賴瑞隆
選擇章節
第一條
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
為規範個人資料之蒐集、處理、利用,及保障個人隱私權及資料人權,並促進個人資料之合理利用,特制定本法。
立法說明
一、條文修正。
二、為落實憲法保障個人隱私權之精神,敘明保障個人隱私權及資料人權為立法目的。
二、為落實憲法保障個人隱私權之精神,敘明保障個人隱私權及資料人權為立法目的。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資料、衛星定位、數位軌跡、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、性傾向、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資料、衛星定位、數位軌跡、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
隨時代變遷,社會價值逐漸進步、數位科技演變,現行個人資料定義越趨廣泛,爰加入「性傾向」、「交易紀錄」、「生物特徵識別資料」、「衛星定位」、「數位軌跡」等項目。
第十二條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,除因不可抗力情事外,應於知悉侵害發生起七十二小時內通報主管機關及確定之當事人。
前項公務機關或非公務機關於發生個人資料侵害事件後一個月內,將調查結果、已採取之因應措施、檢討改善計畫提交主管機關備查。
第一項有關通報當事人之內容,應包括個人資料遭侵害之事實、可能之後果、公務機關或非公務機關已採取之措施及其他主管機關指定之事項。
前項通報於通報時,如有無法同時提供之資訊,得分階段提供之。
前項公務機關或非公務機關於發生個人資料侵害事件後一個月內,將調查結果、已採取之因應措施、檢討改善計畫提交主管機關備查。
第一項有關通報當事人之內容,應包括個人資料遭侵害之事實、可能之後果、公務機關或非公務機關已採取之措施及其他主管機關指定之事項。
前項通報於通報時,如有無法同時提供之資訊,得分階段提供之。
立法說明
一、參照歐盟GDPR第33條及第55條有關個資侵害通報規定加強通報程序之時效性要求,並增訂通知當事人及協助處理救濟程序。
二、考量近期幾次重大個資事項,相關機關因為現行本條規範「待查明後通知」而往往未在第一時間通知當事人,而「查明」亦牽涉到司法機關、檢調機關、行政監理機關之既有程序曠日費時,惟於中相關當事人恐因個資外洩造成重大人權損失,故修改本條,要求公務機關或非公務機關於通報時,應一併通知可得確定個資遭受侵害之當事人。
三、參酌歐盟GDPR第33條之規定,公務機關或非公務機關於知悉侵害發生後72小時內通報主管機關及當事人,明定通報應包括之基本內容與中央主管機關得另行指定項目,又鑒於個資外洩相關危害查明恐曠日費時,爰增訂得分階段通知之規定,惟仍應於確認後隨即提供給當事人,不得拖延。
二、考量近期幾次重大個資事項,相關機關因為現行本條規範「待查明後通知」而往往未在第一時間通知當事人,而「查明」亦牽涉到司法機關、檢調機關、行政監理機關之既有程序曠日費時,惟於中相關當事人恐因個資外洩造成重大人權損失,故修改本條,要求公務機關或非公務機關於通報時,應一併通知可得確定個資遭受侵害之當事人。
三、參酌歐盟GDPR第33條之規定,公務機關或非公務機關於知悉侵害發生後72小時內通報主管機關及當事人,明定通報應包括之基本內容與中央主管機關得另行指定項目,又鑒於個資外洩相關危害查明恐曠日費時,爰增訂得分階段通知之規定,惟仍應於確認後隨即提供給當事人,不得拖延。
第十八條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
具前項條件之公務機關應配合主管機關之指導、監督,設置個人資料行政檢查小組,就機關內之個資及目的主管事業之個人資料保護工作進行監督,並於每年度擬定個人資料行政檢查計畫。
具前項條件之公務機關應配合主管機關之指導、監督,設置個人資料行政檢查小組,就機關內之個資及目的主管事業之個人資料保護工作進行監督,並於每年度擬定個人資料行政檢查計畫。
立法說明
為配合個人資料保護委員會擬成立,且為增加公務機關個資保護之嚴謹程度、監督機制,故要求應配合主管機關指導成立「個人資料行政檢查小組」,並於每年成立檢查計畫。
第二十二條
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
主管機關認定有必要時得召開調查會議,並得命非公務機關相關人員與會說明。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
主管機關認定有必要時得召開調查會議,並得命非公務機關相關人員與會說明。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、明定主管機關得要求「非公務機關」與會出席調查會議,以利個資事件監督及真相還原。
二、明定主管機關得要求「非公務機關」與會出席調查會議,以利個資事件監督及真相還原。
第二十五條
非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
非公務機關有違反本法規定之情事者,主管機關、中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
立法說明
為配合個人資料保護委員會擬成立,爰加入「主管機關」。
第二十六條
中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
主管機關、中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
立法說明
為配合個人資料保護委員會擬成立,爰加入「主管機關」。
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
非公務機關具一定規模者,應設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第二項之規模及前項計畫、處理方法之標準及辦法,由主管機關定之。
非公務機關具一定規模者,應設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存。
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
第二項之規模及前項計畫、處理方法之標準及辦法,由主管機關定之。
立法說明
一、明定非公務機關應設置個資保護長、專責處理人員,以利非公務機關的個資保護問責、執行,避免現在政府對非公務機關的個資監理權限極為有限問題。
二、為配合個人資料保護委員會擬成立,爰修正為「主管機關」。
三、歐盟GDPR第三十條、第三十二條、第三十七條內容「要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。」
二、為配合個人資料保護委員會擬成立,爰修正為「主管機關」。
三、歐盟GDPR第三十條、第三十二條、第三十七條內容「要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。」
第二十八條
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二十萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二十萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
立法說明
一、自2018年消基會代雄獅旅行社受害消費者依個資法團體訴訟規定向該旅行社提起團體訴訟,遭士林地方法院判決消基會敗訴的案例外,個資法團體訴訟規定不僅沒有成功案例,且至今尚無其他個資外洩受害者循個資法相關規定委託提起團體訴訟。顯見現行規定門檻過高,其中又以「無法證明其損害時,得請求之金額至多為新臺幣2萬元」規定在實務上恐難執行,因在多數個資外洩事件,受害人個資被不法利用,但實難證明損害,而相關賠償過低恐無法支付受理求償登記行政作業之費用,造成團體訴訟極難成行。
二、爰將天花板增至10倍,適當提高至20萬元。
二、爰將天花板增至10倍,適當提高至20萬元。
第三十二條
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
四、未符合前三款但其章程中具個人資料保護宗旨或有相關處理經驗,並經主管機關同意者。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
四、未符合前三款但其章程中具個人資料保護宗旨或有相關處理經驗,並經主管機關同意者。
立法說明
一、自2018年消基會代雄獅旅行社受害消費者依個資法團體訴訟規定向該旅行社提起團體訴訟,遭士林地方法院判決消基會敗訴的案例外,個資法團體訴訟規定不僅沒有成功案例,且至今尚無其他個資外洩受害者循個資法相關規定委託提起團體訴訟。顯見現行規定門檻過高。
二、現行依據相關門檻得提出團體訴訟之財團法人或公益社團屈指可數,故大眾往往只能找消基會,惟該會人力亦有限,故增第四款有條件放寬相關門檻。
二、現行依據相關門檻得提出團體訴訟之財團法人或公益社團屈指可數,故大眾往往只能找消基會,惟該會人力亦有限,故增第四款有條件放寬相關門檻。
第四十七條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
非公務機關有下列情事之一者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五百萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、目前違反第六條第一項「不得蒐集之特定個人資料」、第十九條及第二十條第一項「非公務機關蒐集個資限制」,最高僅可處以新臺幣50萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,與現行罰則相比極為不符合比例原則,對企業而言無嚇阻效果,爰適當提高本條罰鍰天花板10倍至500萬元,以促使企業確實完善資安保護。
二、目前違反第六條第一項「不得蒐集之特定個人資料」、第十九條及第二十條第一項「非公務機關蒐集個資限制」,最高僅可處以新臺幣50萬元之罰鍰,然企業大型資料庫進行資安維護、個資保護之成本,與現行罰則相比極為不符合比例原則,對企業而言無嚇阻效果,爰適當提高本條罰鍰天花板10倍至500萬元,以促使企業確實完善資安保護。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
非公務機關有下列情事之一者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並命其限期改正,屆期未改正者,按次處二萬元以上一千萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、本條現行備受爭議之主要問題有「最高罰鍰金額上限僅為20萬」、「須先命改正未為改正方能處罰」等。
二、參考各國違反個資安全維護義務的罰鍰案例有「韓國,針對業者最高罰鍰為折合新臺幣約863萬元(四億韓元)」、「歐盟GDPR有企業之2%營業額或1,000萬歐元等」,顯見台灣之罰則不符比例原則。又以現行規定「限期改善未改正才得罰鍰」幾乎無遏阻功用,適用標的亦不務實。
三、惟遵守「個資安全維護義務」應為最基本責任,故若有觸犯者應即處予罰鍰,且現行裁罰金額過低,故爰適當提高本條罰鍰天花板10倍至200萬元。另,因行政單位已命其改正而非公務機關未改正者實屬少數,而若有相關情事應屬重大故意為之,故將此罰鍰增加至1,000萬,以促使企業確實完善資安保護。
二、參考各國違反個資安全維護義務的罰鍰案例有「韓國,針對業者最高罰鍰為折合新臺幣約863萬元(四億韓元)」、「歐盟GDPR有企業之2%營業額或1,000萬歐元等」,顯見台灣之罰則不符比例原則。又以現行規定「限期改善未改正才得罰鍰」幾乎無遏阻功用,適用標的亦不務實。
三、惟遵守「個資安全維護義務」應為最基本責任,故若有觸犯者應即處予罰鍰,且現行裁罰金額過低,故爰適當提高本條罰鍰天花板10倍至200萬元。另,因行政單位已命其改正而非公務機關未改正者實屬少數,而若有相關情事應屬重大故意為之,故將此罰鍰增加至1,000萬,以促使企業確實完善資安保護。
第四十九條
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
非公務機關無正當理由違反第二十二條第四項規定者,由主管機關、中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰。
立法說明
一、為配合個人資料保護委員會擬成立,爰加入「主管機關」。
二、第二十二條第四項為「對於(公務機關為調查)之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。」,該情事為重大惡極,且有企圖掩蓋事實、煙滅證據之嫌,對個資保護工作有重大傷害。爰適當提高本條罰鍰天花板10倍至200萬元。
二、第二十二條第四項為「對於(公務機關為調查)之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。」,該情事為重大惡極,且有企圖掩蓋事實、煙滅證據之嫌,對個資保護工作有重大傷害。爰適當提高本條罰鍰天花板10倍至200萬元。
第五十三條
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
主管機關應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
立法說明
配合個資保護委員會成立,法規主管機關進行條文修正。
第五十五條
本法施行細則,由法務部定之。
本法施行細則,由主管機關定之。
立法說明
配合個資保護委員會成立,法規主管機關進行條文修正。
