蔣萬安
選擇章節
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、網際網路位址、數位軌跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、網際網路位址、數位軌跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
查個人資料之種類繁多,惟隨科技發展,社會態樣多元,線上活動及物聯網應用個人資料之情形快速增加,此類非實體個別個人資料之揭露若加以綜合判斷仍具可識別性,對個人隱私之侵害可能性日益增加,爰增訂網際網路位址及數位軌跡,包括Cookie、無線射頻識別(Radio Frequency Identification)等非實體個人資料納入個人資料範圍,以補充說明個人資料之性質,提升數位世代個人資料保護之強度。
第七條
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意。除該目的為蒐集者主要服務所必須外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其主要服務。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意。除該目的為蒐集者主要服務所必須外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其主要服務。
立法說明
一、為確保當事人個人資料之利用及可能影響均為當事人所明瞭,並經其積極同意,爰參考歐盟一般資料保護規則(General Data Protection Regulation),刪除第三項推定同意之規定。
二、現今線上商業行為多仰賴使用者個人資料、使用行為之分析為基礎,消費者個人資料儼然成為數位經濟之重要資產。為避免營利事業以使用特定主要服務為由,要求當事人同意其個人資料使用於其他非相關、非必須之目的,例如以當事人不同意其個人資料使用於行銷用途即拒絕提供其他非行銷目的之主要服務。爰於第四項增訂公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意,除該目的為其主要服務所必需外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其服務。
二、現今線上商業行為多仰賴使用者個人資料、使用行為之分析為基礎,消費者個人資料儼然成為數位經濟之重要資產。為避免營利事業以使用特定主要服務為由,要求當事人同意其個人資料使用於其他非相關、非必須之目的,例如以當事人不同意其個人資料使用於行銷用途即拒絕提供其他非行銷目的之主要服務。爰於第四項增訂公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意,除該目的為其主要服務所必需外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其服務。
第八條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應以一般人能夠理解之說明,具體、明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
立法說明
一、考量網際網路經濟活動之普及度,及其無存取時間、地理限制之特性,個人資料之提供對當事人權益之影響快速且重大,爰於第一項增訂公務機關應以一般人能夠理解之說明,具體、明確告知本法所定應告知之事項,以使個人資料當事人明瞭該同意對其權益之影響,並確保其同意係屬自願、獨立之行為。
第十一條之一
公務機關或非公務機關應依當事人之請求,刪除其蒐集之個人資料。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害公務機關犯罪預防、偵查或追訴。
四、妨害該蒐集機關或第三人之重大利益。
公務機關或非公務機關拒絕當事人依前條之請求者,應書面告知當事人拒絕原因及向中央目的事業主管機關申訴救濟之途徑。
本條關於請求刪除及申訴救濟程序,由中央目的事業主管機關以命令定之。
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害公務機關犯罪預防、偵查或追訴。
四、妨害該蒐集機關或第三人之重大利益。
公務機關或非公務機關拒絕當事人依前條之請求者,應書面告知當事人拒絕原因及向中央目的事業主管機關申訴救濟之途徑。
本條關於請求刪除及申訴救濟程序,由中央目的事業主管機關以命令定之。
立法說明
一、本條新增。
二、歐盟於1995年歐盟指令第95/46/EC號率先全球訂立被遺忘權(right to erasure或right to be forgotten)之法令基礎,歐盟法院並於2014年Google v.AEPD案首度判決個人資料當事人擁有「被遺忘權」權利,得要求個人資料之處理者及蒐集者刪除其無害於公共利益之個人資料。2016年歐盟進一步通過歐盟規則第2016/679號「個人資料保護規則(General Data Protection Regulation)」取代前述歐盟指令第95/46/EC號,並於該規則第17條明訂「被遺忘權」。
三、我國現行個人資料保護法雖於第三條及第十一條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利,惟我國個人資料當事人之「被遺忘權」僅限於第十一條各款情形,即僅在「個人資料正確性有爭議」、「蒐集之特定目的消失或其屆滿」或「違反個人資料保護法規定蒐集、處理或利用個人資料」時,使得請求刪除其個人資料。
四、綜觀歐盟「個人資料保護規則」、歐盟法院判決及我國個人資料保護法規定,我國並未承認個人資料當事人完整之「被遺忘權」,個人資料當事人無法以名譽受損、私人生活遭受干擾等緣由請求個人資料之蒐集者及處理者刪除其個人資料,較歐盟實務明顯限縮。爰參考歐盟「個人資料保護規則」增訂第十一條之一,賦予我國個人資料當事人「被遺忘權」,以確保個人資料保障。
五、又個人雖得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料,其請求仍非毫無限制。若有影響國家安全、妨害公務機關執行法定職務、犯罪預防、偵查或追訴或可能侵害第三人言論自由、資訊自由等公共利益時,受請求者仍得予以拒絕。
二、歐盟於1995年歐盟指令第95/46/EC號率先全球訂立被遺忘權(right to erasure或right to be forgotten)之法令基礎,歐盟法院並於2014年Google v.AEPD案首度判決個人資料當事人擁有「被遺忘權」權利,得要求個人資料之處理者及蒐集者刪除其無害於公共利益之個人資料。2016年歐盟進一步通過歐盟規則第2016/679號「個人資料保護規則(General Data Protection Regulation)」取代前述歐盟指令第95/46/EC號,並於該規則第17條明訂「被遺忘權」。
三、我國現行個人資料保護法雖於第三條及第十一條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利,惟我國個人資料當事人之「被遺忘權」僅限於第十一條各款情形,即僅在「個人資料正確性有爭議」、「蒐集之特定目的消失或其屆滿」或「違反個人資料保護法規定蒐集、處理或利用個人資料」時,使得請求刪除其個人資料。
四、綜觀歐盟「個人資料保護規則」、歐盟法院判決及我國個人資料保護法規定,我國並未承認個人資料當事人完整之「被遺忘權」,個人資料當事人無法以名譽受損、私人生活遭受干擾等緣由請求個人資料之蒐集者及處理者刪除其個人資料,較歐盟實務明顯限縮。爰參考歐盟「個人資料保護規則」增訂第十一條之一,賦予我國個人資料當事人「被遺忘權」,以確保個人資料保障。
五、又個人雖得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料,其請求仍非毫無限制。若有影響國家安全、妨害公務機關執行法定職務、犯罪預防、偵查或追訴或可能侵害第三人言論自由、資訊自由等公共利益時,受請求者仍得予以拒絕。
第二十一條
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
非公務機關為國際傳輸個人資料,除該接受國對於個人資料之保護之法規規範與本法相同或更佳,或該接受者已採取符合本法關於個人資料之保護措施者外,不得為之。
前項之接受國有下列情形之一者,中央目的事業主管機關得限制其個人資料國際傳輸:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、以迂迴或其他方式向第三國(地區)傳輸個人資料規避本法。
前項之接受國有下列情形之一者,中央目的事業主管機關得限制其個人資料國際傳輸:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、以迂迴或其他方式向第三國(地區)傳輸個人資料規避本法。
立法說明
一、我國現行個人資料保護法係採原則不禁止,於例外情形方得限制之規範。惟現今個人資料之線上蒐集、處理樣態多元,為確保我國個人資料保護,爰參考歐盟「個人資料保護規則」,宜改採原則禁止,例外於該接受國對於個人資料之保護之法規與本法具同一或更佳保護效果,或該接受者已採取適當方式符合本法對於個人資料之保護時,方得為之。
二、第二項增定雖接受國已具與本法同一或更佳保護效果之個人資料保護法規,或該接受者已採取適當方式符合本法對於個人資料之保護,中央目的事業主管機關仍得以該國際傳輸涉及國家重大利益、國際條約或協定有特別規定、以迂迴方法向第三國(地區)傳輸個人資料規避本法等情形禁止之。
二、第二項增定雖接受國已具與本法同一或更佳保護效果之個人資料保護法規,或該接受者已採取適當方式符合本法對於個人資料之保護,中央目的事業主管機關仍得以該國際傳輸涉及國家重大利益、國際條約或協定有特別規定、以迂迴方法向第三國(地區)傳輸個人資料規避本法等情形禁止之。
