邱鎮軍
陳超明
選擇章節
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、婚姻、家庭、教育、職業、病歷、醫療、基因、生物特徵、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、婚姻、家庭、教育、職業、病歷、醫療、基因、生物特徵、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
修正第一款,指紋亦屬於一般社會通念之「特徵」,而與指紋類似、同具有專屬性、識別特定個人之資料,如虹膜及透過臉部影像擷取之特徵值等,並未被特別列入個人資料定義。考量該等資料皆屬於生物特徵範疇,而倘有其他非屬於生物特徵之其他特徵,亦可含括於「其他得以直接或間接方式識別該個人之資料」,並配合第六條第一項,調整個人資料例示順序。
第六條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
有關病歷、醫療、基因、生物特徵、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
依第一項規定大規模、系統性蒐集、處理或利用個人資料前,應辦理個人資料保護影響評估,並公開評估結果。
前項個人資料保護影響評估項目、程序、方法及結果公開等事項之辦法,由主管機關另定之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
依第一項規定大規模、系統性蒐集、處理或利用個人資料前,應辦理個人資料保護影響評估,並公開評估結果。
前項個人資料保護影響評估項目、程序、方法及結果公開等事項之辦法,由主管機關另定之。
立法說明
一、修正第一項,查九十九年五月二十六日本條修正理由略以:「按個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害。是以,一九九五年歐盟「資料保護指令」(95/46/EC)、德國聯邦「個人資料保護法」第十三條及奧地利聯邦「個人資料保護法」等外國立法例,均有特種(敏感)資料不得任意蒐集、處理或利用之規定。經審酌我國國情與民眾之認知,爰規定有關……個人資料,其蒐集、處理或利用應較一般個人資料更為嚴格,須符合所列要件,始得為之,以加強保護個人之隱私權。……」考量歐盟二○一八年施行之GDPR第九條第一項有關特種個人資料之規定,已將生物特徵資料納入規範,又我國司法院釋字第六○三號解釋理由書意旨,認指紋等生物特徵資料具有人各不同、終身不變等特性,與個人身分連結,即屬具備高度人別辨識功能之一種個人資訊。
二、增訂第三項,歐盟GDPR第三十五條明定,採用新科技方式處理個人資料,且考量該處理之本質、範圍、利用情形或目的後,認為可能對當事人之權利或自由造成高度風險時,控管者應進行個資保護影響評估,特別是針對人民系統性、大規模評價並據以做成具法律效力之決定、大規模處理GDPR第九條第一項之特種個人資料和第十條之前科與犯罪資料,及涉及大規模、系統性之公共場所監督等情況下,更應辦理該項影響評估;評估內容至少應包括:該處理運作方式之系統性描述、處理目的、控管者所欲達成之合法利益、必要性與合比例性、對當事人權利與自由侵害之風險評估、因應該風險方式及保護措施等。歐盟「執法領域使用臉部辨識指引」亦要求執法機關於使用臉部辨識技術前,應辦理個人資料保護影響評估,並公布該評估結果。
三、增訂第四項,個人資料保護影響評估相關細節性事項,授權由主管機關另定之。
二、增訂第三項,歐盟GDPR第三十五條明定,採用新科技方式處理個人資料,且考量該處理之本質、範圍、利用情形或目的後,認為可能對當事人之權利或自由造成高度風險時,控管者應進行個資保護影響評估,特別是針對人民系統性、大規模評價並據以做成具法律效力之決定、大規模處理GDPR第九條第一項之特種個人資料和第十條之前科與犯罪資料,及涉及大規模、系統性之公共場所監督等情況下,更應辦理該項影響評估;評估內容至少應包括:該處理運作方式之系統性描述、處理目的、控管者所欲達成之合法利益、必要性與合比例性、對當事人權利與自由侵害之風險評估、因應該風險方式及保護措施等。歐盟「執法領域使用臉部辨識指引」亦要求執法機關於使用臉部辨識技術前,應辦理個人資料保護影響評估,並公布該評估結果。
三、增訂第四項,個人資料保護影響評估相關細節性事項,授權由主管機關另定之。
