個人資料保護法

本法之主管機關為個人資料保護委員會。

立法說明

憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制，其目的在於確保蒐集、處理或利用個人資料者，均符合本法規定，增強其合法性與可信度，以完足憲法第二十二條對人民資訊隱私權保障之意旨，爰配合刪除第二項規定。

本法之主管機關為個人資料保護委員會。

立法說明

一、憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制，其目的在於確保蒐集、處理或利用個人資料者，均符合本法規定，增強其合法性與可信度，以完足憲法第二十二條對人民資訊隱私權保障之意旨，未來主管機關個人資料保護委員會（以下簡稱個資會）即屬獨立監督機關。鑒於主管機關個資會之監督範圍並不僅限於非公務機關，尚包含公務機關，且本次修正已將原屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正，爰配合刪除第二項規定，現行第一項列為本條，內容未修正。

二、另因本法所定非公務機關，包含公務機關以外之自然人、法人或其他團體（現行第二條第八款規定參照），考量各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大，現行係由中央目的事業主管機關、直轄市、縣（市）政府監管，於主管機關個資會成立後，其監管事權劃一尚非一蹴可幾，實務上仍有訂定過渡期間之需要，而非公務機關監管權限之過渡條款，涉及本次修正之諸多條文，且須有相關配套措施，爰將過渡期間相關配套措施另明定於附則（修正條文第五十一條之一、第五十二條及第五十三條之一），併此敘明。

本法之主管機關為個人資料保護委員會。

立法說明

憲法法庭111年憲判字第13號判決要求建立個資保護獨立監督機制，以確保個資蒐集、處理及利用符合法規，增強合法性與可信度，保障資訊隱私權。未來個人資料保護委員會（以下簡稱個資會）將作為獨立監督機關，監督範圍涵蓋公私部門。本次修正將重新統整相關機關權責，爰針對本條刪除第二項規定，現行第一項列為本條，內容未變更。

本法之主管機關為個人資料保護委員會。

立法說明

一、憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制，其目的在於確保蒐集、處理或利用個人資料者，均符合本法規定，增強其合法性與可信度，以完足憲法第二十二條對人民資訊隱私權保障之意旨，未來主管機關個人資料保護委員會（以下簡稱個資會）即屬獨立監督機關。鑒於主管機關個資會之監督範圍並不僅限於非公務機關，尚包含公務機關，且本次修正已將原屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正，爰配合刪除第二項規定，現行第一項列為本條，內容未修正。

二、另因本法所定非公務機關，包含公務機關以外之自然人、法人或其他團體（現行第二條第八款規定參照），考量各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大，現行係由中央目的事業主管機關、直轄市、縣（市）政府監管，於主管機關個資會成立後，其監管事權劃一尚非一蹴可幾，實務上仍有訂定過渡期間之需要，而非公務機關監管權限之過渡條款，涉及本次修正之諸多條文，且須有相關配套措施，爰將過渡期間相關配套措施另明定於附則（修正條文第五十一條之一、第五十二條及第五十三條之一），併此敘明。

本法之主管機關為個人資料保護委員會。

立法說明

一、憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制，其目的在於確保蒐集、處理或利用個人資料者，均符合本法規定，增強其合法性與可信度，以完足憲法第二十二條對人民資訊隱私權保障之意旨，未來主管機關個人資料保護委員會（以下簡稱個資會）即屬獨立監督機關。鑒於主管機關個資會之監督範圍並不僅限於非公務機關，尚包含公務機關，且本次修正已將原屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正，爰配合刪除第二項規定，現行第一項列為本條，內容未修正。

二、另因本法所定非公務機關，包含公務機關以外之自然人、法人或其他團體（現行第二條第八款規定參照），考量各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大，現行係由中央目的事業主管機關、直轄市、縣（市）政府監管，於主管機關個資會成立後，其監管事權劃一尚非一蹴可幾，實務上仍有訂定過渡期間之需要，而非公務機關監管權限之過渡條款，涉及本次修正之諸多條文，且須有相關配套措施，爰將過渡期間相關配套措施另明定於附則（修正條文第五十一條之一、第五十二條及第五十三條之一），併此敘明。

本法之主管機關為個人資料保護委員會。

立法說明

一、憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制，其目的在於確保蒐集、處理或利用個人資料者，均符合本法規定，增強其合法性與可信度，以完足憲法第二十二條對人民資訊隱私權保障之意旨，未來主管機關個人資料保護委員會（以下簡稱個資會）即屬獨立監督機關。鑒於主管機關個資會之監督範圍並不僅限於非公務機關，尚包含公務機關，且本次修正已將原屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正，爰配合刪除第二項規定，現行第一項列為本條，內容未修正。

二、另因本法所定非公務機關，包含公務機關以外之自然人、法人或其他團體（現行第二條第八款規定參照），考量各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大，現行係由中央目的事業主管機關、直轄市、縣（市）政府監管，於主管機關個資會成立後，其監管事權劃一尚非一蹴可幾，實務上仍有訂定過渡期間之需要，而非公務機關監管權限之過渡條款，涉及本次修正之諸多條文，且須有相關配套措施，爰將過渡期間相關配套措施另明定於附則（修正條文第五十一條之一、第五十二條及第五十三條之一），併此敘明。

本法之主管機關為個人資料保護委員會。

立法說明

一、有鑑於憲法法庭一百十一年憲判字第十三號判決，政府應建立個人資料保護獨立監督機制，以確保蒐集、處理或利用個人資料者，均符合個人資料保護法規定，滿足憲法第二十二條對人民資訊隱私權保障之意旨。

二、因本次個人資料保護法修正已將原屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正，爰配合刪除第二項規定，現行第一項則列為本條，內容未修正。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、因個人資料廣布於公務機關之職務及非公務機關之業務活動中，個人資料保護之落實程度，亦攸關相關職務、業務能否妥適執行推展，是各公務機關及非公務機關皆應予重視並採取適當措施，以落實本法之要求。爰於第一項揭明中央及地方各級政府應致力配合，確保所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

三、爰參考南韓個人資料保護法施行令第五條之二規定，於第二項明定個人資料保護委員會得召集個人資料保護政策推進會議，俾深化落實我國整體個人資料保護。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、因個人資料廣布於公務機關之職務及非公務機關之業務活動中，個人資料保護之落實程度，亦攸關相關職務、業務能否妥適執行推展，是各公務機關及非公務機關皆應予重視並採取適當措施，以落實本法之要求。其中，各級政府及其所屬公務機關之角色尤為重要。蓋公務機關非但自身職務範圍涉及個人資料之蒐集、處理、利用及管理，如同時為其他公務機關之上級、監督機關，或為非公務機關之目的事業主管機關，亦須督導所轄機關或輔導所管業者之職務、業務狀況。而個資會之成立，旨在強化個人資料保護，但因個人資料之蒐集、處理及利用係附隨於各種類之職務或業務而生，其特定目的之必要範圍及合規性之審認判斷，與其職務或業務之相關法令規範或實務運作模式均密不可分，主管機關必須與熟悉公務機關職務之上級、監督機關，或熟悉非公務機關業務之目的事業主管機關協力合作，共同達成強化個人資料保護法令遵循、健全及落實管理制度之目標。爰於第一項揭明中央及地方各級政府應致力配合，確保所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

三、個資會作為本法主管機關，將由合議制之委員會依法推動各項個人資料保護政策，並獨立行使監督職權。考量個人資料保護事務與各類公務機關、非公務機關之職務或業務密切相關，為提升個資會與其他公務機關（含各該目的事業主管機關）之溝通及合作效率，充分掌握實務疑難及監理需求，爰參考南韓個人資料保護法（以下簡稱南韓個資法）施行令第五條之二規定，於第二項明定個資會得召集個人資料保護政策推進會議，作為個人資料保護長機制之推行、各級公務機關推動政策或執行職務涉有個人資料保護風險之評估與諮詢、個人資料事故通報應變、對各類公務機關或非公務機關之監督措施、國際傳輸限制之評估與會商，及其他個人資料保護相關事務等之溝通協調平台，並授權個資會就其運作之細節事項訂定辦法，俾深化落實我國整體個人資料保護。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議，其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、訂定第一項。鑑於個人資料廣泛涉及公務與非公務機關的職務與業務，成立個資會在強化個資保護，其審認判斷涉及各機關業務特性，需主管機關與相關單位協力合作，確保個資保護環境安全可信。

三、訂定第二項。個資會作為主管機關，將透過合議制委員會推動個資保護政策並獨立行使監督職權。為提升溝通與合作效率，明定個資會可召開個資保護政策推進會議，作為相關事務協調平台。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、因個人資料廣布於公務機關之職務及非公務機關之業務活動中，個人資料保護之落實程度，亦攸關相關職務、業務能否妥適執行推展，是各公務機關及非公務機關皆應予重視並採取適當措施，以落實本法之要求。其中，各級政府及其所屬公務機關之角色尤為重要。蓋公務機關非但自身職務範圍涉及個人資料之蒐集、處理、利用及管理，如同時為其他公務機關之上級、監督機關，或為非公務機關之目的事業主管機關，亦須督導所轄機關或輔導所管業者之職務、業務狀況。而個資會之成立，旨在強化個人資料保護，但因個人資料之蒐集、處理及利用係附隨於各種類之職務或業務而生，其特定目的之必要範圍及合規性之審認判斷，與其職務或業務之相關法令規範或實務運作模式均密不可分，主管機關必須與熟悉公務機關職務之上級、監督機關，或熟悉非公務機關業務之目的事業主管機關協力合作，共同達成強化個人資料保護法令遵循、健全及落實管理制度之目標。爰於第一項揭明中央及地方各級政府應致力配合，確保所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

三、個資會作為本法主管機關，將由合議制之委員會依法推動各項個人資料保護政策，並獨立行使監督職權。考量個人資料保護事務與各類公務機關、非公務機關之職務或業務密切相關，為提升個資會與其他公務機關（含各該目的事業主管機關）之溝通及合作效率，充分掌握實務疑難及監理需求，爰參考南韓個人資料保護法（以下簡稱南韓個資法）施行令第五條之二規定，於第二項明定個資會得召集個人資料保護政策推進會議，作為個人資料保護長機制之推行、各級公務機關推動政策或執行職務涉有個人資料保護風險之評估與諮詢、個人資料事故通報應變、對各類公務機關或非公務機關之監督措施、國際傳輸限制之評估與會商，及其他個人資料保護相關事務等之溝通協調平台，並授權個資會就其運作之細節事項訂定辦法，俾深化落實我國整體個人資料保護。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、因個人資料廣布於公務機關之職務及非公務機關之業務活動中，個人資料保護之落實程度，亦攸關相關職務、業務能否妥適執行推展，是各公務機關及非公務機關皆應予重視並採取適當措施，以落實本法之要求。其中，各級政府及其所屬公務機關之角色尤為重要。蓋公務機關非但自身職務範圍涉及個人資料之蒐集、處理、利用及管理，如同時為其他公務機關之上級、監督機關，或為非公務機關之目的事業主管機關，亦須督導所轄機關或輔導所管業者之職務、業務狀況。而個資會之成立，旨在強化個人資料保護，但因個人資料之蒐集、處理及利用係附隨於各種類之職務或業務而生，其特定目的之必要範圍及合規性之審認判斷，與其職務或業務之相關法令規範或實務運作模式均密不可分，主管機關必須與熟悉公務機關職務之上級、監督機關，或熟悉非公務機關業務之目的事業主管機關協力合作，共同達成強化個人資料保護法令遵循、健全及落實管理制度之目標。爰於第一項揭明中央及地方各級政府應致力配合，確保所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

三、個資會作為本法主管機關，將由合議制之委員會依法推動各項個人資料保護政策，並獨立行使監督職權。考量個人資料保護事務與各類公務機關、非公務機關之職務或業務密切相關，為提升個資會與其他公務機關（含各該目的事業主管機關）之溝通及合作效率，充分掌握實務疑難及監理需求，爰參考南韓個人資料保護法（以下簡稱南韓個資法）施行令第五條之二規定，於第二項明定個資會得召集個人資料保護政策推進會議，作為個人資料保護長機制之推行、各級公務機關推動政策或執行職務涉有個人資料保護風險之評估與諮詢、個人資料事故通報應變、對各類公務機關或非公務機關之監督措施、國際傳輸限制之評估與會商，及其他個人資料保護相關事務等之溝通協調平台，並授權個資會就其運作之細節事項訂定辦法，俾深化落實我國整體個人資料保護。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、因個人資料廣布於公務機關之職務及非公務機關之業務活動中，個人資料保護之落實程度，亦攸關相關職務、業務能否妥適執行推展，是各公務機關及非公務機關皆應予重視並採取適當措施，以落實本法之要求。其中，各級政府及其所屬公務機關之角色尤為重要。蓋公務機關非但自身職務範圍涉及個人資料之蒐集、處理、利用及管理，如同時為其他公務機關之上級、監督機關，或為非公務機關之目的事業主管機關，亦須督導所轄機關或輔導所管業者之職務、業務狀況。而個資會之成立，旨在強化個人資料保護，但因個人資料之蒐集、處理及利用係附隨於各種類之職務或業務而生，其特定目的之必要範圍及合規性之審認判斷，與其職務或業務之相關法令規範或實務運作模式均密不可分，主管機關必須與熟悉公務機關職務之上級、監督機關，或熟悉非公務機關業務之目的事業主管機關協力合作，共同達成強化個人資料保護法令遵循、健全及落實管理制度之目標。爰於第一項揭明中央及地方各級政府應致力配合，確保所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

三、個資會作為本法主管機關，將由合議制之委員會依法推動各項個人資料保護政策，並獨立行使監督職權。考量個人資料保護事務與各類公務機關、非公務機關之職務或業務密切相關，為提升個資會與其他公務機關（含各該目的事業主管機關）之溝通及合作效率，充分掌握實務疑難及監理需求，爰參考南韓個人資料保護法（以下簡稱南韓個資法）施行令第五條之二規定，於第二項明定個資會得召集個人資料保護政策推進會議，作為個人資料保護長機制之推行、各級公務機關推動政策或執行職務涉有個人資料保護風險之評估與諮詢、個人資料事故通報應變、對各類公務機關或非公務機關之監督措施、國際傳輸限制之評估與會商，及其他個人資料保護相關事務等之溝通協調平台，並授權個資會就其運作之細節事項訂定辦法，俾深化落實我國整體個人資料保護。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定，共同建構安全可信賴之個人資料保護環境。

為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會議；其運作方式及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、個人資料廣布於公務機關之職務及非公務機關之業務活動中，為建構安全可信賴之個人資料保護環境，爰於第一項揭明中央及地方各級政府應致力配合，確保其所轄公務機關及所管非公務機關落實本法之要求，共同達成強化個人資料保護法令遵循、健全及落實管理制度之目標。

三、鑒於個人資料保護事務與各類公務機關、非公務機關之職務或業務密切相關，為提升個資會與其他公務機關之橫向聯繫工作，充分掌握實務疑難及監理需求，爰於第二項明定個資會得召集個人資料保護政策推進會議，並授權個資會就其運作事項制定辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，爰參考歐盟一般資料保護規則（General Data Protection Regulation，GDPR）第三十四條第一項、日本個人情報保護法第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、承上第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。

五、有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，爰將事故機關之應變義務，提升至法律位階，明定於第三項。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。現行「或其他侵害」一語，易生誤解，爰併予刪除。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，現行條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regu-lation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。

五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫－Do執行－Check查核－Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、減失或洩漏時，應於二十四小時內通知當事人。
前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報，主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前二項應通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文移為第一項。其中，為使事故類型與現行法規一致，將「竊取、洩漏、竄改或其他侵害」改為「竊取、竄改、毀損、滅失或洩漏」；另，事故機關須即時通知當事人，使其評估可能損害，爰刪除「違反本法規定」及「查明後」等條件，並授權主管機關訂定通知規範。

二、新增第二項、第三項及第四項，現行法未強制事故機關通報，影響監管與應變效率，爰新增事故通報義務，明定符合特定範圍時須主動通報，並授權主管機關規範通報範圍、內容及時限。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。現行「或其他侵害」一語，易生誤解，爰併予刪除。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，現行條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regu-lation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。

五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫－Do執行－Check查核－Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：

一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。

二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。

第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。

前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

主管機關應每年編製事故統計報告，報請行政院備查並公開發布。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。現行「或其他侵害」一語，易生誤解，爰併予刪除。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，現行條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regu-lation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。

五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫－Do執行－Check查核－Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第二十七條第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。現行「或其他侵害」一語，易生誤解，爰併予刪除。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，現行條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regu－lation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十七條第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。

五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫－Do執行－Check查核－Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：
一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。
第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏（以下簡稱事故），為使所列事故類型及用語與前揭條文一致，將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故，包括未經個人資料保有機關授權，而遭內部或外部惡意接觸、取用或破壞之情形（Data Breach），均係涉及公務、非公務機關之個人資料安全維護義務是否落實，與公務、非公務機關本身是否合法蒐集、處理或利用個人資料，係屬二事。現行「或其他侵害」一語，易生誤解，爰併予刪除。

二、公務機關或非公務機關保有之個人資料發生事故者（以下簡稱事故機關），其應於知悉事故發生後通知當事人之目的，在使當事人知悉該事故，俾其自主評估、關注可能之權益損害，現行條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」，惟適時採取應對作為，與事故機關是否違反本法規定，尚無直接關聯，違法責任之確認，並非構成通知義務之要件或前提，且所謂「查明後」通知當事人之時點，實務上亦有相當爭議。爰參考歐盟一般資料保護規則（General Data Protection Regulation，以下簡稱GDPR）第三十四條第一項、日本個人情報保護法（以下簡稱日本個資法）第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定，刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項，俾事故機關妥適履行其通知義務。

三、現行條文並未明定事故機關之通報義務，本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」，亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定，恐使主管機關對於公務機關或非公務機關之個人資料事故發生，無法及時獲悉並按其影響程度進行適切之調查及協助，除影響監理效能外，亦可能導致事故機關之忽視及怠於處理，顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務，並為兼顧不同事故樣態，參考南韓個資法第三十四條與該法施行令第四十條，及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例，另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。

四、關於第二項所定事故通報之受理權限，如公務機關發生事故，除通報主管機關外，尚應基於公務體系層級節制之固有職務監督關係，循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故，基於主管機關之獨立監督角色、減少通報對象之認定疑義，且修正條文第五十一條之一僅為過渡措施，爰事故機關應向主管機關通報；同時考量個人資料安全維護與非公務機關之業務活動密切相關，其業務監理機關亦有掌握事故訊息之需求，故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者，自仍應一併通報之。

五、公務機關或非公務機關對於個人資料之法令遵循與管理，實務上主要採取PDCA循環（即Plan計畫-Do執行-Check查核-Act行動）之方法論，持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現，事故機關發現事故發生，即應視事故規模、態樣及可能之影響範圍，採行適當之應變機制，避免損害擴大，此為當事人權益保障之關鍵，是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施，惟在規範強度及位階上仍顯不足，爰將事故機關之應變義務，提升至法律位階，明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏，是包括該事故之事實、所生影響，與事故機關所採取之應變作為等，對於上開PDCA循環之持續推動改善及主管機關之監理等，毋寧具有高度價值，相關紀錄自應予適度保存，以備主管機關查驗。

六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，亦應建立適當機制及程序以利遵循，爰於第四項授權主管機關訂定相關事項之辦法。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關：

一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。

二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的事業主管機關。

第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄，以備主管機關查驗。

前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法，由主管機關定之。

立法說明

一、現行條文列為第一項，並考量修正條文第十八條第二項、第二十條之一第一項所列之個人資料事故類型包含個人資料被「竊取、竄改、毀損、滅失或洩漏」，為使本法所列個人資料事故類型及用語一致，爰修正第一項文字。

二、現行條文第一項有關公務機關或非公務機關於個人資料發生事故後應通知當事人之規定易遭誤解為須先確認有無「違反本法規定」始得通知當事人，惟事故機關是否違反本法規定，並非構成通知義務之要件或前提，爰刪除「違反本法規定」及「查明後」兩項要件，並於第四項授權主管機關訂定通知之內容、方式、時限等事項。

三、現行條文並未明定事故機關應通報之義務，為確保主管機關及公務機關之上級機關或監督機關與非公務機關之目的事業主管機關對於公務機關或非公務機關之個人資料事故發生能及時獲悉，並按其影響程度進行適切之調查及協助，爰增訂第二項明定事故機關知悉發生洩漏等個人資料事故時，於符合一定通報範圍時負有主動通報之義務。

四、有鑑於個人資料事故發生可能與事故機關既有個人資料管理制度存在闕漏有關，是以該事故之事實、所生影響，與事故機關所採取之應變作為等，對於日後改善管理制度而言，具有高度價值，相關紀錄自應予妥善保存，以備主管機關查驗，爰增訂第三項規定。

五、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外，第三項所定應變措施及紀錄保存等相關具體事宜，應建立適當機制及程序以利未來遵循，爰增訂第四項規定，授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動，規劃建立個人資料保護長機制之政策，新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責。

二、現行條文所定專人機制，移列為第二項。

三、為使所有公務機關均落實各項安全維護及管理機制制度，並促進其規範事項具有一致性，以強化公務機關對於個人資料之保護與管理，確保在不同職務下，均能達到一定水準，爰增訂第二項後段規定，授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

四、按個人資料保護長、受指派協助之人員與專人，分別負有公務機關整體個人資料保護事務之統籌推動，及辦理公務機關個人資料檔案安全維護之職責，均應有適當之權益保障機制，並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障；另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。

五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項，爰新增第五項授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。

公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。

主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、個人資料保護法令遵循制度之建構及落實，須以組織整體作為考量，從組織全景、內外部關注方之需要與期望出發，審酌部門及跨部門流程等各項環節，據以規劃及執行。準此，若能安排具個人資料保護專業之成員，或具備此等機能之角色，將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動，規劃建立個人資料保護長機制之政策，並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響，及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實，爰本次修法優先由公務機關推動實施，新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責（包括但不限於第二項所定者），俾相關管理機制由上而下形成，強化公務機關內部控制制度。

二、現行條文所定專人機制，移列為第二項，並考量公務機關保有個人資料檔案已屬常態，與修正條文第二十條之一之非公務機關不同，爰刪除「保有個人資料檔案」等語。

三、目前公務機關辦理個人資料檔案安全維護事項，係各自就其實際組織及業務情況，依本法施行細則第二十四條規定，訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度，並促進其規範事項具有一致性，以強化公務機關對於個人資料之保護與管理，確保在不同職務下，均能達到一定水準，爰增訂第二項後段規定，授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

四、按個人資料保護長、受指派協助之人員與專人，分別負有公務機關整體個人資料保護事務之統籌推動，及辦理公務機關個人資料檔案安全維護之職責，均應有適當之權益保障機制，並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障；另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。

五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項，爰新增第五項授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機關、應採取之措施及其他相關事項之辦法，由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

增訂公務機關應置個人資料保護長，負責統籌推動及督導考核機關內部及所屬之個人資料保護事務，並授權主管機關分別就相關人員之職掌訓練等相關事項，及公務機關之個人資料檔案安全維護事項管理機制等訂定辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、個人資料保護法令遵循制度之建構及落實，須以組織整體作為考量，從組織全景、內外部關注方之需要與期望出發，審酌部門及跨部門流程等各項環節，據以規劃及執行。準此，若能安排具個人資料保護專業之成員，或具備此等機能之角色，將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動，規劃建立個人資料保護長機制之政策，並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響，及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實，爰本次修法優先由公務機關推動實施，新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責（包括但不限於第二項所定者），俾相關管理機制由上而下形成，強化公務機關內部控制制度。

二、現行條文所定專人機制，移列為第二項，並考量公務機關保有個人資料檔案已屬常態，與修正條文第二十條之一之非公務機關不同，爰刪除「保有個人資料檔案」等語。

三、目前公務機關辦理個人資料檔案安全維護事項，係各自就其實際組織及業務情況，依本法施行細則第二十四條規定，訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度，並促進其規範事項具有一致性，以強化公務機關對於個人資料之保護與管理，確保在不同職務下，均能達到一定水準，爰增訂第二項後段規定，授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

四、按個人資料保護長、受指派協助之人員與專人，分別負有公務機關整體個人資料保護事務之統籌推動，及辦理公務機關個人資料檔案安全維護之職責，均應有適當之權益保障機制，並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障；另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。

五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項，爰新增第五項授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。

主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。

第一項及第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、個人資料保護法令遵循制度之建構及落實，須以組織整體作為考量，從組織全景、內外部關注方之需要與期望出發，審酌部門及跨部門流程等各項環節，據以規劃及執行。準此，若能安排具個人資料保護專業之成員，或具備此等機能之角色，將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動，規劃建立個人資料保護長機制之政策，並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響，及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實，爰本次修法優先由公務機關推動實施，新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責（包括但不限於第二項所定者），俾相關管理機制由上而下形成，強化公務機關內部控制制度。

二、現行條文所定專人機制，移列為第二項，並考量公務機關保有個人資料檔案已屬常態，與修正條文第二十條之一之非公務機關不同，爰刪除「保有個人資料檔案」等語。

三、目前公務機關辦理個人資料檔案安全維護事項，係各自就其實際組織及業務情況，依本法施行細則第二十四條規定，訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度，並促進其規範事項具有一致性，以強化公務機關對於個人資料之保護與管理，確保在不同職務下，均能達到一定水準，爰增訂第二項後段規定，授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

四、按個人資料保護長、受指派協助之人員與專人，分別負有公務機關整體個人資料保護事務之統籌推動，及辦理公務機關個人資料檔案安全維護之職責，均應有適當之權益保障機制，並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障；另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。

五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項，爰新增第五項授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、個人資料保護法令遵循制度之建構及落實，須以組織整體作為考量，從組織全景、內外部關注方之需要與期望出發，審酌部門及跨部門流程等各項環節，據以規劃及執行。準此，若能安排具個人資料保護專業之成員，或具備此等機能之角色，將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動，規劃建立個人資料保護長機制之政策，並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響，及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實，爰本次修法優先由公務機關推動實施，新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任，負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責（包括但不限於第二項所定者），俾相關管理機制由上而下形成，強化公務機關內部控制制度。

二、現行條文所定專人機制，移列為第二項，並考量公務機關保有個人資料檔案已屬常態，與修正條文第二十條之一之非公務機關不同，爰刪除「保有個人資料檔案」等語。

三、目前公務機關辦理個人資料檔案安全維護事項，係各自就其實際組織及業務情況，依本法施行細則第二十四條規定，訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度，並促進其規範事項具有一致性，以強化公務機關對於個人資料之保護與管理，確保在不同職務下，均能達到一定水準，爰增訂第二項後段規定，授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

四、按個人資料保護長、受指派協助之人員與專人，分別負有公務機關整體個人資料保護事務之統籌推動，及辦理公務機關個人資料檔案安全維護之職責，均應有適當之權益保障機制，並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障；另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。

五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項，爰新增第五項授權主管機關訂定相關事項之辦法。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。

公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。

公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法，由主管機關定之。

立法說明

一、個人資料保護業務之落實，須以組織整體作為考量，爰增訂第一項，規定公務機關應設置個人資料保護長，負責統籌組織個人資料保護事項之推動、督導及考核。

二、有關現行條文所定公務機關應指派專人辦理個人資料安全維護事項，移列為第二項，且鑑於公務機關保有個人資料檔案已屬常態，爰刪除「保有個人資料檔案」等詞。另外，為強化公務機關對於個人資料之保護與管理，於不同職務下，均有一致之水準，爰增訂第二項後段規定，授權主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。

三、為確保個人資料保護長、受指派協助之人員及專人，得以公正履行法定職責而不受干擾，爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障。

四、為持續增能公務機關人員之個人資料保護專業之能，爰增訂第四項，明定由主管機關妥為規劃推動該等人員之職能培訓相關事宜。

五、增訂第五項，有關個人資料保護長等人員之職掌、職能條件、訓練等事項授權由主管機關訂定相關事項之辦法。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

非公務機關保有個人資料檔案者，應辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法，由主管機關定之。

立法說明

第一項、第二項由現行第二十七條第一項、第三項移列，第一項酌作修正；基於個資會成立後對非公務機關監督權限之調整，由主管機關衡酌當前非公務機關個人資料檔案安全維護之整體狀況及需求，就其中具重要性之管理事項建立應遵循之原則，以確保其個人資料之保護達到一定之水準，並作為個人資料保護業務之監理基礎，爰於第二項授權由主管機關就非公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項訂定辦法。

（刪除）

立法說明

一、本條刪除。

二、本條已移列至修正條文第二十條之一規範，爰予刪除。

（刪除）

立法說明

一、本條刪除。

二、現行條文移列至修正條文第二十條之一規範，故予以刪除。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個人資料保護委員會之成立，將國際傳輸限制之權限修正為由其統一行使。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個資會之成立，將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性，國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響，爰主管機關宜先會商相關中央目的事業主管機關，充分瞭解特定產業國際傳輸個人資料之需求，並妥為評估限制方式之適切性及必要性，併此敘明。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合個資會成立，針對主管機關相關文字酌作修正。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個資會之成立，將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性，國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響，爰主管機關宜先會商相關中央目的事業主管機關，充分瞭解特定產業國際傳輸個人資料之需求，並妥為評估限制方式之適切性及必要性，併此敘明。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個資會之成立，將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性，國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響，爰主管機關宜先會商相關中央目的事業主管機關，充分瞭解特定產業國際傳輸個人資料之需求，並妥為評估限制方式之適切性及必要性，併此敘明。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個資會之成立，將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性，國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響，爰主管機關宜先會商相關中央目的事業主管機關，充分瞭解特定產業國際傳輸個人資料之需求，並妥為評估限制方式之適切性及必要性，併此敘明。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

立法說明

配合修正條文第一條之一主管機關個人資料保護委員會之成立，爰修正文字內容。

行政監督

立法說明

一、章名新增。

二、現行第三章除規定非公務機關對個人資料之蒐集、處理及利用外，尚規定相關行政檢查及裁處事宜；與之相比，第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，第二節為「對非公務機關之監督」，並於第一節增訂對公務機關監督之相關規定。

行政監督

立法說明

一、章名新增。

二、現行第三章除規定非公務機關對個人資料之蒐集、處理及利用外，尚規定相關行政檢查及裁處事宜；與之相比，第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，第二節為「對非公務機關之監督」，並於第一節增訂對公務機關監督之相關規定。

行政監督

立法說明

一、章名新增。

二、配合個資會的成立，及憲法法庭一百十一年憲判字第十三號判決，要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，並區分「對公務機關之監督」、「對非公務機關之監督」兩節。

行政監督

立法說明

一、章名新增。

二、現行第三章除規定非公務機關對個人資料之蒐集、處理及利用外，尚規定相關行政檢查及裁處事宜；與之相比，第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，第二節為「對非公務機關之監督」，並於第一節增訂對公務機關監督之相關規定。

行政監督

立法說明

一、章名新增。

二、現行第三章除規定非公務機關對個人資料之蒐集、處理及利用外，尚規定相關行政檢查及裁處事宜；與之相比，第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，第二節為「對非公務機關之監督」，並於第一節增訂對公務機關監督之相關規定。

行政監督

立法說明

一、章名新增。

二、現行第三章除規定非公務機關對個人資料之蒐集、處理及利用外，尚規定相關行政檢查及裁處事宜；與之相比，第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，第二節為「對非公務機關之監督」，並於第一節增訂對公務機關監督之相關規定。

行政監督

立法說明

一、章名新增。

二、鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督，爰增訂本章，分為二節，第一節為「對公務機關之監督」，增訂對公務機關監督之相關，而現行第三章針對非公務機關之行政監督內容，則移列至第二節「對非公務機關之監督」。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、第一項要求公務機關（包含行政法人）應向上級或監督機關提出個人資料保護管理事項實施情形，以利上級或監督機關掌握知悉，作為後續依第二項發動督導、稽核作為之基礎，並明定無上級或監督機關者，其個人資料保護管理事項實施情形提出之對象。

三、鑒於公務機關執行法定職務，與民眾個人資料之蒐集、處理、利用及安全維護密不可分，爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。

四、依第二項規定稽核後，受稽核之公務機關如有缺失或待改善者，應將改善報告提交原稽核機關審查，經審認已確實改善後，再由稽核機關連同稽核結果送交主管機關，其監督作業始屬完備，爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後，認有續行釐清事實或調整實務作業之必要時，均得依第四項規定要求之。

五、第五項授權主管機關就前四項實施情形應提出之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、考量資訊安全與個人資料保護管理之間，於權益保障核心雖有所差異，但安全保障之整體組織及技術層面仍有相當交集，爰參考一百十三年七月四日行政院函請立法院審議之「資通安全管理法」修正草案第十四條至第十六條規定，於本條明定本法對公務機關之監督架構。

三、第一項要求公務機關（包含行政法人）應向上級或監督機關提出個人資料保護管理事項實施情形，以利上級或監督機關掌握知悉，作為後續依第二項發動督導、稽核作為之基礎，並明定無上級或監督機關者，其個人資料保護管理事項實施情形提出之對象。又所謂個人資料保護管理事項實施情形，應涵蓋公務機關各項職務行使所涉個人資料蒐集、處理、利用、管理、當事人權利行使等事項，包括但不限於第十八條所稱個人資料檔案安全維護事項，併此敘明。

四、鑒於公務機關執行法定職務，與民眾個人資料之蒐集、處理、利用及安全維護密不可分，為藉由公務體系層級節制之固有職務監督機制，加強對公務機關個人資料保護事務之監管，爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。

五、依第二項規定稽核後，受稽核之公務機關如有缺失或待改善者，應將改善報告提交原稽核機關審查，經審認已確實改善後，再由稽核機關連同稽核結果送交主管機關，其監督作業始屬完備，爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後，認有續行釐清事實或調整實務作業之必要時，均得依第四項規定要求之，以利對受稽核機關進行監督及指導。

六、第五項授權主管機關就前四項實施情形應提出之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法，以利各公務機關遵循。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、要求公務機關應每年向上級或監督機關提出個人資料保護管理事項實施情形，並明定相關督導、稽核等程序。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、考量資訊安全與個人資料保護管理之間，於權益保障核心雖有所差異，但安全保障之整體組織及技術層面仍有相當交集，爰參考一百十三年七月四日行政院函請立法院審議之「資通安全管理法」修正草案第十四條至第十六條規定，於本條明定本法對公務機關之監督架構。

三、第一項要求公務機關（包含行政法人）應向上級或監督機關提出個人資料保護管理事項實施情形，以利上級或監督機關掌握知悉，作為後續依第二項發動督導、稽核作為之基礎，並明定無上級或監督機關者，其個人資料保護管理事項實施情形提出之對象。又所謂個人資料保護管理事項實施情形，應涵蓋公務機關各項職務行使所涉個人資料蒐集、處理、利用、管理、當事人權利行使等事項，包括但不限於第十八條所稱個人資料檔案安全維護事項，併此敘明。

四、鑒於公務機關執行法定職務，與民眾個人資料之蒐集、處理、利用及安全維護密不可分，為藉由公務體系層級節制之固有職務監督機制，加強對公務機關個人資料保護事務之監管，爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。

五、依第二項規定稽核後，受稽核之公務機關如有缺失或待改善者，應將改善報告提交原稽核機關審查，經審認已確實改善後，再由稽核機關連同稽核結果送交主管機關，其監督作業始屬完備，爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後，認有續行釐清事實或調整實務作業之必要時，均得依第四項規定要求之，以利對受稽核機關進行監督及指導。

六、第五項授權主管機關就前四項實施情形應提出之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法，以利各公務機關遵循。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、考量資訊安全與個人資料保護管理之間，於權益保障核心雖有所差異，但安全保障之整體組織及技術層面仍有相當交集，爰參考一百十三年七月四日行政院函請立法院審議之「資通安全管理法」修正草案第十四條至第十六條規定，於本條明定本法對公務機關之監督架構。

三、第一項要求公務機關（包含行政法人）應向上級或監督機關提出個人資料保護管理事項實施情形，以利上級或監督機關掌握知悉，作為後續依第二項發動督導、稽核作為之基礎，並明定無上級或監督機關者，其個人資料保護管理事項實施情形提出之對象。又所謂個人資料保護管理事項實施情形，應涵蓋公務機關各項職務行使所涉個人資料蒐集、處理、利用、管理、當事人權利行使等事項，包括但不限於第十八條所稱個人資料檔案安全維護事項，併此敘明。

四、鑒於公務機關執行法定職務，與民眾個人資料之蒐集、處理、利用及安全維護密不可分，為藉由公務體系層級節制之固有職務監督機制，加強對公務機關個人資料保護事務之監管，爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。

五、依第二項規定稽核後，受稽核之公務機關如有缺失或待改善者，應將改善報告提交原稽核機關審查，經審認已確實改善後，再由稽核機關連同稽核結果送交主管機關，其監督作業始屬完備，爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後，認有續行釐清事實或調整實務作業之必要時，均得依第四項規定要求之，以利對受稽核機關進行監督及指導。

六、第五項授權主管機關就前四項實施情形應提出之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法，以利各公務機關遵循。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、考量資訊安全與個人資料保護管理之間，於權益保障核心雖有所差異，但安全保障之整體組織及技術層面仍有相當交集，爰參考一百十三年七月四日行政院函請立法院審議之「資通安全管理法」修正草案第十四條至第十六條規定，於本條明定本法對公務機關之監督架構。

三、第一項要求公務機關（包含行政法人）應向上級或監督機關提出個人資料保護管理事項實施情形，以利上級或監督機關掌握知悉，作為後續依第二項發動督導、稽核作為之基礎，並明定無上級或監督機關者，其個人資料保護管理事項實施情形提出之對象。又所謂個人資料保護管理事項實施情形，應涵蓋公務機關各項職務行使所涉個人資料蒐集、處理、利用、管理、當事人權利行使等事項，包括但不限於第十八條所稱個人資料檔案安全維護事項，併此敘明。

四、鑒於公務機關執行法定職務，與民眾個人資料之蒐集、處理、利用及安全維護密不可分，為藉由公務體系層級節制之固有職務監督機制，加強對公務機關個人資料保護事務之監管，爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。

五、依第二項規定稽核後，受稽核之公務機關如有缺失或待改善者，應將改善報告提交原稽核機關審查，經審認已確實改善後，再由稽核機關連同稽核結果送交主管機關，其監督作業始屬完備，爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後，認有續行釐清事實或調整實務作業之必要時，均得依第四項規定要求之，以利對受稽核機關進行監督及指導。

六、第五項授權主管機關就前四項實施情形應提出之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法，以利各公務機關遵循。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形；無上級機關或監督機關者，依下列各款規定辦理：

一、總統府、國家安全會議及五院，向主管機關提出。

二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機關提出。

三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提出。

公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送交主管機關。

稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法，由主管機關定之。

立法說明

一、本條新增。

二、為保護個人資料免於被竊取、竄改、毀損、滅失或洩漏，組織須採取適當之資通安全措施，以達成組織與技術層面之安全保障，爰參考一百十三年七月四日行政院函請立法院審議之「資通安全管理法」修正草案第十四條至第十六條規定，於本條明定本法對公務機關之監督架構。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限，第二項則規定受稽核機關如有缺失或待改善者，負有提出改善報告之義務、報告送交對象及審查事宜。

三、第三項明定審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

四、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

五、公務機關依修正條文第二十一之一進行稽核時，或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密，爰於第五項一併明定。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、本條所定主管機關之外部監督權限，係源自其個人資料保護獨立監督機關之地位，與前條所定上級或監督機關基於公務體系層級節制之固有職務監督不同，但兩者可並行不悖、相輔相成。第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限，第二項則規定受稽核機關如有缺失或待改善者，負有提出改善報告之義務、報告送交對象及審查事宜。

三、為使改善報告審查機關或主管機關得對受稽核機關進行監督及指導，爰於第三項明定審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

四、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

五、公務機關依修正條文第二十一之一進行稽核時，或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密，爰於第五項一併明定。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、配合公務機關應提出個人資料保護管理事項實施情形，明定主管機關個資會得定期或不定期公務機關個人資料保護管理事項實施情形進行稽核。

主管機關應每兩年定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之結果，應每年定期主動公開；稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、本條所定主管機關之外部監督權限，係源自其個人資料保護獨立監督機關之地位，與前條所定上級或監督機關基於公務體系層級節制之固有職務監督不同，但兩者可並行不悖、相輔相成。第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有每兩年定期稽核之權限，第二項則規定受稽核機關如有缺失或待改善者，負有提出改善報告之義務、報告送交對象及審查事宜。

三、為使改善報告審查機關或主管機關得對受稽核機關進行監督及指導，爰於第三項明定稽核之結果，應每年定期主動公開；審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

四、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

五、公務機關依修正條文第二十一之一進行稽核時，或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密，爰於第五項一併明定。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、本條所定主管機關之外部監督權限，係源自其個人資料保護獨立監督機關之地位，與前條所定上級或監督機關基於公務體系層級節制之固有職務監督不同，但兩者可並行不悖、相輔相成。第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限，第二項則規定受稽核機關如有缺失或待改善者，負有提出改善報告之義務、報告送交對象及審查事宜。

三、為使改善報告審查機關或主管機關得對受稽核機關進行監督及指導，爰於第三項明定審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

四、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

五、公務機關依修正條文第二十一之一進行稽核時，或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密，爰於第五項一併明定。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、本條所定主管機關之外部監督權限，係源自其個人資料保護獨立監督機關之地位，與前條所定上級或監督機關基於公務體系層級節制之固有職務監督不同，但兩者可並行不悖、相輔相成。第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限，第二項則規定受稽核機關如有缺失或待改善者，負有提出改善報告之義務、報告送交對象及審查事宜。

三、為使改善報告審查機關或主管機關得對受稽核機關進行監督及指導，爰於第三項明定審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

四、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

五、公務機關依修正條文第二十一之一進行稽核時，或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密，爰於第五項一併明定。

主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形；必要時，得請求前條第二項所定稽核機關協助。

依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查後，由該審查機關送交主管機關。

前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。

前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法，由主管機關定之。

依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、為確保公務機關基於職責積極辦理個人資料保護業務，並建立外部獨立監督機制，爰於第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限。

三、為確保公務機關提出之個人資料保護改善報告後，其實際改善作為得以持續受到上級機關或監督機關之督導及指導，爰於第二項規定受稽核機關如有缺失或待改善者，應提出改善報告，並送交上級機關或監督機關審查。

四、第三項明定審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整，俾使其得就缺失或待改善事項妥為處理。

五、第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法，以利公務機關遵循。

六、第五項明定公務機關依前條增訂條文進行稽核或主管機關依本條進行稽核時，參與稽核之相關人員均應就所知悉或持有之資料予以保密、不得洩漏。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，並明定檢查方式包含請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查。又受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核，屬不同之監管措施。又公務機關有無違反本法規定之虞，尚須由主管機關審酌前二條所定稽核結果（包括缺失或待改善之嚴重程度、受稽核機關說明或調整情形等）、個人資料事故通報、檢舉或陳情等個案情節認定之。

四、基於公務機關層級節制與內部監督考核之精神，並落實修正條文第一條之二公務機關之協力合作原則，爰於第二項規定主管機關必要時得請求第二十一條之一第二項所定稽核機關協助進行實地檢查。

五、主管機關進行本條行政檢查，係執行本法監督權限，相關參與人員自應就所知悉或持有之資料予以保密，爰於第三項明定其保密義務。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，並明定檢查方式包含請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查。又受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核，屬不同之監管措施。又公務機關有無違反本法規定之虞，尚須由主管機關審酌前二條所定稽核結果（包括缺失或待改善之嚴重程度、受稽核機關說明或調整情形等）、個人資料事故通報、檢舉或陳情等個案情節認定之。

四、基於公務機關層級節制與內部監督考核之精神，並落實修正條文第一條之二公務機關之協力合作原則，爰於第二項規定主管機關必要時得請求第二十一條之一第二項所定稽核機關協助進行實地檢查。

五、主管機關進行本條行政檢查，係執行本法監督權限，相關參與人員自應就所知悉或持有之資料予以保密，爰於第三項明定其保密義務。又此負有保密義務者，應涵蓋所有參與檢查之人員，包括主管機關檢查人員、上級或監督機關之協助檢查人員，及受檢查機關配合、協力檢查之人員等，皆應遵守，併此敘明。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、新增主管機關對公務機關有違反本法規定之虞時，得要求其提出資料及說明並檢查。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時　得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，並明定檢查方式包含請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查。又受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核，屬不同之監管措施。又公務機關有無違反本法規定之虞，尚須由主管機關審酌前二條所定稽核結果（包括缺失或待改善之嚴重程度、受稽核機關說明或調整情形等）、個人資料事故通報、檢舉或陳情等個案情節認定之。

四、基於公務機關層級節制與內部監督考核之精神，並落實修正條文第一條之二公務機關之協力合作原則，爰於第二項規定主管機關必要時得請求第二十一條之一第二項所定稽核機關協助進行實地檢查。

五、主管機關進行本條行政檢查，係執行本法監督權限，相關參與人員自應就所知悉或持有之資料予以保密，爰於第三項明定其保密義務。又此負有保密義務者，應涵蓋所有參與檢查之人員，包括主管機關檢查人員、上級或監督機關之協助檢查人員，及受檢查機關配合、協力檢查之人員等，皆應遵守，併此敘明。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，並明定檢查方式包含請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查。又受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核，屬不同之監管措施。又公務機關有無違反本法規定之虞，尚須由主管機關審酌前二條所定稽核結果（包括缺失或待改善之嚴重程度、受稽核機關說明或調整情形等）、個人資料事故通報、檢舉或陳情等個案情節認定之。

四、基於公務機關層級節制與內部監督考核之精神，並落實修正條文第一條之二公務機關之協力合作原則，爰於第二項規定主管機關必要時得請求第二十一條之一第二項所定稽核機關協助進行實地檢查。

五、主管機關進行本條行政檢查，係執行本法監督權限，相關參與人員自應就所知悉或持有之資料予以保密，爰於第三項明定其保密義務。又此負有保密義務者，應涵蓋所有參與檢查之人員，包括主管機關檢查人員、上級或監督機關之協助檢查人員，及受檢查機關配合、協力檢查之人員等，皆應遵守，併此敘明。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，並明定檢查方式包含請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查。又受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核，屬不同之監管措施。又公務機關有無違反本法規定之虞，尚須由主管機關審酌前二條所定稽核結果（包括缺失或待改善之嚴重程度、受稽核機關說明或調整情形等）、個人資料事故通報、檢舉或陳情等個案情節認定之。

四、基於公務機關層級節制與內部監督考核之精神，並落實修正條文第一條之二公務機關之協力合作原則，爰於第二項規定主管機關必要時得請求第二十一條之一第二項所定稽核機關協助進行實地檢查。

五、主管機關進行本條行政檢查，係執行本法監督權限，相關參與人員自應就所知悉或持有之資料予以保密，爰於第三項明定其保密義務。又此負有保密義務者，應涵蓋所有參與檢查之人員，包括主管機關檢查人員、上級或監督機關之協助檢查人員，及受檢查機關配合、協力檢查之人員等，皆應遵守，併此敘明。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必要者外，公務機關及其相關人員有配合之義務。

前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

立法說明

一、本條新增。

二、第一項明定公務機關有違反本法規定之虞時，主管機關有發動行政檢查之權限，且受檢查之機關及其相關人員，對於主管機關之檢查措施，原則上有配合義務，但受檢查之標的如依法律或法律具體明確授權之法規命令有保密之必要者，主管機關之檢查權限亦同受拘束。

三、為落實修正條文第一條之二公務機關之協力合作原則，爰於第二項明定主管機關必要時得請求稽核機關協助進行實地檢查。

四、第三項明定主管機關依據本條進行行政檢查時，相關參與人員應就所知悉或持有之資料予以保密、不得洩漏。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督時具有一定之管制手段，爰參考日本個資法第一百五十七條至第一百五十九條，及南韓個資法第六十四條第三項，於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。又本項所定限期改正，以公務機關經主管機關認定有違反本法規定之情事為發動要件；如屬日常稽核發現之一般作業缺失或待改善事項，則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。

三、公務機關受主管機關限期改正者，如未能依限改正，其違法情形堪稱重大，爰於第二項明定主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督時具有一定之管制手段，爰參考日本個資法第一百五十七條至第一百五十九條，及南韓個資法第六十四條第三項，於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。又本項所定限期改正，以公務機關經主管機關認定有違反本法規定之情事為發動要件；如屬日常稽核發現之一般作業缺失或待改善事項，則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。

三、公務機關受主管機關限期改正者，如未能依限改正，其違法情形堪稱重大，爰於第二項明定主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正與處置，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關應公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、公務機關有違反本法規定之情事時，由主管機關令其限期改正後回復及處置。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督時具有一定之管制手段，爰參考日本個資法第一百五十七條至第一百五十九條，及南韓個資法第六十四條第三項，於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。又本項所定限期改正，以公務機關經主管機關認定有違反本法規定之情事為發動要件；如屬日常稽核發現之一般作業缺失或待改善事項，則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。

三、公務機關受主管機關限期改正者，如未能依限改正，其違法情形堪稱重大，爰於第二項明定主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督時具有一定之管制手段，爰參考日本個資法第一百五十七條至第一百五十九條，及南韓個資法第六十四條第三項，於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。又本項所定限期改正，以公務機關經主管機關認定有違反本法規定之情事為發動要件；如屬日常稽核發現之一般作業缺失或待改善事項，則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。

三、公務機關受主管機關限期改正者，如未能依限改正，其違法情形堪稱重大，爰於第二項明定主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督時具有一定之管制手段，爰參考日本個資法第一百五十七條至第一百五十九條，及南韓個資法第六十四條第三項，於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。又本項所定限期改正，以公務機關經主管機關認定有違反本法規定之情事為發動要件；如屬日常稽核發現之一般作業缺失或待改善事項，則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。

三、公務機關受主管機關限期改正者，如未能依限改正，其違法情形堪稱重大，爰於第二項明定主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機關應依限為適當之改正，並應將改正情形以書面答覆主管機關。

公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。

公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規定予以懲戒、懲處或懲罰。

立法說明

一、本條新增。

二、為賦予主管機關對公務機關監督之管制手段，爰於第一項明定主管機關對於違反本法之公務機關，得視違失情節令其限期改正，並課予公務機關適當改正與書面答覆義務。

三、第二項明定公務機關受主管機關限期改正卻未能依期限改正者，主管機關得公布其名稱及其違法情形。

四、為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入，並適當究責，爰於第三項明定公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依公務員懲戒法、公務人員考績法、陸海空軍懲罰法等相關規定予以懲戒、懲處或懲罰。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、按國家情報工作法第四條第一項規定，國家情報工作，應受立法院監督；第五條規定情報機關應建立督察機制，並辦理反制間諜及有關情報工作之紀律、保密、安全查核等事項。茲考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、按國家情報工作法第四條第一項規定，國家情報工作，應受立法院監督；第五條規定情報機關應建立督察機制，並辦理反制間諜及有關情報工作之紀律、保密、安全查核等事項。茲考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、鑑於情報機關依國家情報法規定，係受立法院監督，且情報機關及工作內容具有特殊性，爰明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、按國家情報工作法第四條第一項規定，國家情報工作，應受立法院監督；第五條規定情報機關應建立督察機制，並辦理反制間諜及有關情報工作之紀律、保密、安全查核等事項。茲考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、按國家情報工作法第四條第一項規定，國家情報工作，應受立法院監督；第五條規定情報機關應建立督察機制，並辦理反制間諜及有關情報工作之紀律、保密、安全查核等事項。茲考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、按國家情報工作法第四條第一項規定，國家情報工作，應受立法院監督；第五條規定情報機關應建立督察機制，並辦理反制間諜及有關情報工作之紀律、保密、安全查核等事項。茲考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制相關規定。

本節之規定，於情報機關不適用之。

立法說明

一、本條新增。

二、考量情報機關及工作內容之特殊性，所涉個人資料已與情報或機密內容高度重疊，爰於本條明定情報機關不適用本節公務機關內、外部監督機制之相關規定。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

對非公務機關之監督

立法說明

一、節名新增。

二、理由同第三章之一修正說明二。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

對非公務機關之監督

立法說明

一、節名新增。

二、對應第一節增訂「對公務機關之監督」之節名及相關規定，爰新增節名，以資區隔。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：

一、通知非公務機關或其相關人員陳述意見。

二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。

三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。

主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字。

二、非公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，亦應建立差異化檢查機制，妥適決定發動檢查之對象、次序及頻率等，以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二，修正第一項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

三、考量實務上個案情狀不一，基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款，並審酌非公務機關類型繁多，主管機關仍可能有會同目的事業主管機關或其他機關執行之需求，故明定主管機關得視個案情境，決定自行或會同有關機關進入檢查。

四、第二項移列為第三項，並配合第一項酌作修正；又第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰參考南韓個資法第六十三條第三項及第四項規定，增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。
主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字。

二、非公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，亦應建立差異化檢查機制，妥適決定發動檢查之對象、次序及頻率等，以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二，修正第一項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

三、考量實務上個案情狀不一，基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款，並審酌非公務機關類型繁多，主管機關仍可能有會同目的事業主管機關或其他機關執行之需求，故明定主管機關得視個案情境，決定自行或會同有關機關進入檢查。又該款所定會同檢查機制，旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔，提升檢查效率，並得與目的事業主管機關之其他檢查併同進行，與本條第五項之專業協力或第七項之行政協助，尚有不同，併此敘明。

四、第二項移列為第三項，並配合第一項酌作修正；又第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰參考南韓個資法第六十三條第三項及第四項規定，增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認為有必要時，得依下列方式進行檢查：
一、通知非公務機關或其相關人員陳述意見。

二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。
主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。
第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市（縣、市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

配合個資會的成立與其監理權限調整，主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而有必要時，得進行檢查，並明定檢查的方式、程序及應注意事項。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。
主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字。

二、非公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，亦應建立差異化檢查機制，妥適決定發動檢查之對象、次序及頻率等，以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二，修正第一項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

三、考量實務上個案情狀不一，基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款，並審酌非公務機關類型繁多，主管機關仍可能有會同目的事業主管機關或其他機關執行之需求，故明定主管機關得視個案情境，決定自行或會同有關機關進入檢查。又該款所定會同檢查機制，旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔，提升檢查效率，並得與目的事業主管機關之其他檢查併同進行，與本條第五項之專業協力或第七項之行政協助，尚有不同，併此敘明。

四、第二項移列為第三項，並配合第一項酌作修正；又第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰參考南韓個資法第六十三條第三項及第四項規定，增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。
主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。
對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字。

二、非公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，亦應建立差異化檢查機制，妥適決定發動檢查之對象、次序及頻率等，以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二，修正第一項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

三、考量實務上個案情狀不一，基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款，並審酌非公務機關類型繁多，主管機關仍可能有會同目的事業主管機關或其他機關執行之需求，故明定主管機關得視個案情境，決定自行或會同有關機關進入檢查。又該款所定會同檢查機制，旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔，提升檢查效率，並得與目的事業主管機關之其他檢查併同進行，與本條第五項之專業協力或第七項之行政協助，尚有不同，併此敘明。

四、第二項移列為第三項，並配合第一項酌作修正；又第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰參考南韓個資法第六十三條第三項及第四項規定，增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。
主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字。

二、非公務機關對個人資料之蒐集、處理、利用及管理，依其業務性質、營運模式或科技運用而有相當之差異，事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃，除針對已具有違法跡證者外，亦應建立差異化檢查機制，妥適決定發動檢查之對象、次序及頻率等，以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二，修正第一項規定，於主管機關發現非公務機關有違反本法之虞，或雖尚無疑似違法情事，但參酌當下國內、外整體個人資料法令遵循及資安保護等，評估有進一步了解其落實本法情形及以公權力介入之必要者，始得發動行政檢查，並新增第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法，以提高執法可預見性及可行性。

三、考量實務上個案情狀不一，基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款，並審酌非公務機關類型繁多，主管機關仍可能有會同目的事業主管機關或其他機關執行之需求，故明定主管機關得視個案情境，決定自行或會同有關機關進入檢查。又該款所定會同檢查機制，旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔，提升檢查效率，並得與目的事業主管機關之其他檢查併同進行，與本條第五項之專業協力或第七項之行政協助，尚有不同，併此敘明。

四、第二項移列為第三項，並配合第一項酌作修正；又第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰參考南韓個資法第六十三條第三項及第四項規定，增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而認有必要時，得依下列方式進行檢查：

一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要之說明、配合措施或提供相關證明資料。

前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關事項之辦法，由主管機關定之。

主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人員共同為之。

參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並應注意被檢查者之名譽。

第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，明定主管機關對非公務機關之行政檢查權，爰酌修現行第一項至第三項關於中央目的事業主管機關、直轄市、縣（市）政府權限之文字，並規定於本條第一項。考量實務上個案樣態不同，並基於比例原則，宜提供主管機關干預程度不同之檢查方式，以供適切選擇運用，爰將第一項所定命為必要說明、配合措施或提供證明資料等，改列第一款、第二款分別規範及酌修文字；進入檢查之程序及配套方式，則移列第三款。

二、增訂第二項，就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素，及有賴其他機關協力之事項等，授權主管機關另定相關事項之辦法。

三、第二項移列為第三項，並配合第一項酌作修正。

四、第四項之檢查配合義務，修正為「無正當理由」不得規避、妨礙或拒絕，以適當控管檢查權之行使，並酌作文字修正。

五、現行第三項、第五項，分別移列至第五項及第六項，並酌修文字。

六、第一項第三款雖已規定主管機關得會同有關機關進入檢查，惟考量非公務機關類型及業務範疇廣泛，不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等，皆可能因不同之檢查情境，而須在檢查前、中、後獲得權責或專業機關（構）之資源、技術等實質措施或協助，始能竟其功，爰增訂第七項請求行政協助之規定，後續並依行政程序法第十九條規定辦理，以完備主管機關之檢查職能。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項未修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項未修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

配合第二十二條修正，酌作文字修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項未修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項未修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項未修正。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

立法說明

一、配合前條第二項修正後移列為第三項，酌修第一項文字。

二、第二項內容未修正。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項至第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項至第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項至第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項至第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項至第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向主管機關聲明異議。

前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或命銷燬違法蒐集之個人資料。

四、公布非公務機關之違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或令銷毀違法蒐集之個人資料。

四、公布違法情形，及其姓名或名稱與負責人。

主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

立法說明

配合修正條文第一條之一主管機關個資會之成立，爰修正第一項序文及第二項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並酌修第一項第三款文字。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行條文原涉及中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行條文原涉及中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行條文原涉及中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行條文原涉及中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行條文原涉及中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

立法說明

配合修正條文第一條之一主管機關個資會之成立，爰修正現行條文有關中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。另依目前司法實務見解，本條所定意圖之構成要件，關於「為自己或第三人不法之利益」一節，限於財產上利益；「損害他人之利益」一節，則不以財產上利益為限，併此敘明。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。另依目前司法實務見解，本條所定意圖之構成要件，關於「為自己或第三人不法之利益」一節，限於財產上利益；「損害他人之利益」一節，則不以財產上利益為限，併此敘明。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。另依目前司法實務見解，本條所定意圖之構成要件，關於「為自己或第三人不法之利益」一節，限於財產上利益；「損害他人之利益」一節，則不以財產上利益為限，併此敘明。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。另依目前司法實務見解，本條所定意圖之構成要件，關於「為自己或第三人不法之利益」一節，限於財產上利益；「損害他人之利益」一節，則不以財產上利益為限，併此敘明。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

立法說明

配合修正條文第一條之一主管機關個資會之成立，並考量修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除現行條文關於中央目的事業主管機關之文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌修文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌修文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌修文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌修文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌修文字。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正序文中央目的事業主管機關及直轄市、縣（市）政府權限之相關文字，改為主管機關個資會之權限。

二、配合修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使，爰刪除第四款關於中央目的事業主管機關之文字，並酌作文字修正。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。

四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。

二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。

三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。
非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條、第十二條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

配合個資會的成立與其監管權的調整，及相關條文的修正，酌作文字及條號項次的修正。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。
非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。
非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。
非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十七條第一項規定。
二、違反依第二十七條第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十七條增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。
非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者，則新增第二項處罰規定，毋庸先令其限期改正即可逕予處罰。

三、第二項及第三項遞移為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條或第十三條規定。

三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。

四、違反第二十條第二項或第三項規定。

非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰：
一、違反第二十條之一第一項規定。

二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。

三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

立法說明

一、配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正現行第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣（市）政府權限之文字，改為主管機關個資會之權限。

二、為配合修正條文第十二條關於事故通知義務之修正，及事故通報義務之增訂，督促非公務機關確實執行，爰於第一項第三款及第二項增訂對應之罰則。其中，通知義務係為使當事人得以及時獲悉個人資料事故之發生，以自主維護其權益，而應變措施、紀錄保存或通報義務主要係為控管危害，並使主管機關得及時掌握事態及日後進行查驗，立法意旨及違失情節尚有不同，爰針對違反通知當事人義務者，於第一項第三款單獨規定處罰事由，並應先令非公務機關限期改正；現行第一項第三款，遞移為第四款。

三、增訂第二項處罰規定，對違反個人資料事故通報、應變措施、紀錄保存等義務者，逕予處罰，並令其限期改善。

四、現行條文第二項及第三項移列為第三項及第四項，並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並配合修正條文第二十二條第四項酌修文字。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並配合修正條文第二十二條第四項酌修文字。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並配合修正條文第二十二條第四項酌修文字。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並配合修正條文第二十二條第四項酌修文字。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。

立法說明

配合修正條文第一條之一主管機關個資會之成立，修正中央目的事業主管機關及直轄市、縣（市）政府權限之文字，並配合修正條文第二十二條第四項內容酌修文字。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起五年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體，涵蓋範圍廣泛，鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大等現實情況，監管事權劃一尚難以一蹴可幾，為避免於主管機關個個人資料保護委員會甫成立時，貿然倉促全部變動現有監管權限導致衝擊影響過大，亦難以確保監管效能，允宜設計過渡機制，漸進達成非公務機關個人資料保護事務監督權限之一元化，爰明定於主管機關成立之日起五年內，部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣（市）政府併同業務活動監管之相關原則及配套措施。是以，自主管機關成立之日起滿五年時，前開非公務機關均由主管機關管轄，併予敘明。

三、第一項規定相關條文所列監管非公務機關之行政檢查與裁處等權責事項，得由主管機關報請行政院公告一定範圍之非公務機關，於過渡期間仍暫時維持由各該中央目的事業主管機關或直轄市、縣（市）政府繼續併其業務監管；另第二項設計「定期檢討、逐步變動」機制，由主管機關每二年會商相關機關，審酌主管機關之人力、資源整備情形、各類型非公務機關之監管情況等，分階段報請行政院將第一項之公告範圍逐步減列，減列之非公務機關之行政檢查與裁處等權責事項即不再由中央目的事業主管機關或直轄市、縣（市）政府管轄，而改由主管機關管轄，以逐步達成事權劃一之政策目標。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起四年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每一年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、為因應漸進達成非公務機關個人資料保護事務監督權限之一元化，增訂權限變動之過渡條款，明定主管機關得報請行政院公告一定範圍之非公務機關，於四年之過渡期間，仍暫時維持由中央目的事業主管機關或直轄市（縣、市）政府監管其個人資料保護事項，分階段將該監管權限逐步改由個資會管轄，及各該目的事業主管機關於過渡期間之相關執法配套機制。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起六年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體，涵蓋範圍廣泛，鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大等現實情況，監管事權劃一尚難以一蹴可幾，為避免於主管機關個資會甫成立時，貿然倉促全部變動現有監管權限導致衝擊影響過大，亦難以確保監管效能，允宜設計過渡機制，漸進達成非公務機關個人資料保護事務監督權限之一元化，爰明定於主管機關成立之日起六年內，部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣（市）政府併同業務活動監管之相關原則及配套措施。是以，自主管機關成立之日起滿六年時，前開非公務機關均由主管機關管轄，併予敘明。

三、第一項規定相關條文所列監管非公務機關之行政檢查與裁處等權責事項，得由主管機關報請行政院公告一定範圍之非公務機關，於過渡期間仍暫時維持由各該中央目的事業主管機關或直轄市、縣（市）政府繼續併其業務監管；並參考日本個人情報保護委員會完成監理一元化整體所費時間，明定過渡期間為主管機關成立之日起六年。另第二項設計「定期檢討、逐步變動」機制，由主管機關每二年會商相關機關，審酌主管機關之人力、資源整備情形、各類型非公務機關之監管情況等，分階段報請行政院將第一項之公告範圍逐步減列，減列之非公務機關之行政檢查與裁處等權責事項即不再由中央目的事業主管機關或直轄市、縣（市）政府管轄，而改由主管機關管轄，以逐步達成事權劃一之政策目標。

四、因應過渡期間內，中央目的事業主管機關對於特定業別之監管，仍有繼續援用依現行第二十七條第三項授權訂定之辦法，或新訂、修正個人資料檔案安全維護辦法之需求，爰參酌現行第二十七條第二項及第三項，增訂第三項及第四項規定，明文賦予其相關權限。又為整體提升我國個人資料檔案安全維護能力，各該中央目的事業主管機關新訂或修正相關安全維護辦法，均應比照主管機關依修正條文第二十條之一第二項所定辦法，不得低於其基礎水平，並得配合行業特性採取更嚴格之內容或基準。至於非屬第三項指定之非公務機關，則適用修正條文第二十條之一第二項所定辦法，併予敘明。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起六年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體，涵蓋範圍廣泛，鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大等現實情況，監管事權劃一尚難以一蹴可幾，為避免於主管機關個資會甫成立時，貿然倉促全部變動現有監管權限導致衝擊影響過大，亦難以確保監管效能，允宜設計過渡機制，漸進達成非公務機關個人資料保護事務監督權限之一元化，爰明定於主管機關成立之日起六年內，部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣（市）政府併同業務活動監管之相關原則及配套措施。是以，自主管機關成立之日起滿六年時，前開非公務機關均由主管機關管轄，併予敘明。

三、第一項規定相關條文所列監管非公務機關之行政檢查與裁處等權責事項，得由主管機關報請行政院公告一定範圍之非公務機關，於過渡期間仍暫時維持由各該中央目的事業主管機關或直轄市、縣（市）政府繼續併其業務監管；並參考日本個人情報保護委員會完成監理一元化整體所費時間，明定過渡期間為主管機關成立之日起六年。另第二項設計「定期檢討、逐步變動」機制，由主管機關每二年會商相關機關，審酌主管機關之人力、資源整備情形、各類型非公務機關之監管情況等，分階段報請行政院將第一項之公告範圍逐步減列，減列之非公務機關之行政檢查與裁處等權責事項即不再由中央目的事業主管機關或直轄市、縣（市）政府管轄，而改由主管機關管轄，以逐步達成事權劃一之政策目標。

四、因應過渡期間內，中央目的事業主管機關對於特定業別之監管，仍有繼續援用依現行第二十七條第三項授權訂定之辦法，或新訂、修正個人資料檔案安全維護辦法之需求，爰參酌現行第二十七條第二項及第三項，增訂第三項及第四項規定，明文賦予其相關權限。又為整體提升我國個人資料檔案安全維護能力，各該中央目的事業主管機關新訂或修正相關安全維護辦法，均應比照主管機關依修正條文第二十條之一第二項所定辦法，不得低於其基礎水平，並得配合行業特性採取更嚴格之內容或基準。至於非屬第三項指定之非公務機關，則適用修正條文第二十條之一第二項所定辦法，併予敘明。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起六年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體，涵蓋範圍廣泛，鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一，且整體數量龐大等現實情況，監管事權劃一尚難以一蹴可幾，為避免於主管機關個資會甫成立時，貿然倉促全部變動現有監管權限導致衝擊影響過大，亦難以確保監管效能，允宜設計過渡機制，漸進達成非公務機關個人資料保護事務監督權限之一元化，爰明定於主管機關成立之日起六年內，部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣（市）政府併同業務活動監管之相關原則及配套措施。是以，自主管機關成立之日起滿六年時，前開非公務機關均由主管機關管轄，併予敘明。

三、第一項規定相關條文所列監管非公務機關之行政檢查與裁處等權責事項，得由主管機關報請行政院公告一定範圍之非公務機關，於過渡期間仍暫時維持由各該中央目的事業主管機關或直轄市、縣（市）政府繼續併其業務監管；並參考日本個人情報保護委員會完成監理一元化整體所費時間，明定過渡期間為主管機關成立之日起六年。另第二項設計「定期檢討、逐步變動」機制，由主管機關每二年會商相關機關，審酌主管機關之人力、資源整備情形、各類型非公務機關之監管情況等，分階段報請行政院將第一項之公告範圍逐步減列，減列之非公務機關之行政檢查與裁處等權責事項即不再由中央目的事業主管機關或直轄市、縣（市）政府管轄，而改由主管機關管轄，以逐步達成事權劃一之政策目標。

四、因應過渡期間內，中央目的事業主管機關對於特定業別之監管，仍有繼續援用依現行第二十七條第三項授權訂定之辦法，或新訂、修正個人資料檔案安全維護辦法之需求，爰參酌現行第二十七條第二項及第三項，增訂第三項及第四項規定，明文賦予其相關權限。又為整體提升我國個人資料檔案安全維護能力，各該中央目的事業主管機關新訂或修正相關安全維護辦法，均應比照主管機關依修正條文第二十條之一第二項所定辦法，不得低於其基礎水平，並得配合行業特性採取更嚴格之內容或基準。至於非屬第三項指定之非公務機關，則適用修正條文第二十條之一第二項所定辦法，併予敘明。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日起六年內，得由主管機關報請行政院公告一定範圍之非公務機關，仍由中央目的事業主管機關或直轄市、縣（市）政府管轄。

主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一定範圍之非公務機關。

中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之；並得為更嚴格之規定。

立法說明

一、本條新增。

二、按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體，涵蓋範圍廣泛，鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一且整體數量龐大。為確保整體監管效能於轉軌過程中得以維持，不至於造成過大衝擊，爰建立過渡機制，於第一項明定主管機關成立之日起六年內，部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣（市）政府併同業務活動監管之相關原則及配套措施，並自主管機關成立之日起滿六年時，前開非公務機關均改由主管機關管轄。

三、第二項明定過渡機制，以定期檢討、逐步變動之方式，由主管機關每二年會商相關機關，審酌主管機關之人力、資源整備情形及各類型非公務機關之監管情況等，分階段報請行政院將第一項之公告範圍逐步減列，以達成事權劃一之政策目標。

四、因應過渡期間內，中央目的事業主管機關對於特定業別之監管，仍有繼續援用現行辦法，或新訂、修正個人資料檔案安全維護辦法之需求，爰增訂第三項及第四項規定；又為整體提升我國個人資料檔案安全維護能力，各該中央目的事業主管機關新訂或修正相關安全維護辦法，均應比照主管機關依修正條文第二十條之一第二項所定辦法，不得低於其基礎水平，並得配合行業特性採取更嚴格之內容或基準。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關（構）、行政法人或公益團體辦理。

依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

一、第一項前段所定得為權限移轉之範圍增列第十二條第二項，授權主管機關得將通報之受理或轉知權限委託或委辦其他機關（構）、行政法人或公益團體辦理，並修正定明所援引之第二十二條項次，使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定，與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同，考量終局處分或決定仍較適宜由主管機關進行最終審認判斷，爰修正限縮本條適用範圍為行政檢查相關作業。

二、配合修正條文第五十一條之一規定，在過渡期間內，因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣（市）政府管轄，實務上中央目的事業主管機關或直轄市、縣（市）政府仍可能有權限移轉之必要，爰新增第二項明定其權限移轉之依據，且仍限於行政檢查相關作業。

三、第一項後段關於保密義務之規定，移列第三項；第三項遞移為第四項，並均酌修文字。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委任或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關委託或委辦其他機關構）行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

配合個資會之成立及部分非公務機關監管權限之過渡機制，修正主管機關、中央目的事業主管機關及直轄市（縣、市）政府關於行政檢查之權限移轉相關規範。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關（構）、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

一、第一項前段所定得為權限移轉之範圍增列第十二條第二項，授權主管機關得將通報之受理或轉知權限委託或委辦其他機關（構）、行政法人或公益團體辦理，並修正定明所援引之第二十二條項次，使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定，與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同，考量終局處分或決定仍較適宜由主管機關進行最終審認判斷，爰修正限縮本條適用範圍為行政檢查相關作業。

二、配合修正條文第五十一條之一規定，在過渡期間內，因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣（市）政府管轄，實務上中央目的事業主管機關或直轄市、縣（市）政府仍可能有權限移轉之必要，爰新增第二項明定其權限移轉之依據，且仍限於行政檢查相關作業。

三、第一項後段關於保密義務之規定，移列第三項；第三項遞移為第四項，並均酌修文字。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關（構）、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

一、第一項前段所定得為權限移轉之範圍增列第十二條第二項，授權主管機關得將通報之受理或轉知權限委託或委辦其他機關（構）、行政法人或公益團體辦理，並修正定明所援引之第二十二條項次，使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定，與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同，考量終局處分或決定仍較適宜由主管機關進行最終審認判斷，爰修正限縮本條適用範圍為行政檢查相關作業。

二、配合修正條文第五十一條之一規定，在過渡期間內，因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣（市）政府管轄，實務上中央目的事業主管機關或直轄市、縣（市）政府仍可能有權限移轉之必要，爰新增第二項明定其權限移轉之依據，且仍限於行政檢查相關作業。

三、第一項後段關於保密義務之規定，移列第三項；第三項遞移為第四項，並均酌修文字。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關（構）、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

一、第一項前段所定得為權限移轉之範圍增列第十二條第二項，授權主管機關得將通報之受理或轉知權限委託或委辦其他機關（構）、行政法人或公益團體辦理，並修正定明所援引之第二十二條項次，使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定，與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同，考量終局處分或決定仍較適宜由主管機關進行最終審認判斷，爰修正限縮本條適用範圍為行政檢查相關作業。

二、配合修正條文第五十一條之一規定，在過渡期間內，因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣（市）政府管轄，實務上中央目的事業主管機關或直轄市、縣（市）政府仍可能有權限移轉之必要，爰新增第二項明定其權限移轉之依據，且仍限於行政檢查相關作業。

三、第一項後段關於保密義務之規定，移列第三項；第三項遞移為第四項，並均酌修文字。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其他機關（構）、行政法人或公益團體辦理。

於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關（構）、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉或持有之資料，負保密義務。

第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

立法說明

一、第一項前段所定得為權限移轉之範圍增列第十二條第二項，授權主管機關得將通報之受理或轉知權限委託或委辦其他機關（構）、行政法人或公益團體辦理，並修正定明所援引之第二十二條項次，使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定，與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同，考量終局處分或決定仍較適宜由主管機關進行最終審認判斷，爰修正限縮本條適用範圍為行政檢查相關作業。

二、配合修正條文第五十一條之一規定，在過渡期間內，因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣（市）政府管轄，實務上中央目的事業主管機關或直轄市、縣（市）政府仍可能有權限移轉之必要，爰新增第二項明定其權限移轉之依據，且仍限於行政檢查相關作業。

三、第一項後段關於保密義務之規定，移列第三項；第三項遞移為第四項，並均酌修文字。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合修正條文第一條之一主管機關個人資料保護委員會之成立及其監理權限，修正本條規定。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合個資會的成立及其監管權的調整，酌作文字修正。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、主管機關個人資料保護委員會之組織定位為中央行政機關組織基準法第三條第二款定義之「獨立機關」，依據法律獨立行使職權，自主運作，除法律另有規定外，不受其他機關指揮監督。

三、又參照司法院釋字第六一三號解釋理由書所示：「承認獨立機關之存在，其主要目的僅在法律規定範圍內，排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。」倘若不服主管機關依本法所為之行政處分，仍適用訴願法第四條第七款規定，而由行政院管轄並進行訴願審議，恐生違背上開解釋旨趣，影響主管機關行使獨立機關職權之疑慮。爰參考公平交易法第四十八條、有線廣播電視法第七十五條之一、廣播電視法第五十條之二、衛星廣播電視法第六十六條之一等規定，於第一項明定，對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序，並於第三項、第四項規定本法本次修正施行前，尚未提起或終結之訴願事件處置方式。

四、另各中央目的事業主管機關或直轄市、縣（市）政府於過渡期間內依本法所為之行政處分，與主管機關基於獨立機關地位所為之行政處分不同，故不適用第一項規定；又依訴願法第五條第二項規定：「訴願管轄，法律另有規定依其業務監督定之者，從其規定。」為利統一個人資料保護法令解釋及見解，發揮獨立監督機關之功能，就具體個案之行政處分審視其適法性及妥適性，爰於第二項特別規定以主管機關為此類訴願案件之管轄機關。惟如中央目的事業主管機關屬獨立機關者，尚不因其裁處依據為本法，而喪失其個案決定之獨立特性，故於第二項但書明定，受處分人仍應逕以行政訴訟救濟。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願，但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、配合個資會之成立，增訂對主管機關依本法所為之行政處分不服者，應逕提行政訴訟救濟，以符獨立機關特性；另針對過渡期間，規定提起訴願之相關機制，及本法本次修正施行前尚未提起或終結之訴願事件之處理。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、主管機關個資會之組織定位為中央行政機關組織基準法第三條第二款定義之「獨立機關」，依據法律獨立行使職權，自主運作，除法律另有規定外，不受其他機關指揮監督。

三、又參照司法院釋字第六一三號解釋理由書所示：「承認獨立機關之存在，其主要目的僅在法律規定範圍內，排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。」倘若不服主管機關依本法所為之行政處分，仍適用訴願法第四條第七款規定，而由行政院管轄並進行訴願審議，恐生違背上開解釋旨趣，影響主管機關行使獨立機關職權之疑慮。爰參考公平交易法第四十八條、有線廣播電視法第七十五條之一、廣播電視法第五十條之二、衛星廣播電視法第六十六條之一等規定，於第一項明定，對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序，並於第三項、第四項規定本法本次修正施行前，尚未提起或終結之訴願事件處置方式。

四、另各中央目的事業主管機關或直轄市、縣（市）政府於過渡期間內依本法所為之行政處分，與主管機關基於獨立機關地位所為之行政處分不同，故不適用第一項規定；又依訴願法第五條第二項規定：「訴願管轄，法律另有規定依其業務監督定之者，從其規定。」為利統一個人資料保護法令解釋及見解，發揮獨立監督機關之功能，就具體個案之行政處分審視其適法性及妥適性，爰於第二項特別規定以主管機關為此類訴願案件之管轄機關。惟如中央目的事業主管機關屬獨立機關者，尚不因其裁處依據為本法，而喪失其個案決定之獨立特性，故於第二項但書明定，受處分人仍應逕以行政訴訟救濟。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、主管機關個資會之組織定位為中央行政機關組織基準法第三條第二款定義之「獨立機關」，依據法律獨立行使職權，自主運作，除法律另有規定外，不受其他機關指揮監督。

三、又參照司法院釋字第六一三號解釋理由書所示：「承認獨立機關之存在，其主要目的僅在法律規定範圍內，排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。」倘若不服主管機關依本法所為之行政處分，仍適用訴願法第四條第七款規定，而由行政院管轄並進行訴願審議，恐生違背上開解釋旨趣，影響主管機關行使獨立機關職權之疑慮。爰參考公平交易法第四十八條、有線廣播電視法第七十五條之一、廣播電視法第五十條之二、衛星廣播電視法第六十六條之一等規定，於第一項明定，對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序，並於第三項、第四項規定本法本次修正施行前，尚未提起或終結之訴願事件處置方式。

四、另各中央目的事業主管機關或直轄市、縣（市）政府於過渡期間內依本法所為之行政處分，與主管機關基於獨立機關地位所為之行政處分不同，故不適用第一項規定；又依訴願法第五條第二項規定：「訴願管轄，法律另有規定依其業務監督定之者，從其規定。」為利統一個人資料保護法令解釋及見解，發揮獨立監督機關之功能，就具體個案之行政處分審視其適法性及妥適性，爰於第二項特別規定以主管機關為此類訴願案件之管轄機關。惟如中央目的事業主管機關屬獨立機關者，尚不因其裁處依據為本法，而喪失其個案決定之獨立特性，故於第二項但書明定，受處分人仍應逕以行政訴訟救濟。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、主管機關個資會之組織定位為中央行政機關組織基準法第三條第二款定義之「獨立機關」，依據法律獨立行使職權，自主運作，除法律另有規定外，不受其他機關指揮監督。

三、又參照司法院釋字第六一三號解釋理由書所示：「承認獨立機關之存在，其主要目的僅在法律規定範圍內，排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。」倘若不服主管機關依本法所為之行政處分，仍適用訴願法第四條第七款規定，而由行政院管轄並進行訴願審議，恐生違背上開解釋旨趣，影響主管機關行使獨立機關職權之疑慮。爰參考公平交易法第四十八條、有線廣播電視法第七十五條之一、廣播電視法第五十條之二、衛星廣播電視法第六十六條之一等規定，於第一項明定，對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序，並於第三項、第四項規定本法本次修正施行前，尚未提起或終結之訴願事件處置方式。

四、另各中央目的事業主管機關或直轄市、縣（市）政府於過渡期間內依本法所為之行政處分，與主管機關基於獨立機關地位所為之行政處分不同，故不適用第一項規定；又依訴願法第五條第二項規定：「訴願管轄，法律另有規定依其業務監督定之者，從其規定。」為利統一個人資料保護法令解釋及見解，發揮獨立監督機關之功能，就具體個案之行政處分審視其適法性及妥適性，爰於第二項特別規定以主管機關為此類訴願案件之管轄機關。惟如中央目的事業主管機關屬獨立機關者，尚不因其裁處依據為本法，而喪失其個案決定之獨立特性，故於第二項但書明定，受處分人仍應逕以行政訴訟救濟。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。

於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者，直接適用行政訴訟程序。

對本法中華民國○年○月○日修正之條文施行前依本法所為之行政處分不服，於修正施行後提起訴願者，應向主管機關為之。

本法中華民國○年○月○日修正之條文施行前已受理尚未終結之訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

立法說明

一、本條新增。

二、主管機關個資會之組織定位為中央行政機關組織基準法第三條第二款定義之「獨立機關」，依據法律獨立行使職權，自主運作，除法律另有規定外，不受其他機關指揮監督。

三、參照司法院釋字第六一三號解釋理由書所示：「承認獨立機關之存在，其主要目的僅在法律規定範圍內，排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。」倘若不服主管機關依本法所為之行政處分，仍適用訴願法第四條第七款規定，而由行政院管轄並進行訴願審議，恐生違背上開解釋意旨，影響主管機關行使獨立機關職權之疑慮。爰參考公平交易法第四十八條、有線廣播電視法第七十五條之一、廣播電視法第五十條之二及衛星廣播電視法第六十六條之一等規定，於第一項明定，對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序，並於第三項、第四項規定本法本次修正施行前，尚未提起或終結之訴願事件處置方式。

四、另各中央目的事業主管機關或直轄市、縣（市）政府於過渡期間內依本法所為之行政處分，與主管機關基於獨立機關地位所為之行政處分不同，故不適用第一項規定；又依訴願法第五條第二項規定：「訴願管轄，法律另有規定依其業務監督定之者，從其規定。」為利統一個人資料保護法令解釋及見解，發揮獨立監督機關之功能，就具體個案之行政處分審視其適法性及妥適性，爰於第二項特別規定以主管機關為此類訴願案件之管轄機關。惟如中央目的事業主管機關屬獨立機關者，尚不因其裁處依據為本法，而喪失其個案決定之獨立特性，故於第二項但書明定，受處分人仍應逕以行政訴訟救濟。

主管機關應設立個人資料保護諮詢及權益協助平台，提供民眾協助、法律諮詢及教育資源，並定期辦理教育推廣及培訓課程。

各級政府應配合推廣資料素養教育，將個人資料保護納入公民教育課程規劃。

立法說明

一、本條新增。

二、個人資料保護涉及民眾日常生活與數位權益，隨科技發展與資料應用範疇日益擴大，民眾對個人資料的掌握、權利行使、風險辨識能力，與非公務機關尤其是中小企業的合規知能，均亟需提升。

三、為落實《憲法》第二十二條所保障之資訊隱私權，並強化個資保護法制的可行性與社會效能，明定主管機關應設立「個人資料保護諮詢及權益協助平台」，提供法律諮詢、申訴輔導及資料素養教育資源，並與各中央及地方機關協力推動個資保護教育，納入國民教育與終身學習體系。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個人資料保護委員會之成立及其監理權限，修正本條規定。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

本法施行細則，由主管機關定之。

立法說明

配合修正條文第一條之一主管機關個資會之成立及其監理權限，修正本條規定。

設定比較對象：個人資料保護法