鍾佳濱
選擇章節
第一條之一
本法之主管機關為個人資料保護委員會。
前項委員會屬於獨立機關。
前項委員會屬於獨立機關。
立法說明
一、本條新增。
二、依照111年憲法判決第13號之主文意旨,認本法欠缺個人資料保護之獨立監督機制,對個資隱私權之保障不足,而有違憲之虞。並認為,相關機關應增修相關法律,建立相關法制,以完足憲法第二十二條對人民資訊隱私權之保障。準此,增設「個人資料保護委員會」作為本法主管機關,作為個資事件之獨立監督與管理之機制。爰增第一條之一。
三、為遵照上述憲法判決意旨,本法之主管機關應具有獨立監督之功能,因此屬於中央行政機關組織基準法第四條第二項第一款規定之獨立機關。
二、依照111年憲法判決第13號之主文意旨,認本法欠缺個人資料保護之獨立監督機制,對個資隱私權之保障不足,而有違憲之虞。並認為,相關機關應增修相關法律,建立相關法制,以完足憲法第二十二條對人民資訊隱私權之保障。準此,增設「個人資料保護委員會」作為本法主管機關,作為個資事件之獨立監督與管理之機制。爰增第一條之一。
三、為遵照上述憲法判決意旨,本法之主管機關應具有獨立監督之功能,因此屬於中央行政機關組織基準法第四條第二項第一款規定之獨立機關。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。包括透過網路協定地址、瀏覽紀錄產生之數位軌跡並得追蹤識別特定當事人之身分。
二、個人特種資料:有關人種、血統、政治傾向、宗教、哲學信仰、身分、基因、生物特徵、健康相關、性生活與性傾向及犯罪前科之個人資料。
三、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
四、蒐集:指以任何方式取得個人資料。
五、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
六、利用:指將蒐集之個人資料為處理以外之使用。
七、國際傳輸:指將個人資料作跨國(境)之處理或利用。
八、公務機關:指依法行使公權力之中央或地方機關或行政法人。
九、非公務機關:指前款以外之自然人、法人或其他團體。
十、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。包括透過網路協定地址、瀏覽紀錄產生之數位軌跡並得追蹤識別特定當事人之身分。
二、個人特種資料:有關人種、血統、政治傾向、宗教、哲學信仰、身分、基因、生物特徵、健康相關、性生活與性傾向及犯罪前科之個人資料。
三、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
四、蒐集:指以任何方式取得個人資料。
五、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
六、利用:指將蒐集之個人資料為處理以外之使用。
七、國際傳輸:指將個人資料作跨國(境)之處理或利用。
八、公務機關:指依法行使公權力之中央或地方機關或行政法人。
九、非公務機關:指前款以外之自然人、法人或其他團體。
十、當事人:指個人資料之本人。
立法說明
一、由於現代社會網絡使用已成為日常,運用網絡所生之「網路協定地址(IP地址)」得以追蹤出個人使用網絡位置與所在地等個資,等同擁有現行法「聯絡方式文義所包含之文字通訊地址」,而有納入個人資料範圍之必要;瀏覽紀錄(例如:Cookie)亦具有留存之特徵,且得產生數位軌跡,經由建檔後,得對個人進行剖析及預測。準此而言,具有同受本法保護之必要,而納入本法個人資料之定義範圍中。
二、個人特種資料因具高度敏感性,對資訊處分須較一般個人資料有更嚴謹的保護程序。現行法第六條採取原則禁止,例外時得蒐集、利用及處理,即得證之。參酌歐盟GDPR之相關規範,爰將個人具高度敏感性相關訊息,如政治傾向、宗教及哲學信仰、生物特徵等資訊納入特種資料之概念範圍。現行法第二條第一項並無特種資料之定義明文,僅定性屬個人資料,爰增列於第二款,以示區別。並將原第二款至第九款後移,至第三款至第十款。
二、個人特種資料因具高度敏感性,對資訊處分須較一般個人資料有更嚴謹的保護程序。現行法第六條採取原則禁止,例外時得蒐集、利用及處理,即得證之。參酌歐盟GDPR之相關規範,爰將個人具高度敏感性相關訊息,如政治傾向、宗教及哲學信仰、生物特徵等資訊納入特種資料之概念範圍。現行法第二條第一項並無特種資料之定義明文,僅定性屬個人資料,爰增列於第二款,以示區別。並將原第二款至第九款後移,至第三款至第十款。
第六條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
第二條第二款之個人特種資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
立法說明
經上述個人特種資料之定義列於第二條規定後,第六條之特種資料程序規範條文,即毋庸列舉特種個資項目,爰修正為「第二條第二款之個人特種資料」。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
非公務機關有下列情事之一者,由個人資訊保護委員會或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第三項或第二十七條之一第二項或第二十七條之三第二項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,個人資訊保護委員會或直轄市、縣(市)政府處新臺幣二十萬元以上二百萬元以下罰鍰,並命限期改正,屆期未改正者,按次處罰。
前項違反情節重大者,處新臺幣二百萬元以上一千萬元以下罰緩,並命限期改正,屆期未改正者,按次處法之。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第三項或第二十七條之一第二項或第二十七條之三第二項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,個人資訊保護委員會或直轄市、縣(市)政府處新臺幣二十萬元以上二百萬元以下罰鍰,並命限期改正,屆期未改正者,按次處罰。
前項違反情節重大者,處新臺幣二百萬元以上一千萬元以下罰緩,並命限期改正,屆期未改正者,按次處法之。
立法說明
一、本條第一項中央目的事業主管機關,按新增條文第一條之一將「個人資料保護委員會」明定為本法之主管機關,隨同修正。
二、第一項第四款之罰則,修正為違反資訊保護官設置、公告報備契約與資訊保護官之獨立性破壞。
三、為確保非公務機關對於蒐集、利用或處理之個資,得以妥善保護,並確立此項原則,本條屬於誡命規範。於具違反第二十七條第一項或第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料之處理方法之情事,主管機關應逕予裁罰並命限期改正,以督促違反者盡速縮小擴散範圍及損害情勢。復考量現今社會,個人資訊具有相當功能,甚得做為犯罪工具,爰將罰鍰額度提高為新臺幣二十萬元以上二百萬元以下,以示其保護必要性。
四、另外,違反安全維護義務情節重大者,造成的損害程度與規模可能無從估計。換言之,有侵害眾人權力之虞。爰增訂具有違反情節重大者,以二百萬以上一千萬元以下罰緩,並命限期改正,屆期未改按次處罰。
二、第一項第四款之罰則,修正為違反資訊保護官設置、公告報備契約與資訊保護官之獨立性破壞。
三、為確保非公務機關對於蒐集、利用或處理之個資,得以妥善保護,並確立此項原則,本條屬於誡命規範。於具違反第二十七條第一項或第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料之處理方法之情事,主管機關應逕予裁罰並命限期改正,以督促違反者盡速縮小擴散範圍及損害情勢。復考量現今社會,個人資訊具有相當功能,甚得做為犯罪工具,爰將罰鍰額度提高為新臺幣二十萬元以上二百萬元以下,以示其保護必要性。
四、另外,違反安全維護義務情節重大者,造成的損害程度與規模可能無從估計。換言之,有侵害眾人權力之虞。爰增訂具有違反情節重大者,以二百萬以上一千萬元以下罰緩,並命限期改正,屆期未改按次處罰。
