選擇章節
比較基準
比較對象
新增比較對象
現行版本
王美惠等18人
113/03/15 提案版本
賴士葆等17人
113/03/22 提案版本
邱志偉等22人
113/04/09 提案版本
賴瑞隆等18人
113/04/09 提案版本
台灣民眾黨立法院黨團等5人
113/04/19 提案版本
黃捷等17人
113/05/03 提案版本
許宇甄等22人
113/06/07 提案版本
第一條
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
為規範個人資料之蒐集、處理、利用,及保障個人隱私權及資料人權,並促進個人資料之合理利用,特制定本法。
立法說明
一、條文修正。
二、為落實憲法保障個人隱私權之精神,敘明保障個人隱私權及資料人權為立法目的。
二、為落實憲法保障個人隱私權之精神,敘明保障個人隱私權及資料人權為立法目的。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資料、衛星定位、數位軌跡、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資料、衛星定位、數位軌跡、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
隨時代變遷,社會價值逐漸進步、數位科技演變,現行個人資料定義越趨廣泛,爰加入「性傾向」、「交易紀錄」、「生物特徵識別資料」、「衛星定位」、「數位軌跡」等項目。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、數位足跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
十、應用程式數位發行平台:指於中華民國領域內使用者達顯著數量,供應用程式透過網際網路等線上方式分發之平台,並經中央目的事業主管機關指定,並報主管機關核定者。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、數位足跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
十、應用程式數位發行平台:指於中華民國領域內使用者達顯著數量,供應用程式透過網際網路等線上方式分發之平台,並經中央目的事業主管機關指定,並報主管機關核定者。
立法說明
一、數位足跡(Digital footprint)指使用者利用網際網路所留下之一切記錄。本條雖規定「以直接或間接方式識別該個人之資料」亦為個人資料。為避免爭議及配合第二十條條第四項及第五項「事後退出選擇權(right to opt-out)」之增訂,參酌歐盟一般資料保護規則,個人資料包含使用者之線上定位資料之規定,爰修正第一款明確將數位足跡列入個人資料範圍。
二、配合第二十四條之一、第二十五條第二項、第四十七條第二項之增訂,增列第十款應用程式數位發行平台之定義。
二、配合第二十四條之一、第二十五條第二項、第四十七條第二項之增訂,增列第十款應用程式數位發行平台之定義。
第六條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
有關病歷、醫療、基因、性生活、健康檢查、通信紀錄衍生相關資料及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
立法說明
一、鑑於現今社會幾乎人手一支手機,然日前有不肖人士利用電信使用人攜帶之手機所發送相關訊號及其所代表數據進行比對,導致電信使用人身分基本資料、行動足跡、生活軌跡、瀏覽網頁、政治傾向被洩露,引發電信使用人心理恐慌。
二、電信法第二條第八款定義通信紀錄系指電信使用人使用電信服務後,電信系統所產生之發信方、受信方之電信號碼、通信日期、通信起訖時間等紀錄,並以電信系統設備性能可予提供者為原則。電信號碼係指電話號碼或用戶識別碼。手機使用者只要使用過手機就會產生通信記錄。
三、電信使用人只要使用某手機通信過,該手機即與電信使用人產生連接,其手機之後所發送之所有訊號,可讓有心人士透過相關設備追踪、比對,進而了解電信使用人相關資訊,包含:年齡、性別、行動足跡、網路足跡、發收信方通聯資訊等,故應禁止有心人士蒐集、處理或利用通信紀錄衍生相關資料。
二、電信法第二條第八款定義通信紀錄系指電信使用人使用電信服務後,電信系統所產生之發信方、受信方之電信號碼、通信日期、通信起訖時間等紀錄,並以電信系統設備性能可予提供者為原則。電信號碼係指電話號碼或用戶識別碼。手機使用者只要使用過手機就會產生通信記錄。
三、電信使用人只要使用某手機通信過,該手機即與電信使用人產生連接,其手機之後所發送之所有訊號,可讓有心人士透過相關設備追踪、比對,進而了解電信使用人相關資訊,包含:年齡、性別、行動足跡、網路足跡、發收信方通聯資訊等,故應禁止有心人士蒐集、處理或利用通信紀錄衍生相關資料。
第十二條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,除因不可抗力情事外,應於知悉侵害發生起七十二小時內通報主管機關及確定之當事人。
前項公務機關或非公務機關於發生個人資料侵害事件後一個月內,將調查結果、已採取之因應措施、檢討改善計畫提交主管機關備查。
第一項有關通報當事人之內容,應包括個人資料遭侵害之事實、可能之後果、公務機關或非公務機關已採取之措施及其他主管機關指定之事項。
前項通報於通報時,如有無法同時提供之資訊,得分階段提供之。
前項公務機關或非公務機關於發生個人資料侵害事件後一個月內,將調查結果、已採取之因應措施、檢討改善計畫提交主管機關備查。
第一項有關通報當事人之內容,應包括個人資料遭侵害之事實、可能之後果、公務機關或非公務機關已採取之措施及其他主管機關指定之事項。
前項通報於通報時,如有無法同時提供之資訊,得分階段提供之。
立法說明
一、參照歐盟GDPR第33條及第55條有關個資侵害通報規定加強通報程序之時效性要求,並增訂通知當事人及協助處理救濟程序。
二、考量近期幾次重大個資事項,相關機關因為現行本條規範「待查明後通知」而往往未在第一時間通知當事人,而「查明」亦牽涉到司法機關、檢調機關、行政監理機關之既有程序曠日費時,惟於中相關當事人恐因個資外洩造成重大人權損失,故修改本條,要求公務機關或非公務機關於通報時,應一併通知可得確定個資遭受侵害之當事人。
三、參酌歐盟GDPR第33條之規定,公務機關或非公務機關於知悉侵害發生後72小時內通報主管機關及當事人,明定通報應包括之基本內容與中央主管機關得另行指定項目,又鑒於個資外洩相關危害查明恐曠日費時,爰增訂得分階段通知之規定,惟仍應於確認後隨即提供給當事人,不得拖延。
二、考量近期幾次重大個資事項,相關機關因為現行本條規範「待查明後通知」而往往未在第一時間通知當事人,而「查明」亦牽涉到司法機關、檢調機關、行政監理機關之既有程序曠日費時,惟於中相關當事人恐因個資外洩造成重大人權損失,故修改本條,要求公務機關或非公務機關於通報時,應一併通知可得確定個資遭受侵害之當事人。
三、參酌歐盟GDPR第33條之規定,公務機關或非公務機關於知悉侵害發生後72小時內通報主管機關及當事人,明定通報應包括之基本內容與中央主管機關得另行指定項目,又鑒於個資外洩相關危害查明恐曠日費時,爰增訂得分階段通知之規定,惟仍應於確認後隨即提供給當事人,不得拖延。
第十八條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
具前項條件之公務機關應配合主管機關之指導、監督,設置個人資料行政檢查小組,就機關內之個資及目的主管事業之個人資料保護工作進行監督,並於每年度擬定個人資料行政檢查計畫。
具前項條件之公務機關應配合主管機關之指導、監督,設置個人資料行政檢查小組,就機關內之個資及目的主管事業之個人資料保護工作進行監督,並於每年度擬定個人資料行政檢查計畫。
立法說明
為配合個人資料保護委員會擬成立,且為增加公務機關個資保護之嚴謹程度、監督機制,故要求應配合主管機關指導成立「個人資料行政檢查小組」,並於每年成立檢查計畫。
第二十條
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
非公務機關依第一項規定將其所蒐集之數位足跡,以口頭、書面或電子方式,進行銷售、出租、發行、揭露、傳播、轉讓或以其他任何方式提供給第三方並獲得報酬或其他對價之利用,應事前通知當事人,若經當事人拒絕,不得為之。
非公務機關依前項之規定,應於其中文網站首頁,提供當事人拒絕利用個人數位足跡之連結。
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
非公務機關依第一項規定將其所蒐集之數位足跡,以口頭、書面或電子方式,進行銷售、出租、發行、揭露、傳播、轉讓或以其他任何方式提供給第三方並獲得報酬或其他對價之利用,應事前通知當事人,若經當事人拒絕,不得為之。
非公務機關依前項之規定,應於其中文網站首頁,提供當事人拒絕利用個人數位足跡之連結。
立法說明
一、本法於2010年修法後,加入第三項及第四項當事人拒絕行銷之權利。然有鑑於非公務機關普遍利用所蒐集數位足跡於社群軟體上投放大量廣告,若僅能於被投放後表達拒絕行銷緩不濟急,亦與自主控制個人資料精神有違。故參酌加州消費者隱私法(California Consumer Privacy Act,CCPA)中,事後退出選擇權之設計,增訂第四項非公務機關利用所蒐集有特定目的或特定目的外之數位足跡,以口頭、書面或電子方式,進行銷售、出租、發行、揭露、傳播、轉讓或以其他任何方式提供給第三方獲得報酬或其他對價之行為,應事前通知當事人,若經當事人拒絕,不得為之。
二、為便使用者行使拒絕權,增訂第五項非公務機關依第四項之規定,應於其中文網站首頁,提供當事人拒絕利用個人數位足跡之連結。
二、為便使用者行使拒絕權,增訂第五項非公務機關依第四項之規定,應於其中文網站首頁,提供當事人拒絕利用個人數位足跡之連結。
第二十一條
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
非公務機關為國際傳輸個人資料,除第六條第一項所規定資料外,而有下列情形之一者,中央目的事業主管機關亦得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
立法說明
一、修正本條,延續本法第六條,涉及病例、醫療、基因、性生活、健康檢查及犯罪前科之特種個資,原則上不得搜集、處理或利用之意旨。國際傳輸為個人資料之跨境處理與利用,原則上亦應進行特種個資之排除。
二、另查本法第十九條、第二十條,非公務機關為個人資料之蒐集、處理及利用,皆將第六條第一項所規定之資料排除。故本條亦應將「除第六條第一項所規定資料外」之除外文字列入,明確一般個資與特種個資之分殊。
二、另查本法第十九條、第二十條,非公務機關為個人資料之蒐集、處理及利用,皆將第六條第一項所規定之資料排除。故本條亦應將「除第六條第一項所規定資料外」之除外文字列入,明確一般個資與特種個資之分殊。
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國或地區對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國或地區對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
立法說明
一、為避免中國是否為第三款所稱「接受國」之疑義,增訂地區之文字,以臻明確。
二、其餘各款未修正。
二、其餘各款未修正。
第二十二條
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
主管機關認定有必要時得召開調查會議,並得命非公務機關相關人員與會說明。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
主管機關認定有必要時得召開調查會議,並得命非公務機關相關人員與會說明。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、明定主管機關得要求「非公務機關」與會出席調查會議,以利個資事件監督及真相還原。
二、明定主管機關得要求「非公務機關」與會出席調查會議,以利個資事件監督及真相還原。
第二十四條之一
應用程式發行商在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,應用程式數位發行平台對其提供之應用程式,應於本法範圍內盡善良管理人之注意義務。
中央目的事業主管機關得為了解前項個人資料保護之情形,得要求應用程式數位發行平台為必要之說明、配合措施或提供相關證明資料,準用本法第二十二條至第二十四條、第四十九條之規定。
中央目的事業主管機關得為了解前項個人資料保護之情形,得要求應用程式數位發行平台為必要之說明、配合措施或提供相關證明資料,準用本法第二十二條至第二十四條、第四十九條之規定。
立法說明
一、本條新增。
二、鑑於抖音(TikTok)等行動應用程式,未必皆有在台灣落地,中央目的事業主管機關難以課責,爰增訂第一項,要求提供該程式之數位發行平台應於應於本法範圍內盡善良管理人之注意義務。
三、增訂第二項,中央目的事業主管機關得為了解前項個人資料保護之情形,得要求應用程式數位發行平台為必要之說明、配合措施或提供相關證明資料,準用本法第二十二條至第二十四條、第四十九條之規定。
二、鑑於抖音(TikTok)等行動應用程式,未必皆有在台灣落地,中央目的事業主管機關難以課責,爰增訂第一項,要求提供該程式之數位發行平台應於應於本法範圍內盡善良管理人之注意義務。
三、增訂第二項,中央目的事業主管機關得為了解前項個人資料保護之情形,得要求應用程式數位發行平台為必要之說明、配合措施或提供相關證明資料,準用本法第二十二條至第二十四條、第四十九條之規定。
第二十五條
非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
非公務機關有違反本法規定之情事者,主管機關、中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
立法說明
為配合個人資料保護委員會擬成立,爰加入「主管機關」。
非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
應用程式有違反本法之虞或情事者,中央目的事業主管機關除依本法規定裁處罰鍰外,得要求應用程式數位發行平台警示使用者或移除並禁止上架。
中央目的事業主管機關或直轄市、縣(市)政府為第一項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
應用程式有違反本法之虞或情事者,中央目的事業主管機關除依本法規定裁處罰鍰外,得要求應用程式數位發行平台警示使用者或移除並禁止上架。
中央目的事業主管機關或直轄市、縣(市)政府為第一項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
立法說明
一、增訂第二項,應用程式有違反本法之虞或情事者,中央目的事業主管機關除依本法規定裁處罰鍰外,得要求應用程式數位發行平台警示使用者或移除並禁止上架。
二、配合增訂第二項,酌予調整第三項文字。
二、配合增訂第二項,酌予調整第三項文字。
第二十六條
中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
立法說明
為配合個人資料保護委員會擬成立,爰加入「主管機關」。
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
非公務機關具一定規模者,應設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第二項之規模及前項計畫、處理方法之標準及辦法,由主管機關定之。
非公務機關具一定規模者,應設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第二項之規模及前項計畫、處理方法之標準及辦法,由主管機關定之。
立法說明
一、明定非公務機關應設置個資保護長、專責處理人員,以利非公務機關的個資保護問責、執行,避免現在政府對非公務機關的個資監理權限極為有限問題。
二、為配合個人資料保護委員會擬成立,爰修正為「主管機關」。
三、歐盟GDPR第三十條、第三十二條、第三十七條內容「要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。」
二、為配合個人資料保護委員會擬成立,爰修正為「主管機關」。
三、歐盟GDPR第三十條、第三十二條、第三十七條內容「要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。」
第二十八條
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣三億元為限。但因該原因事實所涉利益超過新臺幣三億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
本條例中華民國○年○月○日修正之條文,自公布日後一年施行。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣三億元為限。但因該原因事實所涉利益超過新臺幣三億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
本條例中華民國○年○月○日修正之條文,自公布日後一年施行。
立法說明
一、修正第四項之損害賠償總額上限為三億元。
二、對於同一原因事實造成超過一名當事人受到權力侵害之事件,經當事人請求損害賠償者,其合計最高總額原以新臺幣二億元為限。惟迄上次修正損害賠償總額上限已逾十二年,且近年科技發展快速,公務或非公務機關之發展已資訊化,各機關蒐集、處理、利用或國際傳輸個人資料之情形日益普遍。為督促個人資料蒐集及持有之公務及非公務應負有維護責任,提升損害賠償之最高總額實屬必要。
三、歐盟於民國一百零五年通過一般資料保護規則(GDPR),並於一百零七年五月二十五日正式施行,其針對數據全球化之現象,擴大法域適用範圍和增設多層次之權利義務規定。參酌GDPR第八十三條第四項罰鍰之金額規定,違GDPR規定者,最處以一千萬歐元之行政罰鍰(相當我國新台幣三億元以上),且現行條文對公務機關採幾近無過失責任,較GDPR嚴格,故僅以三億元為損害賠償最高總額之上限。
四、增訂第七項,鑒於此罰鍰調升關資料安全維護、法規遵循等成本。為避免形成障礙,俟修正草案三讀通過並經總統同意公布後起一年施行,俾利相關單位擬定相應計畫。
二、對於同一原因事實造成超過一名當事人受到權力侵害之事件,經當事人請求損害賠償者,其合計最高總額原以新臺幣二億元為限。惟迄上次修正損害賠償總額上限已逾十二年,且近年科技發展快速,公務或非公務機關之發展已資訊化,各機關蒐集、處理、利用或國際傳輸個人資料之情形日益普遍。為督促個人資料蒐集及持有之公務及非公務應負有維護責任,提升損害賠償之最高總額實屬必要。
三、歐盟於民國一百零五年通過一般資料保護規則(GDPR),並於一百零七年五月二十五日正式施行,其針對數據全球化之現象,擴大法域適用範圍和增設多層次之權利義務規定。參酌GDPR第八十三條第四項罰鍰之金額規定,違GDPR規定者,最處以一千萬歐元之行政罰鍰(相當我國新台幣三億元以上),且現行條文對公務機關採幾近無過失責任,較GDPR嚴格,故僅以三億元為損害賠償最高總額之上限。
四、增訂第七項,鑒於此罰鍰調升關資料安全維護、法規遵循等成本。為避免形成障礙,俟修正草案三讀通過並經總統同意公布後起一年施行,俾利相關單位擬定相應計畫。
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二十萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二十萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
立法說明
一、自2018年消基會代雄獅旅行社受害消費者依個資法團體訴訟規定向該旅行社提起團體訴訟,遭士林地方法院判決消基會敗訴的案例外,個資法團體訴訟規定不僅沒有成功案例,且至今尚無其他個資外洩受害者循個資法相關規定委託提起團體訴訟。顯見現行規定門檻過高,其中又以「無法證明其損害時,得請求之金額至多為新臺幣2萬元」規定在實務上恐難執行,因在多數個資外洩事件,受害人個資被不法利用,但實難證明損害,而相關賠償過低恐無法支付受理求償登記行政作業之費用,造成團體訴訟極難成行。
二、爰將天花板增至10倍,適當提高至20萬元。
二、爰將天花板增至10倍,適當提高至20萬元。
第二十九條
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第六項規定。
依前項規定請求賠償者,適用前條第二項至第六項規定。
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第三項。係營利社團法人者,亦可以前一會計年度全球年營業額之百分之二為上限,兩者取較高者為準。
依前項規定請求賠償者,適用前條第二項、第四項至第七項規定。
依前項規定請求賠償者,適用前條第三項。係營利社團法人者,亦可以前一會計年度全球年營業額之百分之二為上限,兩者取較高者為準。
依前項規定請求賠償者,適用前條第二項、第四項至第七項規定。
立法說明
一、修正第二項。現行條文對非公務機關採舉證倒置責任,嚴格度與歐盟GDPR相同。又營利社團法人憑藉科技之進步,得以自身產品或服務,透過雲端、大數據、物聯網等科技應用成果,極易獲取大量個人資料。為避免上述資料受侵害,實應提升營利社團法人損害賠償最高總額之限制。且營利社團法人之規模大小與獲取之資料量應為正相關,故參照歐盟GDPR第八十三條之規定,增訂損害賠償最高總額亦得以前一會計年度全球年營業額之百分之二為上限,兩者取最高者為準。
二、第三項為原條文第二項,為配合第二項之修正,移列至第三項。
二、第三項為原條文第二項,為配合第二項之修正,移列至第三項。
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,法院得減輕其賠償責任。
依前項規定請求賠償者,適用前條第二項至第六項規定。
依前項規定請求賠償者,適用前條第二項至第六項規定。
立法說明
一、修正第一項。
二、個資外洩事件發生時,受害者往往無法證明非公務機關是否有故意或過失。以雄獅旅遊一案為例,個資管理人僅依其設有個資管理辦法,便作出無故意或過失之主張,受害者無從確知該辦法是否為個資管理人所落實,於舉證責任之分配上,有失公平。爰引入消費者保護法無過失責任之精神,對明顯失當之舉證責任分配,作一矯正。
二、個資外洩事件發生時,受害者往往無法證明非公務機關是否有故意或過失。以雄獅旅遊一案為例,個資管理人僅依其設有個資管理辦法,便作出無故意或過失之主張,受害者無從確知該辦法是否為個資管理人所落實,於舉證責任之分配上,有失公平。爰引入消費者保護法無過失責任之精神,對明顯失當之舉證責任分配,作一矯正。
第三十二條
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立二年以上。
四、符合本項第二、三款,但未符合本項第一款之財團法人或公益社團法人,得基於公共利益提起訴訟。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立二年以上。
四、符合本項第二、三款,但未符合本項第一款之財團法人或公益社團法人,得基於公共利益提起訴訟。
立法說明
一、修正第三款,本法施行至今,團體訴訟未有成功之案例,顯見現行法規之設計,實務上窒礙難行,爰參考消費者保護法第四十九條,團體訴訟之規定,將准予提起訴訟之法人成立年數,下修為兩年。
二、增列第四款,參考行政訴訟法第三十五條條文,增列公益例外之規定。
二、增列第四款,參考行政訴訟法第三十五條條文,增列公益例外之規定。
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
四、未符合前三款但其章程中具個人資料保護宗旨或有相關處理經驗,並經主管機關同意者。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
四、未符合前三款但其章程中具個人資料保護宗旨或有相關處理經驗,並經主管機關同意者。
立法說明
一、自2018年消基會代雄獅旅行社受害消費者依個資法團體訴訟規定向該旅行社提起團體訴訟,遭士林地方法院判決消基會敗訴的案例外,個資法團體訴訟規定不僅沒有成功案例,且至今尚無其他個資外洩受害者循個資法相關規定委託提起團體訴訟。顯見現行規定門檻過高。
二、現行依據相關門檻得提出團體訴訟之財團法人或公益社團屈指可數,故大眾往往只能找消基會,惟該會人力亦有限,故增第四款有條件放寬相關門檻。
二、現行依據相關門檻得提出團體訴訟之財團法人或公益社團屈指可數,故大眾往往只能找消基會,惟該會人力亦有限,故增第四款有條件放寬相關門檻。
第四十七條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五百萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
現行違反本法第六條第一項「不得蒐集之特定個人資料」、第十九條及第二十一條第一項「非公務機關蒐集個資限制」,最高僅可處以新台幣五十萬元罰鍰。惟企業大型資料庫進行資安維護、個資保護之成本,與現行罰則相比極度不符合比例原則,對於企業無嚇阻之效果。爰適當調高此項罰鍰至五百萬元,除以符合比例原則,更可促使企業落實完善資安之保護。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上二百五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
鑒於近來非公務機關接連發生重大個資外洩案,然依本條規定,就違反第六條第一項、第十九條、第二十條第一項及違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分者,最高僅可處以新臺幣五十萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,動輒數百萬元,現行罰則顯然過輕,對企業而言難收處罰實效,為此爰提高本條罰鍰上限五倍至二百五十萬元,以促使企業確實完善資安保護。
非公務機關有下列情事之一者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五百萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、目前違反第六條第一項「不得蒐集之特定個人資料」、第十九條及第二十條第一項「非公務機關蒐集個資限制」,最高僅可處以新臺幣50萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,與現行罰則相比極為不符合比例原則,對企業而言無嚇阻效果,爰適當提高本條罰鍰天花板10倍至500萬元,以促使企業確實完善資安保護。
二、目前違反第六條第一項「不得蒐集之特定個人資料」、第十九條及第二十條第一項「非公務機關蒐集個資限制」,最高僅可處以新臺幣50萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,與現行罰則相比極為不符合比例原則,對企業而言無嚇阻效果,爰適當提高本條罰鍰天花板10倍至500萬元,以促使企業確實完善資安保護。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上一百萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
一、鑒於網絡時代開啟、及個人隱私基本權觀念抬頭,個人資料保護法之制定即為充分保護個人資料之合理使用及相關事項。惟個資相關之使用方式,在社會上因為各種社會互動行為,樣態趨於複雜,個人資料保護法第四十七條即明定非公務機關對於個人資料之可蒐集的範圍、目的、處理及利用方式。
二、若非公務機關違反上開規定,可由中央目的事業主管機關或直轄市、縣(市)政府處以罰鍰新台幣五萬元以上、五十萬元以下,惟非公務機關有些為資金雄厚之企業,其法定之五十萬之罰鍰天花板顯對於其企業之警惕影響有限,其罰鍰數額相較於私人企業或是上開非公務機關之違法使用個資之利得相比之下,罰鍰金額顯過度輕微。
三、個人資料不當外洩或遭受非法利用之後果,猶如覆水難收,為有效保護個人資料免受非法蒐集、處理或利用,特此修法提高違反本法律之罰鍰天花板,以資警惕本法所指涉之非公務機關行為人。
二、若非公務機關違反上開規定,可由中央目的事業主管機關或直轄市、縣(市)政府處以罰鍰新台幣五萬元以上、五十萬元以下,惟非公務機關有些為資金雄厚之企業,其法定之五十萬之罰鍰天花板顯對於其企業之警惕影響有限,其罰鍰數額相較於私人企業或是上開非公務機關之違法使用個資之利得相比之下,罰鍰金額顯過度輕微。
三、個人資料不當外洩或遭受非法利用之後果,猶如覆水難收,為有效保護個人資料免受非法蒐集、處理或利用,特此修法提高違反本法律之罰鍰天花板,以資警惕本法所指涉之非公務機關行為人。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
應用程式數位發行平台違反第二十五條第二項規定,由中央目的事業主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
應用程式數位發行平台違反第二十五條第二項規定,由中央目的事業主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之。
立法說明
一、為落實二十五條第二項警示或下架之規定,對負有該行為義務而不作為者者課以怠金,爰增訂第四十七條第二項,應用程式數位發行平台違反第二十五條第二項規定,由中央目的事業主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之。
二、其餘各款未修正。
二、其餘各款未修正。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上一千萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條 規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二千萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條 規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二千萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、參酌各國違反個資安全維護義務的罰鍰,韓國針對業者最高罰鍰為四億韓元,約新台幣八百六十四萬元;歐盟GPDR有企業之百分之二營業額或一千萬歐元之規定。顯見我國現行之罰處不符比例原則。
二、企業落實社會責任,個人資料安全之維護應為最低基本責任,若有觸犯者應給予罰鍰。惟現行裁罰金額過低,與企業進行資安維護之成本有極大之差距,故適當提高本條之罰鍰,以符合比例原則,更可促使企業落實完善資安之保護。
二、企業落實社會責任,個人資料安全之維護應為最低基本責任,若有觸犯者應給予罰鍰。惟現行裁罰金額過低,與企業進行資安維護之成本有極大之差距,故適當提高本條之罰鍰,以符合比例原則,更可促使企業落實完善資安之保護。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上一百萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
鑒於近來非公務機關接連發生重大個資外洩案,然依本條規定,就違反第八條、第九條、第十條、第十一條、第十二條、第十三條、第二十條第二項或第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,最高僅可處以新臺幣二十萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,動輒數百萬元,現行罰則顯然過輕,對企業而言難收處罰實效,為此爰提高本條罰鍰上限五倍至一百萬元,以促使企業確實完善資安保護。
非公務機關有下列情事之一者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並命其限期改正,屆期未改正者,按次處二萬元以上一千萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、本條現行備受爭議之主要問題有「最高罰鍰金額上限僅為20萬」、「須先命改正未為改正方能處罰」等。
二、參考各國違反個資安全維護義務的罰鍰案例有「韓國,針對業者最高罰鍰為折合新臺幣約863萬元(四億韓元)」、「歐盟GDPR有企業之2%營業額或1,000萬歐元等」,顯見台灣之罰則不符比例原則。又以現行規定「限期改善未改正才得罰鍰」幾乎無遏阻功用,適用標的亦不務實。
三、惟遵守「個資安全維護義務」應為最基本責任,故若有觸犯者應即處予罰鍰,且現行裁罰金額過低,故爰適當提高本條罰鍰天花板10倍至200萬元。另,因行政單位已命其改正而非公務機關未改正者實屬少數,而若有相關情事應屬重大故意為之,故將此罰鍰增加至1,000萬,以促使企業確實完善資安保護。
二、參考各國違反個資安全維護義務的罰鍰案例有「韓國,針對業者最高罰鍰為折合新臺幣約863萬元(四億韓元)」、「歐盟GDPR有企業之2%營業額或1,000萬歐元等」,顯見台灣之罰則不符比例原則。又以現行規定「限期改善未改正才得罰鍰」幾乎無遏阻功用,適用標的亦不務實。
三、惟遵守「個資安全維護義務」應為最基本責任,故若有觸犯者應即處予罰鍰,且現行裁罰金額過低,故爰適當提高本條罰鍰天花板10倍至200萬元。另,因行政單位已命其改正而非公務機關未改正者實屬少數,而若有相關情事應屬重大故意為之,故將此罰鍰增加至1,000萬,以促使企業確實完善資安保護。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上四十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、為有效遏止非公務機關違法蒐集個人資料,本法規定非公務機關有本法明定之情事者,由中央目的事業主管機關或直轄市、縣(市)政府命令其限期改善,若行為人仍違反限期改善之行政處份,則可按次處罰罰鍰。
二、惟本法之非公務機關,有些為資本額雄厚之企業或上市上櫃公司,原本本法之新台幣二十萬元罰鍰之天花板,顯與其企業規模或違法侵害被害人之個資所獲利相比,數額顯得過度輕微,難生警惕之效,為有效予以非公務機關有效之警示作用,爰修法提高其罰金天花板,予以相關主管機關更有行政處分可衡量之合適之罰鍰空間與有效匡正非公務機關之行為。
二、惟本法之非公務機關,有些為資本額雄厚之企業或上市上櫃公司,原本本法之新台幣二十萬元罰鍰之天花板,顯與其企業規模或違法侵害被害人之個資所獲利相比,數額顯得過度輕微,難生警惕之效,為有效予以非公務機關有效之警示作用,爰修法提高其罰金天花板,予以相關主管機關更有行政處分可衡量之合適之罰鍰空間與有效匡正非公務機關之行為。
第四十九條
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上一百萬元以下罰鍰。
立法說明
鑒於近來非公務機關接連發生重大個資外洩案,然依本條規定,就無正當理由違反第二十二條第四項規定者,最高僅可處以新臺幣二十萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,動輒數百萬元,現行罰則顯然過輕,對企業而言難收處罰實效,為此爰提高本條罰鍰上限五倍至一百萬元,以促使企業確實完善資安保護。
非公務機關無正當理由違反第二十二條第四項規定者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、第二十二條第四項為「對於(公務機關為調查)之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。」,該情事為重大惡極,且有企圖掩蓋事實、煙滅證據之嫌,對個資保護工作有重大傷害。爰適當提高本條罰鍰天花板10倍至200萬元。
二、第二十二條第四項為「對於(公務機關為調查)之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。」,該情事為重大惡極,且有企圖掩蓋事實、煙滅證據之嫌,對個資保護工作有重大傷害。爰適當提高本條罰鍰天花板10倍至200萬元。
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上四十萬元以下罰鍰。
立法說明
一、中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
二、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
三、對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。惟為避免中央目的事業主管機關或直轄市、縣(市)政府為執行上開業務受阻,明定非公務機關無正當理由違反本法第二十二條規定處二萬以上二十萬元以下之罰鍰,惟非公務機關之資本額或是用於資安之資本額雄厚,與違反本法之罰鍰二十萬之天花板顯然不相當,爰提高罰鍰天花板,藉此讓非公務機關產生警惕之效。
二、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
三、對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。惟為避免中央目的事業主管機關或直轄市、縣(市)政府為執行上開業務受阻,明定非公務機關無正當理由違反本法第二十二條規定處二萬以上二十萬元以下之罰鍰,惟非公務機關之資本額或是用於資安之資本額雄厚,與違反本法之罰鍰二十萬之天花板顯然不相當,爰提高罰鍰天花板,藉此讓非公務機關產生警惕之效。
第五十三條
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
主管機關應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
立法說明
配合個資保護委員會成立,法規主管機關進行條文修正。
第五十五條
本法施行細則,由法務部定之。
本法施行細則,由主管機關定之。
立法說明
配合個資保護委員會成立,法規主管機關進行條文修正。
