台灣民眾黨立法院黨團
選擇章節
第一章
總則
總則
立法說明
章名未修正。
第一條
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
為規範個人資料之蒐集、處理、利用,及保障個人隱私權及資料自主權,並促進個人資料之合理利用與自由流通,特制定本法。
立法說明
一、本條條文修正。
二、敘明保障個人隱私權及資料自主權為立法目的。
三、參考歐盟(Genera Data Protection Regulation, GDPR)關於保護個人資料處理與資料自由流通之規範。
二、敘明保障個人隱私權及資料自主權為立法目的。
三、參考歐盟(Genera Data Protection Regulation, GDPR)關於保護個人資料處理與資料自由流通之規範。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資訊、行為特徵、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、傳輸或以其他方式使之得以調整或組合、限制、刪除或銷毀,以及對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之本國或外國自然人、法人或其他團體。
九、當事人:指個人資料之本人。
十、資料控管者:單獨或與他人共同決定個人資料處理之目的與方法之公務機關及非公務機關。
十一、資料處理者:指受資料控管者委託處理個人資料之公務機關及非公務機關。
十二、資料接收者:指將個人資料向其揭露之公務機關及非公務機關。
十三、第三人:指當事人、資料控管者、資料處理者及在資料控管者或資料處理者直接授權下被授權處理個人資料之人以外之公務機關及非公務機關。
十四、主管機關:指依本法規定成立之獨立公務機關。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資訊、行為特徵、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、傳輸或以其他方式使之得以調整或組合、限制、刪除或銷毀,以及對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之本國或外國自然人、法人或其他團體。
九、當事人:指個人資料之本人。
十、資料控管者:單獨或與他人共同決定個人資料處理之目的與方法之公務機關及非公務機關。
十一、資料處理者:指受資料控管者委託處理個人資料之公務機關及非公務機關。
十二、資料接收者:指將個人資料向其揭露之公務機關及非公務機關。
十三、第三人:指當事人、資料控管者、資料處理者及在資料控管者或資料處理者直接授權下被授權處理個人資料之人以外之公務機關及非公務機關。
十四、主管機關:指依本法規定成立之獨立公務機關。
立法說明
一、條次變更。
二、條文內容修正。
三、參考歐盟GDPR第四條之相關定義規定。
二、條文內容修正。
三、參考歐盟GDPR第四條之相關定義規定。
第四條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
當事人有權向資料控管者確認其個人資料之下列處理情形,並有權請求閱覽或製給複製本:
一、處理之目的。
二、個人資料之類別。
三、已揭露或將揭露之資料接收者。
四、個人資料預訂之儲存期間。
五、若個人資料非自當事人蒐集者,其蒐集來源。
如有下列情形者,不適用前項規定:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
查詢或請求閱覽個人資料或製給複製本者,資料控管者得酌收必要成本費用。如當事人係以電子方式提出請求,則除當事人另有要求外,該資訊之提供應以電子方式為之。
一、處理之目的。
二、個人資料之類別。
三、已揭露或將揭露之資料接收者。
四、個人資料預訂之儲存期間。
五、若個人資料非自當事人蒐集者,其蒐集來源。
如有下列情形者,不適用前項規定:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
查詢或請求閱覽個人資料或製給複製本者,資料控管者得酌收必要成本費用。如當事人係以電子方式提出請求,則除當事人另有要求外,該資訊之提供應以電子方式為之。
立法說明
一、條次變更。
二、條文內容修正。
三、由原第三條條文擴充。
四、參考歐盟GDPR第十五條使用權(right of access)之內容。
二、條文內容修正。
三、由原第三條條文擴充。
四、參考歐盟GDPR第十五條使用權(right of access)之內容。
第二章
公務機關對個人資料之蒐集、處理及利用
資料處理原則及安全
立法說明
章名修正。
第三條
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
個人資料之蒐集、處理或利用,應符合下列規定:
一、尊重當事人之權益,依誠實、信用、合法方法為之。
二、且應符合資料最少蒐集原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
三、實施適當及具體之個人資料保護措施,包括使用適當技術以防止未經授權或非法處理,並防止意外遺失或毀損。
一、尊重當事人之權益,依誠實、信用、合法方法為之。
二、且應符合資料最少蒐集原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
三、實施適當及具體之個人資料保護措施,包括使用適當技術以防止未經授權或非法處理,並防止意外遺失或毀損。
立法說明
一、條次變更。
二、條文內容修正。
三、原第三條條文移至第六條、第七條、第八條、第十條。
四、本條條文為原第五條內容之修正並挪至此。
五、參考歐盟(GDPR第五條)個人資料應:
(一)為資料主體為合法、公正及透明之處理(「合法性、公正性及透明度」);
(二)蒐集目的需特定、明確及合法,且不得為該等目的以外之進階處理;依照第八十九條第一項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的(「目的限制」);資料最少蒐集原則,是指資料蒐集應適當、相關且限於處理目的所必要者。
二、條文內容修正。
三、原第三條條文移至第六條、第七條、第八條、第十條。
四、本條條文為原第五條內容之修正並挪至此。
五、參考歐盟(GDPR第五條)個人資料應:
(一)為資料主體為合法、公正及透明之處理(「合法性、公正性及透明度」);
(二)蒐集目的需特定、明確及合法,且不得為該等目的以外之進階處理;依照第八十九條第一項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的(「目的限制」);資料最少蒐集原則,是指資料蒐集應適當、相關且限於處理目的所必要者。
第三章
非公務機關對個人資料之蒐集、處理及利用
當事人之個人資料權利
立法說明
章名修正。
第七條
當事人有權請求資料控管者更正或補充其個人資料,資料控管者不得無故拖延。
立法說明
一、本條新增。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十六條更正權之內容。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十六條更正權之內容。
第八條
有下列情事者,當事人有權要求資料控管者刪除其個人資料,資料控管者不得無故拖延:
一、個人資料蒐集、處理目的完成或原因消滅。
二、個人資料之處理係依據當事人之同意,但當事人已撤回其同意,且該處理已無其他法律依據者。
三、當事人已依第十一條規定拒絕處理,且該處理無其他優先適用之法律依據者。
四、個人資料遭違法處理者。
五、資料控管者依其他法規刪除個人資料者。
下列情形者,不適用前項規定:
一、為行使言論自由與保障重大公共利益。
二、如前項權利行使嚴重影響第十四條第一項第四款目的之達成時。
三、其他法規另有規定者,從其規定。
一、個人資料蒐集、處理目的完成或原因消滅。
二、個人資料之處理係依據當事人之同意,但當事人已撤回其同意,且該處理已無其他法律依據者。
三、當事人已依第十一條規定拒絕處理,且該處理無其他優先適用之法律依據者。
四、個人資料遭違法處理者。
五、資料控管者依其他法規刪除個人資料者。
下列情形者,不適用前項規定:
一、為行使言論自由與保障重大公共利益。
二、如前項權利行使嚴重影響第十四條第一項第四款目的之達成時。
三、其他法規另有規定者,從其規定。
立法說明
一、本條新增。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十七條刪除權/被遺忘權之內容。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十七條刪除權/被遺忘權之內容。
第九條
有下列情形之一者,當事人有權限制資料控管者之處理:
一、當事人質疑其個人資料之正確性,而資料控管者處於驗證該個人資料正確性之合理期間。
二、如有違法處理個人資料之情形,且當事人拒絕刪除該個人資料。
當事人已依前項規定行使限制處理之權利者,資料控管者於取消處理之限制前,應通知當事人。
一、當事人質疑其個人資料之正確性,而資料控管者處於驗證該個人資料正確性之合理期間。
二、如有違法處理個人資料之情形,且當事人拒絕刪除該個人資料。
當事人已依前項規定行使限制處理之權利者,資料控管者於取消處理之限制前,應通知當事人。
立法說明
一、本條新增。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十八條限制處理權之內容。
二、由原第三條條文擴充。
三、參考歐盟GDPR第十八條限制處理權之內容。
第十條
當事人有權要求資料控管者以符合當時實務一般通常使用及機器可讀之形式,提供其個人資料予當事人,及於一次性或於特定期間內(不得超過一年)接續性傳輸予當事人指定之第三人,包括但不限於資料接收者。
當事人行使前項權利時,有權令該個人資料由一資料控管者利用電子設備以連線方式,或符合主管機關規定之電子形式、規格及標準,直接傳輸予其他資料控管者。
當事人行使本條所定之權利時,資料控管者應無償辦理之。
當事人行使前項權利時,有權令該個人資料由一資料控管者利用電子設備以連線方式,或符合主管機關規定之電子形式、規格及標準,直接傳輸予其他資料控管者。
當事人行使本條所定之權利時,資料控管者應無償辦理之。
立法說明
一、本條新增。
二、由原第三條條文擴充。
三、參考歐盟GDPR第二十條資料可攜權之內容。
二、由原第三條條文擴充。
三、參考歐盟GDPR第二十條資料可攜權之內容。
第十一條
當事人有權以顯有更值得保護之重大利益為理由,拒絕個人資料之處理。於此情形,資料控管者即應停止處理該個人資料。
資料控管者基於行銷目的所為之處理個人資料相關行為,當事人有權隨時拒絕之,資料控管者並應立即停止。
資料控管者最遲應於與當事人首次溝通時,向當事人明確告知其享有之前述權利。
資料控管者基於行銷目的所為之處理個人資料相關行為,當事人有權隨時拒絕之,資料控管者並應立即停止。
資料控管者最遲應於與當事人首次溝通時,向當事人明確告知其享有之前述權利。
立法說明
一、本條新增。
二、原第十九條第二項及第二十條第二項、第三項條文擴充。
三、參考歐盟GDPR第二十一條拒絕權之內容。
二、原第十九條第二項及第二十條第二項、第三項條文擴充。
三、參考歐盟GDPR第二十一條拒絕權之內容。
第十二條
第六條、第七條、第八條、第九條、第十條及第十一條保障之權利,不得預先拋棄或以特約限制之。
為實現公共利益或基於醫療、衛生或犯罪預防之目的,主管機關得就第十四條第一項第四款之個人資料蒐集處理及利用,制定相關辦法限制第六條、第七條、第九條、第十條及第十一條之權利行使。
前項辦法應包含最少蒐集原則之落實、前項所示權利之行使確實損害目的之達成及資料控管者與資料處理者所備置應符合當時科技水準之適當保護措施等相關審核標準。
為實現公共利益或基於醫療、衛生或犯罪預防之目的,主管機關得就第十四條第一項第四款之個人資料蒐集處理及利用,制定相關辦法限制第六條、第七條、第九條、第十條及第十一條之權利行使。
前項辦法應包含最少蒐集原則之落實、前項所示權利之行使確實損害目的之達成及資料控管者與資料處理者所備置應符合當時科技水準之適當保護措施等相關審核標準。
立法說明
一、本條新增。
二、參考歐盟GDPR第八十九條就公共利益等目的達成之例外規定。
二、參考歐盟GDPR第八十九條就公共利益等目的達成之例外規定。
第四章
資料控管者及資料處理者之義務
立法說明
本章新增。
第一節
一般義務
立法說明
本節新增。
第十三條
資料控管者之基本責任如下:
一、資料控管者應實施科技化之資料保護措施以實現資料保護原則,確保本法之遵循。
二、確保在預設的情況下,資料控管者僅於特定目的、必要限度及範圍內處理個人資料,確保資料控管者處理之個人資料數量、程度、儲存期間及其可使用性均受限制及保護。
三、遵守主管機關訂定之行為準則。
為使資料控管者遵守其基本責任,主管機關應定期審核資料控管者之資料保護措施、訂定資料控管者之行為準則,並得訂定資料控管者遵守本法之認證機制。
主管機關依據前項規定所為查核結果應定期公告。
一、資料控管者應實施科技化之資料保護措施以實現資料保護原則,確保本法之遵循。
二、確保在預設的情況下,資料控管者僅於特定目的、必要限度及範圍內處理個人資料,確保資料控管者處理之個人資料數量、程度、儲存期間及其可使用性均受限制及保護。
三、遵守主管機關訂定之行為準則。
為使資料控管者遵守其基本責任,主管機關應定期審核資料控管者之資料保護措施、訂定資料控管者之行為準則,並得訂定資料控管者遵守本法之認證機制。
主管機關依據前項規定所為查核結果應定期公告。
立法說明
一、本條新增。
二、參考歐盟GDPR第二十四條、第二十五條之內容,針對資料控管者及資料處理者之責任及義務加以明確規定,俾利符合歐盟適足性,保障當事人權益。
二、參考歐盟GDPR第二十四條、第二十五條之內容,針對資料控管者及資料處理者之責任及義務加以明確規定,俾利符合歐盟適足性,保障當事人權益。
