高嘉瑜
陳椒華
選擇章節
第一條
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
為落實個人之基本權與自由,規範個人資料之蒐集及處理與個人資料之自由流通,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
立法說明
一、參考歐盟GDPR第1條。
二、為規範關於保護個人資料處理與資料自由流通,特制定本規則。
三、本規則保護個人基本權與自由,尤其是保護個人資料之權利。
二、為規範關於保護個人資料處理與資料自由流通,特制定本規則。
三、本規則保護個人基本權與自由,尤其是保護個人資料之權利。
第一條之一
本法所稱主管機關為個人資料保護委員會。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
立法說明
一本條新增。
二、參考歐盟GDPR第51、56條。
三、設立獨立公務機關,專職處理個人資料保護法保護當事人個人資料基本權與自由之相關事宜。
二、參考歐盟GDPR第51、56條。
三、設立獨立公務機關,專職處理個人資料保護法保護當事人個人資料基本權與自由之相關事宜。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、生物特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資訊、行為特徵、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、傳輸或以其他方式使之得以調整或組合、限制、刪除或銷毀,以及對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵。
五、國際傳輸:指將個人資料作跨國(境)之處理或利用。
六、公務機關:指依法行使公權力之中央或地方機關或行政法人。
七、非公務機關:指前款以外之本國或外國自然人、法人或其他團體。
八、當事人:指個人資料之本人。
九、資料控管者:單獨或與他人共同決定個人資料處理之目的與方法之公務機關及非公務機關。
十、資料處理者:指受資料控管者委託處理個人資料之公務機關及非公務機關。
十一、資料接收者:指將個人資料向其揭露之公務機關及非公務機關。
十二、第三人:指當事人、資料控管者、資料處理者及在資料控管者或資料處理者直接授權下被授權處理個人資料之人以外之公務機關及非公務機關。
十三、主管機關:指依本法規定成立之獨立公務機關。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、生物特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資訊、行為特徵、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、傳輸或以其他方式使之得以調整或組合、限制、刪除或銷毀,以及對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵。
五、國際傳輸:指將個人資料作跨國(境)之處理或利用。
六、公務機關:指依法行使公權力之中央或地方機關或行政法人。
七、非公務機關:指前款以外之本國或外國自然人、法人或其他團體。
八、當事人:指個人資料之本人。
九、資料控管者:單獨或與他人共同決定個人資料處理之目的與方法之公務機關及非公務機關。
十、資料處理者:指受資料控管者委託處理個人資料之公務機關及非公務機關。
十一、資料接收者:指將個人資料向其揭露之公務機關及非公務機關。
十二、第三人:指當事人、資料控管者、資料處理者及在資料控管者或資料處理者直接授權下被授權處理個人資料之人以外之公務機關及非公務機關。
十三、主管機關:指依本法規定成立之獨立公務機關。
立法說明
一、參考歐盟GDPR第4條。
二、「個人資料」係指有關識別或可得識別自然人(「資料主體」)之任何資訊;可得識別自然人係指得以直接或間接地識別該自然人,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別工具。「生物特徵識別資訊」係指透過特定技術處理所得關於當事人身體、生理或行為特徵而允許或確認其特定識別性之個人資料,例如臉部圖像或診斷資料。
三、「處理」係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀。另參酌GDPR對於「處理」之定義,其已涵蓋本法所定義之「利用」,故刪除「利用」。
四、有關「非公務機關」之範圍,明定包括本國及外國。
五、針對資料控管者、資料處理者、資料接收者、第三人、監理機關等加以定義,俾利符合歐盟適足性。
六、「控管者」係指單獨或與他人共同決定個人資料處理之目的與方法之自然人或法人、公務機關、局處或其他機構;依照歐盟法或會員國法決定處理之目的及方法,由歐盟法或會員國法律規定控管者或其認定之具體標。
七、「處理者」係指代控管者處理個人資料之自然人或法人、公務機關、局處或其他機關。
八、「接收者」係指個人資料被向其揭露之自然人或法人、公務機關、局處或其他機構,不問其是否為第三人。但依據歐盟法或會員國法律,在特定調查框架內可能接收個人資料之公務機關不應視為接收者;該等公務機關所為資料之處理,應依照其處理目的,遵守其所適用之資料保護規則。
九、「第三人」係指資料主體、控管者、處理者及在控管者或處理者直接授權下被授權處理個人資料之人以外之自然人或法人、公務機關、局處或其他機構。
十、「監管機關」係指會員國依第51條規定成立之獨立公務機關。
二、「個人資料」係指有關識別或可得識別自然人(「資料主體」)之任何資訊;可得識別自然人係指得以直接或間接地識別該自然人,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別工具。「生物特徵識別資訊」係指透過特定技術處理所得關於當事人身體、生理或行為特徵而允許或確認其特定識別性之個人資料,例如臉部圖像或診斷資料。
三、「處理」係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀。另參酌GDPR對於「處理」之定義,其已涵蓋本法所定義之「利用」,故刪除「利用」。
四、有關「非公務機關」之範圍,明定包括本國及外國。
五、針對資料控管者、資料處理者、資料接收者、第三人、監理機關等加以定義,俾利符合歐盟適足性。
六、「控管者」係指單獨或與他人共同決定個人資料處理之目的與方法之自然人或法人、公務機關、局處或其他機構;依照歐盟法或會員國法決定處理之目的及方法,由歐盟法或會員國法律規定控管者或其認定之具體標。
七、「處理者」係指代控管者處理個人資料之自然人或法人、公務機關、局處或其他機關。
八、「接收者」係指個人資料被向其揭露之自然人或法人、公務機關、局處或其他機構,不問其是否為第三人。但依據歐盟法或會員國法律,在特定調查框架內可能接收個人資料之公務機關不應視為接收者;該等公務機關所為資料之處理,應依照其處理目的,遵守其所適用之資料保護規則。
九、「第三人」係指資料主體、控管者、處理者及在控管者或處理者直接授權下被授權處理個人資料之人以外之自然人或法人、公務機關、局處或其他機構。
十、「監管機關」係指會員國依第51條規定成立之獨立公務機關。
第二條之一
資料處理者依本法受委託蒐集或處理個人資料,應適用本法規定。
資料控制者於第八條、第十六條至第十七條及第二十條至第二十一條下之義務,於委託資料處理者辦理之範圍內,由資料處理者負責。惟資料控制者如有蒐集或處理個人資料之行為者,於該部分行為範圍內,仍應符合本法第八條、第十六條至第十七條及第二十條至第二十一條之規定。
資料控制者應於委託範圍內對資料處理者為適當之監督。
資料控制者於第八條、第十六條至第十七條及第二十條至第二十一條下之義務,於委託資料處理者辦理之範圍內,由資料處理者負責。惟資料控制者如有蒐集或處理個人資料之行為者,於該部分行為範圍內,仍應符合本法第八條、第十六條至第十七條及第二十條至第二十一條之規定。
資料控制者應於委託範圍內對資料處理者為適當之監督。
立法說明
一、本條新增。
二、因應定義之修正,調整文字架構。
二、因應定義之修正,調整文字架構。
第三條
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
當事人有權向資料控管者確認其個人資料之下列處理情形,並有權請求閱覽或製給複製本:
一、處理之目的。
二、個人資料之類別。
三、已揭露或將揭露之資料接收者。
四、個人資料預訂之儲存期間。
五、若個人資料非自當事人蒐集者,其蒐集來源。
如有下列情形者,不適用前項規定:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
妨害該蒐集機關或第三人之重大利益。
一、處理之目的。
二、個人資料之類別。
三、已揭露或將揭露之資料接收者。
四、個人資料預訂之儲存期間。
五、若個人資料非自當事人蒐集者,其蒐集來源。
如有下列情形者,不適用前項規定:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
妨害該蒐集機關或第三人之重大利益。
立法說明
參考歐盟GDPR第15條,接近使用權。
第四條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
當事人有權請求資料控管者更正或補充其個人資料,資料控管者不得無故拖延。
立法說明
一、參考歐盟GDPR第16條,更正權。
二、因應定義之修正,原第四條無須規範。
二、因應定義之修正,原第四條無須規範。
第四條之一
有下列情事者,當事人應有權要求資料控管者刪除其個人資料,資料控管者不得無故拖延:
一、個人資料對於蒐集或處理目的不再需要者。
二、個人資料之處理係依據當事人之同意,但當事人已撤回其同意,且該處理已無其他法律依據者。
三、當事人已依第四條之五規定拒絕處理,且該處理無其他優先適用之法律依據者。
四、該個人資料遭違法處理者。
五、資料控管者依其他法規應刪除個人資料者。
如有下列情形者,不適用前項規定:
一、為行使言論表意自由及資訊之基本權者。
二、資料控管者為遵守其法定義務、執行符合公共利益之職務、或資料控管者受委託行使公權力所必須者。
一、個人資料對於蒐集或處理目的不再需要者。
二、個人資料之處理係依據當事人之同意,但當事人已撤回其同意,且該處理已無其他法律依據者。
三、當事人已依第四條之五規定拒絕處理,且該處理無其他優先適用之法律依據者。
四、該個人資料遭違法處理者。
五、資料控管者依其他法規應刪除個人資料者。
如有下列情形者,不適用前項規定:
一、為行使言論表意自由及資訊之基本權者。
二、資料控管者為遵守其法定義務、執行符合公共利益之職務、或資料控管者受委託行使公權力所必須者。
立法說明
一、本條新增。
二、參考歐盟GDPR第17條,刪除權/被遺忘權。
二、參考歐盟GDPR第17條,刪除權/被遺忘權。
第四條之二
如有下列情形之一者,當事人有權限制資料控管者之處理:
一、當事人質疑其個人資料之正確性,而資料控管者處於驗證該個人資料正確性之合理期間。
二、如有違法處理個人資料之情形,且當事人拒絕刪除該個人資料。
當事人已依前項規定行使限制處理之權利者,資料控管者於取消處理之限制前,應通知當事人。
一、當事人質疑其個人資料之正確性,而資料控管者處於驗證該個人資料正確性之合理期間。
二、如有違法處理個人資料之情形,且當事人拒絕刪除該個人資料。
當事人已依前項規定行使限制處理之權利者,資料控管者於取消處理之限制前,應通知當事人。
立法說明
一、本條新增。
二、參考歐盟GDPR第18條,限制處理權。
二、參考歐盟GDPR第18條,限制處理權。
第四條之三
當事人有權要求資料控管者以符合當時實務一般通常使用及機器可讀之形式,提供其個人資料予當事人,及於一次性或於特定期間內(不得超過一年)接續性傳輸予當事人指定之第三人,包括但不限於資料接收者。
當事人行使前項權利時,有權令該個人資料由一資料控管者利用電子設備以連線方式,或符合主管機關規定之電子形式、規格及標準,直接傳輸予其他資料控管者。
當事人行使本條所定之權利時,資料控管者應無償辦理之。
當事人行使前項權利時,有權令該個人資料由一資料控管者利用電子設備以連線方式,或符合主管機關規定之電子形式、規格及標準,直接傳輸予其他資料控管者。
當事人行使本條所定之權利時,資料控管者應無償辦理之。
立法說明
一、本條新增。
二、參考歐GDPR第20條,資料可攜權。
二、參考歐GDPR第20條,資料可攜權。
第四條之四
當事人有權以顯有更值得保護之重大利益為理由,拒絕個人資料之處理。於此情形,資料控管者即應停止處理該個人資料。
資料控管者基於行銷目的所為之處理個人資料相關行為,當事人有權隨時拒絕之,資料控管者並應立即停止。
資料控管者最遲應於與當事人首次溝通時,向當事人明確告知其享有之前述權利。
資料控管者基於行銷目的所為之處理個人資料相關行為,當事人有權隨時拒絕之,資料控管者並應立即停止。
資料控管者最遲應於與當事人首次溝通時,向當事人明確告知其享有之前述權利。
立法說明
一、本條新增。
二、參考歐盟GDPR第21條,拒絕權。
二、參考歐盟GDPR第21條,拒絕權。
第四條之五
資料控管者之基本責任如下:
一、資料控管者應實施科技化之資料保護措施以實現資料保護原則,確保本法之遵循。
二、確保在預設的情況下,資料控管者僅於特定目的、必要限度及範圍內處理個人資料,確保資料控管者處理之個人資料數量、程度、儲存期間及其可使用性均受限制及保護。
三、遵守主管機關訂定之行為準則。
為使資料控管者遵守其基本責任,主管機關應定期審核資料控管者之資料保護措施、訂定資料控管者之行為準則,並得訂定資料控管者遵守本法之認證機制。
一、資料控管者應實施科技化之資料保護措施以實現資料保護原則,確保本法之遵循。
二、確保在預設的情況下,資料控管者僅於特定目的、必要限度及範圍內處理個人資料,確保資料控管者處理之個人資料數量、程度、儲存期間及其可使用性均受限制及保護。
三、遵守主管機關訂定之行為準則。
為使資料控管者遵守其基本責任,主管機關應定期審核資料控管者之資料保護措施、訂定資料控管者之行為準則,並得訂定資料控管者遵守本法之認證機制。
立法說明
一、本條新增。
二、參考歐盟GDPR第24、25條。
三、針對資料控管者及資料處理者之責任及義務加以明確規定,俾利符合歐盟適足性,保障當事人權益。
二、參考歐盟GDPR第24、25條。
三、針對資料控管者及資料處理者之責任及義務加以明確規定,俾利符合歐盟適足性,保障當事人權益。
第五條
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
個人資料之蒐集或處理應合法、公正及透明,尊重當事人之實質權利,並提供適當及具體之保護措施,確保個人資料適當安全性,以保護當事人之基本權及利益,且應符合資料最少蒐集原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
立法說明
一、參考歐盟GDPR第5條。
二、個人資料應為合法、公正及透明之處理。
三、蒐集目的須特定、明確及合法,且不得為該等目的以外之進階處理;依照第89條第1項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的。
四、適當、相關且限於處理目的所必要者。
二、個人資料應為合法、公正及透明之處理。
三、蒐集目的須特定、明確及合法,且不得為該等目的以外之進階處理;依照第89條第1項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的。
四、適當、相關且限於處理目的所必要者。
第七條
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
資料控管者或資料處理者明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
資料控管者或資料處理者明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第八條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
資料控管者或資料處理者依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第九條
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
資料控管者或資料處理者依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十條
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
(刪除)
立法說明
一、本條刪除。
二、本條當事人請求閱覽或製給複本之權利併入第三條使用權,故予以刪除。
二、本條當事人請求閱覽或製給複本之權利併入第三條使用權,故予以刪除。
第十一條
公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
(刪除)
立法說明
一、本條刪除。
二、配合第三條至第四條之五之新增,刪除本條。
二、配合第三條至第四條之五之新增,刪除本條。
第十二條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
資料控管者或資料處理者違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十三條
公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
資料控管者或資料處理者受理當事人依第四條至第四條之四規定之請求,應立即按其要求予以處理,至遲不得超過十五日;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
立法說明
配合第四條至第三條之四之修正,明定資料控管者或資料處理者之處理期間。
第十四條
查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。
查詢或請求閱覽個人資料或製給複製本者,資料控管者得酌收必要成本費用。如當事人係以電子方式提出請求,則除當事人另有要求外,該資訊之提供應以電子方式為之。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十五條
公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
屬公務機關之資料控管者或資料處理者對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十六條
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
屬公務機關之資料控管者或資料處理者對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十七條
公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
屬公務機關之資料控管者或資料處理者應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十八條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
屬公務機關之資料控管者或資料處理者保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第十九條
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
屬非公務機關之資料控管者或資料處理者對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
資料控管者或資料處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
資料控管者或資料處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十條
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
屬非公務機關之資料控管者或資料處理者對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
屬非公務機關之資料控管者或資料處理者依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
屬非公務機關之資料控管者或資料處理者依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
立法說明
一、原條文第二十條內容修正。
二、原條文第十九條內容之條次變更,配合修改條次文字。
三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
二、原條文第十九條內容之條次變更,配合修改條次文字。
三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十一條
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
個人資料涉及國際傳輸時,應確定接收個人資料之國家或地區為我國認定為符合充足程度保護及適足性要求之國家或地區,若資料接收者所屬國家或地區未能符合適足性要求,控制者或處理者應採取適當保護措施,始得進行跨境傳輸。
相關適足性要求及保護措施之認定,由主管機關另訂之。
相關適足性要求及保護措施之認定,由主管機關另訂之。
立法說明
一、參考歐盟GDPR第44、45、46條
二、賦予資料控管者和資料處理者在進行國際傳輸時,須對接收國家或地區進行充足程度保護及適足性要求之認定,且必要時須負擔採取適當保護措施之義務。另將判斷充足程度保護、適足性要求與適當保護程度之認定標準,待主管機關另行規定之。
二、賦予資料控管者和資料處理者在進行國際傳輸時,須對接收國家或地區進行充足程度保護及適足性要求之認定,且必要時須負擔採取適當保護措施之義務。另將判斷充足程度保護、適足性要求與適當保護程度之認定標準,待主管機關另行規定之。
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
屬非公務機關之資料控管者或資料處理者保有個人資料檔案者,應依照風險程度設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存,防止個人資料被竊取、竄改、毀損、滅失或洩漏。資料控管者所訂之個人資料保護政策並應符合第五條之規定。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第一項之風險程度分析及前項計畫及處理方法之標準等相關事項之辦法,由主管機關定之。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第一項之風險程度分析及前項計畫及處理方法之標準等相關事項之辦法,由主管機關定之。
立法說明
一、參考歐盟GDPR 第30、32、37條。
二、參考歐盟GDPR之規定,要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。
二、參考歐盟GDPR之規定,要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。
第三章之一
主管機關之組織及職權
立法說明
一、本章新增。
二、參考歐盟GDPR架構。
二、參考歐盟GDPR架構。
第二十七條之一
資料控管者及資料處理者應依主管機關要求,配合其執行職務。資料控管者及資料處理者之代理人亦同。
立法說明
一、本條新增。
二、參考歐盟GDPR架構第三十一條。
三、明定資料控管者及資料處理者應配合獨立公務機關執行職務。
二、參考歐盟GDPR架構第三十一條。
三、明定資料控管者及資料處理者應配合獨立公務機關執行職務。
第二十七條之二
主管機關應依照本法獨立行使職權,掌理下列事項:
一、監督管理資料控管者及處理者對於個人資料之蒐集及處理,並監督管理個人資料之國際傳輸。
二、提升公眾對個人資料基本權利及自由、風險管理之認知。
三、訂定及執行個人資料保護相關法規及政策及保護當事人權利之行政措施,並監理各產業貫徹個人資料保護法規之進度。
四、單獨提供或與其他國家個資保護獨立監管機構合作,提供合於本法規下,個人權利行使之資料予任何資料主體。
五、處理資料主體或機構、組織或協會之申訴,適當程度調查重大爭議或申訴事項並於合理時間內通知申訴人調查之進度與結果。
六、與其他監管機關合作,包括分享資訊及互助,以確保本法適用與執行之一致性。
七、執行本法規適用之調查,包括其他監管機關或其他公務機關所提供資訊之基礎。
八、監控資訊與通訊科技與商業慣例之發展,監控相關發展對個人資料之保護之影響。
九、制定個人資料保護行為準則,並通過提供充足保護措施之行為準則。
十、設立資料保護認證機制及資料保護標章與標誌,核准認證之標準並定期檢驗頒發之認證。
草擬並公布監督行為準則之機構及認證機構之認證標準,並依該等認證標準提供對監督行為準則及認證機構之認證服務。
一、監督管理資料控管者及處理者對於個人資料之蒐集及處理,並監督管理個人資料之國際傳輸。
二、提升公眾對個人資料基本權利及自由、風險管理之認知。
三、訂定及執行個人資料保護相關法規及政策及保護當事人權利之行政措施,並監理各產業貫徹個人資料保護法規之進度。
四、單獨提供或與其他國家個資保護獨立監管機構合作,提供合於本法規下,個人權利行使之資料予任何資料主體。
五、處理資料主體或機構、組織或協會之申訴,適當程度調查重大爭議或申訴事項並於合理時間內通知申訴人調查之進度與結果。
六、與其他監管機關合作,包括分享資訊及互助,以確保本法適用與執行之一致性。
七、執行本法規適用之調查,包括其他監管機關或其他公務機關所提供資訊之基礎。
八、監控資訊與通訊科技與商業慣例之發展,監控相關發展對個人資料之保護之影響。
九、制定個人資料保護行為準則,並通過提供充足保護措施之行為準則。
十、設立資料保護認證機制及資料保護標章與標誌,核准認證之標準並定期檢驗頒發之認證。
草擬並公布監督行為準則之機構及認證機構之認證標準,並依該等認證標準提供對監督行為準則及認證機構之認證服務。
立法說明
一、本條新增。
二、參考歐盟GDPR架構第五十七條。
三、訂定前條設立之獨立主管機關各項職權。
二、參考歐盟GDPR架構第五十七條。
三、訂定前條設立之獨立主管機關各項職權。
第二十七條之三
主管機關之委員應超出黨派以外,獨立行使職權。於任職期間應謹守利益迴避原則,不得於任期內從事任何不相容之兼職。
主管機關之委員及工作人員於任職期間應謹守利益迴避原則,應於任期內及任期後,對因行使職權知悉之任何機密資料負專業保密義務。
主管機關之委員於其離職後三年內,不得擔任與其離職前五年內之職務直接相關之營利事業董事、監察人、經理、執行業務之股東或顧問。
主管機關之委員於其離職後三年內,不得就與離職前五年內原掌理之業務有直接利益關係之事項,為自己或他人利益,直接或間接與原任職機關或其所屬機關接洽或處理相關業務。
主管機關之委員及工作人員於任職期間應謹守利益迴避原則,應於任期內及任期後,對因行使職權知悉之任何機密資料負專業保密義務。
主管機關之委員於其離職後三年內,不得擔任與其離職前五年內之職務直接相關之營利事業董事、監察人、經理、執行業務之股東或顧問。
主管機關之委員於其離職後三年內,不得就與離職前五年內原掌理之業務有直接利益關係之事項,為自己或他人利益,直接或間接與原任職機關或其所屬機關接洽或處理相關業務。
立法說明
一、本條新增。
二、參考歐盟GDPR第五十二條。
三、參考歐盟規範精神及我國通訊傳播委員會之獨立行使職權與利益迴避相關規定,訂定本條內容。
二、參考歐盟GDPR第五十二條。
三、參考歐盟規範精神及我國通訊傳播委員會之獨立行使職權與利益迴避相關規定,訂定本條內容。
第二十七條之四
主管機關應置委員五人,均為專任,任期四年,任滿得連任,由行政院院長提名經立法院同意後任命之,行政院院長為提名時,應指定一人為主任委員,一人為副主任委員。
主管機關之委員應超出黨派以外,獨立行使職權,且應具資訊安全、法律或財經等專業學識或實務經驗。
主管機關之委員自本法第一次修正後不分屆次,委員任滿三個月前,應依第一項程序提名任命新任委員。如因立法院不同意或出缺致委員人數未達足額時,亦同。
主管機關之委員任期屆滿未能依前項規定提任時,原任委員之任期得延至新任委員就職前一日止,不受第一項任期之限制。
主任委員出缺或因故無法行使職權時,由副主任委員代理;主任委員、副主任委員均出缺或因故無法行使職權時,由行政院院長指定委員一人代理主任委員。
主管機關之委員有下列情形之一者,得由行政院院長予以免職:
一、因罹病致無法執行職務。
二、違法、廢弛職務或其他失職行為。
三、因案受羈押或經起訴。
主管機關之委員應超出黨派以外,獨立行使職權,且應具資訊安全、法律或財經等專業學識或實務經驗。
主管機關之委員自本法第一次修正後不分屆次,委員任滿三個月前,應依第一項程序提名任命新任委員。如因立法院不同意或出缺致委員人數未達足額時,亦同。
主管機關之委員任期屆滿未能依前項規定提任時,原任委員之任期得延至新任委員就職前一日止,不受第一項任期之限制。
主任委員出缺或因故無法行使職權時,由副主任委員代理;主任委員、副主任委員均出缺或因故無法行使職權時,由行政院院長指定委員一人代理主任委員。
主管機關之委員有下列情形之一者,得由行政院院長予以免職:
一、因罹病致無法執行職務。
二、違法、廢弛職務或其他失職行為。
三、因案受羈押或經起訴。
立法說明
一、本條新增。
二、參考歐盟GDPR第五十三條。
三、參考歐盟規範精神及我國通訊傳播委員會之任免方式,並就主管機關之委員所需具備之專業資格,訂定本條內容。
二、參考歐盟GDPR第五十三條。
三、參考歐盟規範精神及我國通訊傳播委員會之任免方式,並就主管機關之委員所需具備之專業資格,訂定本條內容。
第二十七條之五
主管機關應有下列調查權,資料控管者或資料處理者應予配合:
一、為履行第二十七條之二各款所列職權,主管機關有權要求資料控管者或資料處理者,提供資料蒐集、處理之所有相關資訊,並有權進入辦公處所、檢視資料處理設備及方式。
二、核發認證時所必要進行之調查。
一、為履行第二十七條之二各款所列職權,主管機關有權要求資料控管者或資料處理者,提供資料蒐集、處理之所有相關資訊,並有權進入辦公處所、檢視資料處理設備及方式。
二、核發認證時所必要進行之調查。
立法說明
一、本條新增。
二、參考歐盟GDPR第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之調查權內容。
二、參考歐盟GDPR第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之調查權內容。
第二十七條之六
主管機關對個人資料控管者或資料處理者有下列糾正權:
一、當資料處理有違反規定之虞時,發布警告。
二、當資料處理已違反規定時,發布告誡。
三、命其遵循資料主體行使本法權利之要求。
四、命其以適當特定方法及於特定期間內使資料處理符合規定。
五、命其向當事人通知個人資料之侵害。
六、課予暫時或終局之限制,包括對資料處理之禁令。
七、命其更正或刪除個人資料,或為資料處理之限制。
八、命其停止個人資料之國際傳輸。
一、當資料處理有違反規定之虞時,發布警告。
二、當資料處理已違反規定時,發布告誡。
三、命其遵循資料主體行使本法權利之要求。
四、命其以適當特定方法及於特定期間內使資料處理符合規定。
五、命其向當事人通知個人資料之侵害。
六、課予暫時或終局之限制,包括對資料處理之禁令。
七、命其更正或刪除個人資料,或為資料處理之限制。
八、命其停止個人資料之國際傳輸。
立法說明
一、本條新增。
二、參考歐盟GDPR第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之糾正與行政處分權。
二、參考歐盟GDPR第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之糾正與行政處分權。
第二十七條之七
主管機關對個人資料控管者或資料處理者有以下授權及建議權:
一、依政府或其他公共團體之請求,發布針對個人資料保護相關議題的意見。
二、當個人資料須依法要求事前授權時,授權資料處理。
三、核准有拘束力之企業準則。
一、依政府或其他公共團體之請求,發布針對個人資料保護相關議題的意見。
二、當個人資料須依法要求事前授權時,授權資料處理。
三、核准有拘束力之企業準則。
立法說明
一、本條新增。
二、參考歐盟GDPR架構第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之授權及建議權。
二、參考歐盟GDPR架構第五十八條。
三、參考歐盟規範精神,訂定本獨立機關之授權及建議權。
第四十七條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
資料控管者或資料接收者有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
資料控管者或資料接收者有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、無正當理由違反第第二十七條之一條規定者。
五、違反第二十七條之五、第二十七條之六規定。
資料控管者或資料接收者違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十萬元以上一千萬元以下罰鍰。
資料控管者或資料接收者違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,處新臺幣十萬元以上一千萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、無正當理由違反第第二十七條之一條規定者。
五、違反第二十七條之五、第二十七條之六規定。
資料控管者或資料接收者違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十萬元以上一千萬元以下罰鍰。
資料控管者或資料接收者違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,處新臺幣十萬元以上一千萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
二、新增對第十二條、第二十七條之一、第二十七條之五、第二十七條之六處罰。
三、現行條文列為第一項,考量第四款違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務中止後個人資料處理方法之情形,不宜於限期改正而屆期未改正始予處罰,爰增訂第二項,修正渠等情形之裁罰方式,採裁處罰鍰並命限期改正之處分,並提高罰鍰金額。又為加強督促違反上開義務之行為人儘速改善個人資料保護措施,就屆期未改正者,加重處罰額度為新臺幣十萬元以上一千萬元以下。
四、考量違反安全維護義務情節重大者,將可能造成多數當事人權利侵害,爰增訂第三項裁處較重罰鍰之規定。
二、新增對第十二條、第二十七條之一、第二十七條之五、第二十七條之六處罰。
三、現行條文列為第一項,考量第四款違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務中止後個人資料處理方法之情形,不宜於限期改正而屆期未改正始予處罰,爰增訂第二項,修正渠等情形之裁罰方式,採裁處罰鍰並命限期改正之處分,並提高罰鍰金額。又為加強督促違反上開義務之行為人儘速改善個人資料保護措施,就屆期未改正者,加重處罰額度為新臺幣十萬元以上一千萬元以下。
四、考量違反安全維護義務情節重大者,將可能造成多數當事人權利侵害,爰增訂第三項裁處較重罰鍰之規定。
第四十九條
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
資料控管者或資料接收者無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第四十九條之一
違反第二十七條之二規定者,由主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰。
立法說明
一、本條新增。
二、對主管機關委員之違反本法行為加以處分。
二、對主管機關委員之違反本法行為加以處分。
第五十條
非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
資料控管者或資料接收者之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
立法說明
配合第二條訂定資料控管者及處理者之定義,修改本條文字。
