: 個資法施行細則第 32 條規定, 如果個資法施行前已經蒐集之個人資料, 是由當事人本人所提供者, 仍得繼續為蒐集處理及特定目的內之利用惟如擬為特定目的外之利用, 則應依照施行後之個資法相關規定, 始得為之 14