選擇章節
比較基準
比較對象
新增比較對象
現行版本
鄭運鵬等16人
107/10/12 提案版本
郭正亮等19人
107/11/23 提案版本
蔣萬安等17人
107/12/14 提案版本
余宛如等20人
108/04/12 提案版本
林昶佐等16人
108/04/19 提案版本
楊曜等17人
108/10/18 提案版本
第一條之一
本法主管機關由行政院定之。中央主管機關應每年送交立法院國家個人資料保護白皮書,內容應包含國家個人資料保護概況、政府未來政策目標與推展進度等。
立法說明
一、本條新增。
二、為促進我國個人資料保護成效,明定由行政院訂定本法主管機關,並應由中央主管機關送交立法院年度國家個人資料保護白皮書。
二、為促進我國個人資料保護成效,明定由行政院訂定本法主管機關,並應由中央主管機關送交立法院年度國家個人資料保護白皮書。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、網際網路位址、數位軌跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、網際網路位址、數位軌跡及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
查個人資料之種類繁多,惟隨科技發展,社會態樣多元,線上活動及物聯網應用個人資料之情形快速增加,此類非實體個別個人資料之揭露若加以綜合判斷仍具可識別性,對個人隱私之侵害可能性日益增加,爰增訂網際網路位址及數位軌跡,包括Cookie、無線射頻識別(Radio Frequency Identification)等非實體個人資料納入個人資料範圍,以補充說明個人資料之性質,提升數位世代個人資料保護之強度。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、線上識別碼及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、線上識別碼及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
網際網路相關科技發展迅速,為加強對於個人資料的保護,參酌歐盟一般資料保護規範(General Data Protection Regulation,GDPR),將線上辨識資料(Online identifier)納入個人資料定義。所謂線上識別碼依照GDPR的說明,指透過設備、應用程式、工具及通訊協定,諸如網際網路協定位址、瀏覽歷程記錄識別碼或其他識別工具,諸如無線射頻識別系統標籤,當事人可被連結到網路上識別碼。
第七條
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意。除該目的為蒐集者主要服務所必須外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其主要服務。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意。除該目的為蒐集者主要服務所必須外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其主要服務。
立法說明
一、為確保當事人個人資料之利用及可能影響均為當事人所明瞭,並經其積極同意,爰參考歐盟一般資料保護規則(General Data Protection Regulation),刪除第三項推定同意之規定。
二、現今線上商業行為多仰賴使用者個人資料、使用行為之分析為基礎,消費者個人資料儼然成為數位經濟之重要資產。為避免營利事業以使用特定主要服務為由,要求當事人同意其個人資料使用於其他非相關、非必須之目的,例如以當事人不同意其個人資料使用於行銷用途即拒絕提供其他非行銷目的之主要服務。爰於第四項增訂公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意,除該目的為其主要服務所必需外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其服務。
二、現今線上商業行為多仰賴使用者個人資料、使用行為之分析為基礎,消費者個人資料儼然成為數位經濟之重要資產。為避免營利事業以使用特定主要服務為由,要求當事人同意其個人資料使用於其他非相關、非必須之目的,例如以當事人不同意其個人資料使用於行銷用途即拒絕提供其他非行銷目的之主要服務。爰於第四項增訂公務機關或非公務機關為多項特定目的蒐集個人資料時,應就每一項特定目的分別取得當事人之同意,除該目的為其主要服務所必需外,不得以當事人不同意其中一項或多項之蒐集為理由,拒絕提供當事人其服務。
第八條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應以一般人能夠理解之說明,具體、明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
立法說明
一、考量網際網路經濟活動之普及度,及其無存取時間、地理限制之特性,個人資料之提供對當事人權益之影響快速且重大,爰於第一項增訂公務機關應以一般人能夠理解之說明,具體、明確告知本法所定應告知之事項,以使個人資料當事人明瞭該同意對其權益之影響,並確保其同意係屬自願、獨立之行為。
第十條之一
前條所稱製給複製本,當事人得請求以電子形式交付基於當事人同意或係履行契約所必要者之資料之複製本,公務機關及非公務機關不得拒絕之。但無法執行或執行成本過高之情形不在此限。
前項所稱製給複製本,係指以有結構的、通常使用的、機器可讀的形式提供予當事人或當事人指定之第三方,且不得妨礙當事人傳輸予第三方。
前項所稱製給複製本,係指以有結構的、通常使用的、機器可讀的形式提供予當事人或當事人指定之第三方,且不得妨礙當事人傳輸予第三方。
立法說明
一、本條新增。
二、為促使我國個人資料權的落實,並配合現已邁向數位化、電子化之社會環境,故明文當事人若提出閱覽或複製個資之要求,應以有結構的、通常使用的、機器可讀的形式提供與當事人,係將資料可攜權明定之。
三、參照GDPR第20條與立法前言第68點,為強化對自己資料之掌控,當個人資料以自動化手段執行運用時,個資當事人亦應有權以有結構的、通常使用的、機器可讀的,且可共同操作的形式接收其提供予控管者之資料,並有權將知傳輸給其他控管者。資料控管者應被鼓勵發展使資料據可攜性之共同可操作模式。於個資當事人基於其同意提供個人資料或資料運用係履行契約所必要者,該權利應有適用。
二、為促使我國個人資料權的落實,並配合現已邁向數位化、電子化之社會環境,故明文當事人若提出閱覽或複製個資之要求,應以有結構的、通常使用的、機器可讀的形式提供與當事人,係將資料可攜權明定之。
三、參照GDPR第20條與立法前言第68點,為強化對自己資料之掌控,當個人資料以自動化手段執行運用時,個資當事人亦應有權以有結構的、通常使用的、機器可讀的,且可共同操作的形式接收其提供予控管者之資料,並有權將知傳輸給其他控管者。資料控管者應被鼓勵發展使資料據可攜性之共同可操作模式。於個資當事人基於其同意提供個人資料或資料運用係履行契約所必要者,該權利應有適用。
第十一條之一
公務機關或非公務機關應依當事人之請求,刪除其蒐集之個人資料。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害公務機關犯罪預防、偵查或追訴。
四、妨害該蒐集機關或第三人之重大利益。
公務機關或非公務機關拒絕當事人依前條之請求者,應書面告知當事人拒絕原因及向中央目的事業主管機關申訴救濟之途徑。
本條關於請求刪除及申訴救濟程序,由中央目的事業主管機關以命令定之。
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害公務機關犯罪預防、偵查或追訴。
四、妨害該蒐集機關或第三人之重大利益。
公務機關或非公務機關拒絕當事人依前條之請求者,應書面告知當事人拒絕原因及向中央目的事業主管機關申訴救濟之途徑。
本條關於請求刪除及申訴救濟程序,由中央目的事業主管機關以命令定之。
立法說明
一、本條新增。
二、歐盟於1995年歐盟指令第95/46/EC號率先全球訂立被遺忘權(right to erasure或right to be forgotten)之法令基礎,歐盟法院並於2014年Google v.AEPD案首度判決個人資料當事人擁有「被遺忘權」權利,得要求個人資料之處理者及蒐集者刪除其無害於公共利益之個人資料。2016年歐盟進一步通過歐盟規則第2016/679號「個人資料保護規則(General Data Protection Regulation)」取代前述歐盟指令第95/46/EC號,並於該規則第17條明訂「被遺忘權」。
三、我國現行個人資料保護法雖於第三條及第十一條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利,惟我國個人資料當事人之「被遺忘權」僅限於第十一條各款情形,即僅在「個人資料正確性有爭議」、「蒐集之特定目的消失或其屆滿」或「違反個人資料保護法規定蒐集、處理或利用個人資料」時,使得請求刪除其個人資料。
四、綜觀歐盟「個人資料保護規則」、歐盟法院判決及我國個人資料保護法規定,我國並未承認個人資料當事人完整之「被遺忘權」,個人資料當事人無法以名譽受損、私人生活遭受干擾等緣由請求個人資料之蒐集者及處理者刪除其個人資料,較歐盟實務明顯限縮。爰參考歐盟「個人資料保護規則」增訂第十一條之一,賦予我國個人資料當事人「被遺忘權」,以確保個人資料保障。
五、又個人雖得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料,其請求仍非毫無限制。若有影響國家安全、妨害公務機關執行法定職務、犯罪預防、偵查或追訴或可能侵害第三人言論自由、資訊自由等公共利益時,受請求者仍得予以拒絕。
二、歐盟於1995年歐盟指令第95/46/EC號率先全球訂立被遺忘權(right to erasure或right to be forgotten)之法令基礎,歐盟法院並於2014年Google v.AEPD案首度判決個人資料當事人擁有「被遺忘權」權利,得要求個人資料之處理者及蒐集者刪除其無害於公共利益之個人資料。2016年歐盟進一步通過歐盟規則第2016/679號「個人資料保護規則(General Data Protection Regulation)」取代前述歐盟指令第95/46/EC號,並於該規則第17條明訂「被遺忘權」。
三、我國現行個人資料保護法雖於第三條及第十一條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利,惟我國個人資料當事人之「被遺忘權」僅限於第十一條各款情形,即僅在「個人資料正確性有爭議」、「蒐集之特定目的消失或其屆滿」或「違反個人資料保護法規定蒐集、處理或利用個人資料」時,使得請求刪除其個人資料。
四、綜觀歐盟「個人資料保護規則」、歐盟法院判決及我國個人資料保護法規定,我國並未承認個人資料當事人完整之「被遺忘權」,個人資料當事人無法以名譽受損、私人生活遭受干擾等緣由請求個人資料之蒐集者及處理者刪除其個人資料,較歐盟實務明顯限縮。爰參考歐盟「個人資料保護規則」增訂第十一條之一,賦予我國個人資料當事人「被遺忘權」,以確保個人資料保障。
五、又個人雖得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料,其請求仍非毫無限制。若有影響國家安全、妨害公務機關執行法定職務、犯罪預防、偵查或追訴或可能侵害第三人言論自由、資訊自由等公共利益時,受請求者仍得予以拒絕。
第十二條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
公務機關或非公務機關所保有之個人資料,有被竊取、洩漏、竄改或其他侵害者,應於知悉後七十二小時內通知中央目的事業主管機關或直轄市、縣(市)政府,並於查明後以適當方式通知當事人。若情節重大、對當事人權益有重大危害之虞者,應立即通知當事人。
立法說明
一、本條修正第一項。
二、依照當前規定,(非)公務機關有個資外洩等情事時,無告知中央目的事業主管機關之義務,也僅有在違反個資法時,應在查明後通知當事人,若機關自認未違法,則無通知之義務,形同法律漏洞。爰參考歐盟議會在2016年4月27日通過「個人資料保護規則(the EU General Data Protection Regulation, GDPR」,修正本條條文,要求各機關有個資外洩等情事,無論違法於否,都應通知中央目的事業主管機關或直轄市、縣(市)政府,並待查明後通知當事人。若有情節重大者,則應立即通知當事人。
三、非公務機關為公開發行公司者,若有本條所述情事,應通知金融監督管理委員會,作為公司治理所應揭露之資訊。
二、依照當前規定,(非)公務機關有個資外洩等情事時,無告知中央目的事業主管機關之義務,也僅有在違反個資法時,應在查明後通知當事人,若機關自認未違法,則無通知之義務,形同法律漏洞。爰參考歐盟議會在2016年4月27日通過「個人資料保護規則(the EU General Data Protection Regulation, GDPR」,修正本條條文,要求各機關有個資外洩等情事,無論違法於否,都應通知中央目的事業主管機關或直轄市、縣(市)政府,並待查明後通知當事人。若有情節重大者,則應立即通知當事人。
三、非公務機關為公開發行公司者,若有本條所述情事,應通知金融監督管理委員會,作為公司治理所應揭露之資訊。
第十四條之一
公務機關或非公務機關使個人資料儲存於雲端資料庫者,應公開揭露包含複本之儲存國別或地區於主管機關指定之網站及產品或服務之使用說明。
非公務機關於境外或大陸地區或港澳地區,有銷售貨品或提供服務者,適用前項規定。
非公務機關於境外或大陸地區或港澳地區,有銷售貨品或提供服務者,適用前項規定。
立法說明
一、本條新增。
二、基於公開透明的原則,公務機關或非公務機關,應主動揭露雲端儲存位置之國別或地區。
二、基於公開透明的原則,公務機關或非公務機關,應主動揭露雲端儲存位置之國別或地區。
第十四條之二
當事人有權以有結構的、通常使用的、機器可讀的形式,接收其提供予公務機關或非公務機關之資料,並有權將之傳輸給其他公務機關或非公務機關者,而不受其提供個人資料之公務機關或非公務機關之限制:
一、以自動化方式處理者。
二、依本法合法蒐集、處理者。
前項符合公共利益執行職務或行使公權力而有必要為之處理者,不適用之。
一、以自動化方式處理者。
二、依本法合法蒐集、處理者。
前項符合公共利益執行職務或行使公權力而有必要為之處理者,不適用之。
立法說明
一、本條新增。
二、為加強當事人對於個人資料的掌控,讓當事人可以自由移動其個人資料於不同服務提供者間。參酌歐盟GDPR的規定,納入資料可攜權(Right to data portability)。
二、為加強當事人對於個人資料的掌控,讓當事人可以自由移動其個人資料於不同服務提供者間。參酌歐盟GDPR的規定,納入資料可攜權(Right to data portability)。
第二十一條
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
非公務機關為國際傳輸個人資料,除該接受國對於個人資料之保護之法規規範與本法相同或更佳,或該接受者已採取符合本法關於個人資料之保護措施者外,不得為之。
前項之接受國有下列情形之一者,中央目的事業主管機關得限制其個人資料國際傳輸:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、以迂迴或其他方式向第三國(地區)傳輸個人資料規避本法。
前項之接受國有下列情形之一者,中央目的事業主管機關得限制其個人資料國際傳輸:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、以迂迴或其他方式向第三國(地區)傳輸個人資料規避本法。
立法說明
一、我國現行個人資料保護法係採原則不禁止,於例外情形方得限制之規範。惟現今個人資料之線上蒐集、處理樣態多元,為確保我國個人資料保護,爰參考歐盟「個人資料保護規則」,宜改採原則禁止,例外於該接受國對於個人資料之保護之法規與本法具同一或更佳保護效果,或該接受者已採取適當方式符合本法對於個人資料之保護時,方得為之。
二、第二項增定雖接受國已具與本法同一或更佳保護效果之個人資料保護法規,或該接受者已採取適當方式符合本法對於個人資料之保護,中央目的事業主管機關仍得以該國際傳輸涉及國家重大利益、國際條約或協定有特別規定、以迂迴方法向第三國(地區)傳輸個人資料規避本法等情形禁止之。
二、第二項增定雖接受國已具與本法同一或更佳保護效果之個人資料保護法規,或該接受者已採取適當方式符合本法對於個人資料之保護,中央目的事業主管機關仍得以該國際傳輸涉及國家重大利益、國際條約或協定有特別規定、以迂迴方法向第三國(地區)傳輸個人資料規避本法等情形禁止之。
非公務機關為國際傳輸個人資料至我國領域外,須符合下列情形之一者,方得為之:
一、擬傳輸地區經評估具備適當保護水平。
二、已提供適當保護措施。
三、當事人書面同意。
四、履行契約或依當事人要求,為締約前之必要措施。
五、基於重要公共利益之維護,或基於保護當事人之重要利益所必要。
六、行使或防禦法律上之請求權所必要。
七、依法辦理之登記作業,而向公眾提供資訊。
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
符合前項之情形,該非公務機關應主動告知當事人,並說明該國或地區個人資料保護之評估及可能風險。
一、擬傳輸地區經評估具備適當保護水平。
二、已提供適當保護措施。
三、當事人書面同意。
四、履行契約或依當事人要求,為締約前之必要措施。
五、基於重要公共利益之維護,或基於保護當事人之重要利益所必要。
六、行使或防禦法律上之請求權所必要。
七、依法辦理之登記作業,而向公眾提供資訊。
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
符合前項之情形,該非公務機關應主動告知當事人,並說明該國或地區個人資料保護之評估及可能風險。
立法說明
一、個人資料一旦透過國際傳輸至境外,對於當事人而言,境外資料處理之方式將可能成為風險,且主張權利將變得困難。參考歐盟GDPR的規定,資料管理者除有「告知國際傳輸之義務」外,需符合相關規定方允許國際傳輸。但目前台灣採取的方式卻是「原則允許、例外限制」,未主動要求非公務機關建立國際傳輸之相關保障。故參酌GDPR的規定,增訂本條文。
二、第一項第二款所謂「已提供適當保護措施」,按歐盟GDPR的規定,是指資料管理者訂有具拘束力之企業守則,或採用標準契約條款,或訂有經核准之行為守則取得資料保護認證,或取得資料保護標章及標誌。
二、第一項第二款所謂「已提供適當保護措施」,按歐盟GDPR的規定,是指資料管理者訂有具拘束力之企業守則,或採用標準契約條款,或訂有經核准之行為守則取得資料保護認證,或取得資料保護標章及標誌。
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
前項之非公務機關人數超過五百人者,應設置專人負責資料保護工作,並確保機構對個人資料之蒐集或處理,符合本法規定。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
前項之非公務機關人數超過五百人者,應設置專人負責資料保護工作,並確保機構對個人資料之蒐集或處理,符合本法規定。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
立法說明
一、本條新增第二項,原第二、三項挪為第三、四項。
二、本法於第十八條規定「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」,對非公務機關則未有相似要求,故同樣參考歐盟GDPR,於本條要求非公務機關保有個人資料檔案者,若其機關規模超過五百人,亦須設置專人負責個資保護工作,並確保該機構對個資之蒐集與處理,符合個資法各項要求。
二、本法於第十八條規定「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」,對非公務機關則未有相似要求,故同樣參考歐盟GDPR,於本條要求非公務機關保有個人資料檔案者,若其機關規模超過五百人,亦須設置專人負責個資保護工作,並確保該機構對個資之蒐集與處理,符合個資法各項要求。
第三十四條
對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報及政府機關網站,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報及政府機關網站,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
立法說明
以政府機關網站之電子公告取代刊登新聞紙。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項、第二項或未依第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項、第二項或未依第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
立法說明
一、本條修正第一項第四款。
二、配合第二十七條之修法,調整相關文字。
二、配合第二十七條之修法,調整相關文字。
第五十六條
本法施行日期,由行政院定之。
現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。
前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。
前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。
前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。
前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
本法施行日期,由行政院定之。但○年○月○日增訂之第十條之一自一百十四年一月一日起施行。
現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。
前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。
前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。
前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。
前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
立法說明
為求資料可攜之權利實施順利,與配套、資料標準完備,並期望於一百十四年起即能夠落實消費者資料權與資料可攜之權利,故明訂第十條之一自一百十四年一月一日起施行。
