選擇版本
綠色為新增 紅色為刪除
第一條之一
原條文
112/05/16 修正版本
本法之主管機關為個人資料保護委員會。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
114/10/17 修正版本
第一條之二
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
中央及地方各級政府應致力配合推動達成本法立法目的之具體措施,確保其所轄公務機關及所管非公務機關,於執行職務及業務時遵守本法規定,共同建構安全可信賴之個人資料保護環境。
為落實個人資料保護相關事項,主管機關得召開個人資料保護政策推進會議;其運作方式及其他相關事項之辦法,由主管機關定之。
為落實個人資料保護相關事項,主管機關得召開個人資料保護政策推進會議;其運作方式及其他相關事項之辦法,由主管機關定之。
第十二條
原條文
112/05/16 修正版本
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
114/10/17 修正版本
說明
一、原條文列為第一項,並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏(以下簡稱事故),為使所列事故類型及用語與前揭條文一致,將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故,包括未經個人資料保有機關授權,而遭內部或外部惡意接觸、取用或破壞之情形(Data Breach),均係涉及公務、非公務機關之個人資料安全維護義務是否落實,與公務、非公務機關本身是否合法蒐集、處理或利用個人資料,係屬二事。原「或其他侵害」一語,易生誤解,爰併予刪除。
二、公務機關或非公務機關保有之個人資料發生事故者(以下簡稱事故機關),其應於知悉事故發生後通知當事人之目的,在使當事人知悉該事故,俾其自主評估、關注可能之權益損害,原條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」,惟適時採取應對作為,與事故機關是否違反本法規定,尚無直接關聯,違法責任之確認,並非構成通知義務之要件或前提,且所謂「查明後」通知當事人之時點,實務上亦有相當爭議。爰參考歐盟一般資料保護規則(General Data Protection Regu-lation,以下簡稱GDPR)第三十四條第一項、日本個人情報保護法(以下簡稱日本個資法)第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定,刪除「違反本法規定」及「查明後」兩項要件,並於第四項授權主管機關訂定通知之內容、方式、時限等事項,俾事故機關妥適履行其通知義務。
三、原條文並未明定事故機關之通報義務,本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」,亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定,恐使主管機關對於公務機關或非公務機關之個人資料事故發生,無法及時獲悉並按其影響程度進行適切之調查及協助,除影響監理效能外,亦可能導致事故機關之忽視及怠於處理,顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時,於符合一定通報範圍時負有主動通報之義務,並為兼顧不同事故樣態,參考南韓個資法第三十四條與該法施行令第四十條,及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例,另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。
四、關於第二項所定事故通報之受理權限,如公務機關發生事故,除通報主管機關外,尚應基於公務體系層級節制之固有職務監督關係,循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故,基於主管機關之獨立監督角色、減少通報對象之認定疑義,且修正條文第五十一條之一僅為過渡措施,爰事故機關應向主管機關通報;同時考量個人資料安全維護與非公務機關之業務活動密切相關,其業務監理機關亦有掌握事故訊息之需求,故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者,自仍應一併通報之。
五、公務機關或非公務機關對於個人資料之法令遵循與管理,實務上主要採取PDCA循環(即Plan計畫-Do執行-Check查核-Act行動)之方法論,持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現,事故機關發現事故發生,即應視事故規模、態樣及可能之影響範圍,採行適當之應變機制,避免損害擴大,此為當事人權益保障之關鍵,是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施,惟在規範強度及位階上仍顯不足,爰將事故機關之應變義務,提升至法律位階,明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏,是包括該事故之事實、所生影響,與事故機關所採取之應變作為等,對於上開PDCA循環之持續推動改善及主管機關之監理等,毋寧具有高度價值,相關紀錄自應予適度保存,以備主管機關查驗。
六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外,第三項所定應變措施及紀錄保存等相關具體事宜,亦應建立適當機制及程序以利遵循,爰於第四項授權主管機關訂定相關事項之辦法。
二、公務機關或非公務機關保有之個人資料發生事故者(以下簡稱事故機關),其應於知悉事故發生後通知當事人之目的,在使當事人知悉該事故,俾其自主評估、關注可能之權益損害,原條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」,惟適時採取應對作為,與事故機關是否違反本法規定,尚無直接關聯,違法責任之確認,並非構成通知義務之要件或前提,且所謂「查明後」通知當事人之時點,實務上亦有相當爭議。爰參考歐盟一般資料保護規則(General Data Protection Regu-lation,以下簡稱GDPR)第三十四條第一項、日本個人情報保護法(以下簡稱日本個資法)第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定,刪除「違反本法規定」及「查明後」兩項要件,並於第四項授權主管機關訂定通知之內容、方式、時限等事項,俾事故機關妥適履行其通知義務。
三、原條文並未明定事故機關之通報義務,本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」,亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定,恐使主管機關對於公務機關或非公務機關之個人資料事故發生,無法及時獲悉並按其影響程度進行適切之調查及協助,除影響監理效能外,亦可能導致事故機關之忽視及怠於處理,顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時,於符合一定通報範圍時負有主動通報之義務,並為兼顧不同事故樣態,參考南韓個資法第三十四條與該法施行令第四十條,及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例,另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。
四、關於第二項所定事故通報之受理權限,如公務機關發生事故,除通報主管機關外,尚應基於公務體系層級節制之固有職務監督關係,循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故,基於主管機關之獨立監督角色、減少通報對象之認定疑義,且修正條文第五十一條之一僅為過渡措施,爰事故機關應向主管機關通報;同時考量個人資料安全維護與非公務機關之業務活動密切相關,其業務監理機關亦有掌握事故訊息之需求,故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者,自仍應一併通報之。
五、公務機關或非公務機關對於個人資料之法令遵循與管理,實務上主要採取PDCA循環(即Plan計畫-Do執行-Check查核-Act行動)之方法論,持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現,事故機關發現事故發生,即應視事故規模、態樣及可能之影響範圍,採行適當之應變機制,避免損害擴大,此為當事人權益保障之關鍵,是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施,惟在規範強度及位階上仍顯不足,爰將事故機關之應變義務,提升至法律位階,明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏,是包括該事故之事實、所生影響,與事故機關所採取之應變作為等,對於上開PDCA循環之持續推動改善及主管機關之監理等,毋寧具有高度價值,相關紀錄自應予適度保存,以備主管機關查驗。
六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外,第三項所定應變措施及紀錄保存等相關具體事宜,亦應建立適當機制及程序以利遵循,爰於第四項授權主管機關訂定相關事項之辦法。
第十八條
原條文
112/05/16 修正版本
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
114/10/17 修正版本
說明
一、個人資料保護法令遵循制度之建構及落實,須以組織整體作為考量,從組織全景、內外部關注方之需要與期望出發,審酌部門及跨部門流程等各項環節,據以規劃及執行。準此,若能安排具個人資料保護專業之成員,或具備此等機能之角色,將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動,規劃建立個人資料保護長機制之政策,並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響,及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實,爰本次修法優先由公務機關推動實施,新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任,負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責(包括但不限於第二項所定者),俾相關管理機制由上而下形成,強化公務機關內部控制制度。
二、原條文所定專人機制,移列為第二項,並考量公務機關保有個人資料檔案已屬常態,與修正條文第二十條之一之非公務機關不同,爰刪除「保有個人資料檔案」等語。
三、目前公務機關辦理個人資料檔案安全維護事項,係各自就其實際組織及業務情況,依本法施行細則第二十四條規定,訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度,並促進其規範事項具有一致性,以強化公務機關對於個人資料之保護與管理,確保在不同職務下,均能達到一定水準,爰增訂第二項後段規定,授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。
四、按個人資料保護長、受指派協助之人員與專人,分別負有公務機關整體個人資料保護事務之統籌推動,及辦理公務機關個人資料檔案安全維護之職責,均應有適當之權益保障機制,並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障;另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。
五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項,爰新增第五項授權主管機關訂定相關事項之辦法。
二、原條文所定專人機制,移列為第二項,並考量公務機關保有個人資料檔案已屬常態,與修正條文第二十條之一之非公務機關不同,爰刪除「保有個人資料檔案」等語。
三、目前公務機關辦理個人資料檔案安全維護事項,係各自就其實際組織及業務情況,依本法施行細則第二十四條規定,訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度,並促進其規範事項具有一致性,以強化公務機關對於個人資料之保護與管理,確保在不同職務下,均能達到一定水準,爰增訂第二項後段規定,授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。
四、按個人資料保護長、受指派協助之人員與專人,分別負有公務機關整體個人資料保護事務之統籌推動,及辦理公務機關個人資料檔案安全維護之職責,均應有適當之權益保障機制,並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障;另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。
五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項,爰新增第五項授權主管機關訂定相關事項之辦法。
第二十條之一
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
第二十一條
原條文
112/05/16 修正版本
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立,將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性,國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響,爰主管機關宜先會商相關中央目的事業主管機關,充分瞭解特定產業國際傳輸個人資料之需求,並妥為評估限制方式之適切性及必要性,併此敘明。
原條文
112/05/16 修正版本
114/10/17 修正版本
原條文
112/05/16 修正版本
114/10/17 修正版本
第二十一條之一
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形;無上級機關或監督機關者,依下列各款規定辦理:
一、總統府、國家安全會議及五院,向主管機關提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向主管機關提出。
三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。
公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應向稽核機關提出改善報告,並由稽核機關審查後,連同稽核結果送交主管機關。
稽核機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。
一、總統府、國家安全會議及五院,向主管機關提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向主管機關提出。
三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。
公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應向稽核機關提出改善報告,並由稽核機關審查後,連同稽核結果送交主管機關。
稽核機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。
第二十一條之二
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
主管機關應定期或不定期稽核公務機關之個人資料保護管理事項實施情形;必要時,得請求前條第二項所定稽核機關協助。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應提出改善報告,送交依前條第一項規定收受其實施情形之機關審查後,由該審查機關送交主管機關。
前項審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。
依前條及本條參與稽核之人員,對於因執行稽核所知悉或持有之資料,負保密義務。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應提出改善報告,送交依前條第一項規定收受其實施情形之機關審查後,由該審查機關送交主管機關。
前項審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。
依前條及本條參與稽核之人員,對於因執行稽核所知悉或持有之資料,負保密義務。
第二十一條之三
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
公務機關有違反本法規定之虞時,主管機關得請公務機關提出資料及說明,或派員攜帶執行職務證明文件進行實地檢查,除依法規規定有保密之必要者外,公務機關及其相關人員有配合之義務。
前項實地檢查,必要時得請求第二十一條之一第二項所定稽核機關協助。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務。
前項實地檢查,必要時得請求第二十一條之一第二項所定稽核機關協助。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務。
第二十一條之四
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
公務機關有違反本法規定之情事者,由主管機關令其限期改正,該公務機關應依限為適當之改正,並應將改正情形以書面答覆主管機關。
公務機關未依前項規定改正者,主管機關得公布其名稱及其違法情形。
公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關法令規定予以懲戒、懲處或懲罰。
公務機關未依前項規定改正者,主管機關得公布其名稱及其違法情形。
公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關法令規定予以懲戒、懲處或懲罰。
第二十一條之五
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
本節之規定,於情報機關不適用之。
原條文
112/05/16 修正版本
114/10/17 修正版本
第二十二條
原條文
112/05/16 修正版本
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣 (市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣 (市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
114/10/17 修正版本
說明
一、配合修正條文第一條之一主管機關個資會之成立及其監理權限,明定主管機關對非公務機關之行政檢查權,爰酌修原第一項至第三項關於中央目的事業主管機關、直轄市、縣(市)政府權限之文字。
二、非公務機關對個人資料之蒐集、處理、利用及管理,依其業務性質、營運模式或科技運用而有相當之差異,事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃,除針對已具有違法跡證者外,亦應建立差異化檢查機制,妥適決定發動檢查之對象、次序及頻率等,以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二,修正第一項規定,於主管機關發現非公務機關有違反本法之虞,或雖尚無疑似違法情事,但參酌當下國內、外整體個人資料法令遵循及資安保護等,評估有進一步了解其落實本法情形及以公權力介入之必要者,始得發動行政檢查,並新增第二項,就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素,及有賴其他機關協力之事項等,授權主管機關另定相關事項之辦法,以提高執法可預見性及可行性。
三、考量實務上個案情狀不一,基於比例原則,宜提供主管機關干預程度不同之檢查方式,以供適切選擇運用,爰將第一項所定命為必要說明、配合措施或提供證明資料等,改列第一款、第二款分別規範及酌修文字;進入檢查之程序及配套方式,則移列第三款,並審酌非公務機關類型繁多,主管機關仍可能有會同目的事業主管機關或其他機關執行之需求,故明定主管機關得視個案情境,決定自行或會同有關機關進入檢查。又該款所定會同檢查機制,旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔,提升檢查效率,並得與目的事業主管機關之其他檢查併同進行,與本條第五項之專業協力或第七項之行政協助,尚有不同,併此敘明。
四、第二項移列為第三項,並配合第一項酌作修正;又第四項之檢查配合義務,修正為「無正當理由」不得規避、妨礙或拒絕,以適當控管檢查權之行使,並酌作文字修正。
五、原第三項、第五項,分別移列至第五項及第六項,並酌修文字。
六、第一項第三款雖已規定主管機關得會同有關機關進入檢查,惟考量非公務機關類型及業務範疇廣泛,不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等,皆可能因不同之檢查情境,而須在檢查前、中、後獲得權責或專業機關(構)之資源、技術等實質措施或協助,始能竟其功,爰參考南韓個資法第六十三條第三項及第四項規定,增訂第七項請求行政協助之規定,後續並依行政程序法第十九條規定辦理,以完備主管機關之檢查職能。
二、非公務機關對個人資料之蒐集、處理、利用及管理,依其業務性質、營運模式或科技運用而有相當之差異,事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃,除針對已具有違法跡證者外,亦應建立差異化檢查機制,妥適決定發動檢查之對象、次序及頻率等,以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二,修正第一項規定,於主管機關發現非公務機關有違反本法之虞,或雖尚無疑似違法情事,但參酌當下國內、外整體個人資料法令遵循及資安保護等,評估有進一步了解其落實本法情形及以公權力介入之必要者,始得發動行政檢查,並新增第二項,就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素,及有賴其他機關協力之事項等,授權主管機關另定相關事項之辦法,以提高執法可預見性及可行性。
三、考量實務上個案情狀不一,基於比例原則,宜提供主管機關干預程度不同之檢查方式,以供適切選擇運用,爰將第一項所定命為必要說明、配合措施或提供證明資料等,改列第一款、第二款分別規範及酌修文字;進入檢查之程序及配套方式,則移列第三款,並審酌非公務機關類型繁多,主管機關仍可能有會同目的事業主管機關或其他機關執行之需求,故明定主管機關得視個案情境,決定自行或會同有關機關進入檢查。又該款所定會同檢查機制,旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔,提升檢查效率,並得與目的事業主管機關之其他檢查併同進行,與本條第五項之專業協力或第七項之行政協助,尚有不同,併此敘明。
四、第二項移列為第三項,並配合第一項酌作修正;又第四項之檢查配合義務,修正為「無正當理由」不得規避、妨礙或拒絕,以適當控管檢查權之行使,並酌作文字修正。
五、原第三項、第五項,分別移列至第五項及第六項,並酌修文字。
六、第一項第三款雖已規定主管機關得會同有關機關進入檢查,惟考量非公務機關類型及業務範疇廣泛,不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等,皆可能因不同之檢查情境,而須在檢查前、中、後獲得權責或專業機關(構)之資源、技術等實質措施或協助,始能竟其功,爰參考南韓個資法第六十三條第三項及第四項規定,增訂第七項請求行政協助之規定,後續並依行政程序法第十九條規定辦理,以完備主管機關之檢查職能。
第二十三條
原條文
112/05/16 修正版本
對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。
扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
114/10/17 修正版本
說明
一、配合前條第二項修正後移列為第三項,酌修第一項文字。
二、第二項未修正。
二、第二項未修正。
第二十四條
原條文
112/05/16 修正版本
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。
前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正第一項至第三項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
第二十五條
原條文
112/05/16 修正版本
非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正第一項序文及第二項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,並酌修第一項第三款文字。
第二十六條
原條文
112/05/16 修正版本
中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正原條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
第二十七條
原條文
112/05/16 修正版本
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
114/10/17 修正版本
(刪除)
說明
一、本條刪除。
二、本條已移列至修正條文第二十條之一規範,爰予刪除。
二、本條已移列至修正條文第二十條之一規範,爰予刪除。
第四十一條
原條文
112/05/16 修正版本
意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除原條文關於中央目的事業主管機關之文字。另依目前司法實務見解,本條所定意圖之構成要件,關於「為自己或第三人不法之利益」一節,限於財產上利益;「損害他人之利益」一節,則不以財產上利益為限,併此敘明。
第四十七條
原條文
112/05/16 修正版本
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正序文中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除第四款關於中央目的事業主管機關之文字,並酌修文字。
第四十八條
原條文
112/05/16 修正版本
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
114/10/17 修正版本
說明
一、配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正原第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
二、為配合修正條文第十二條關於事故通知義務之修正,及事故通報義務之增訂,督促非公務機關確實執行,爰於第一項第三款及第二項增訂對應之罰則。其中,通知義務係為使當事人得以及時獲悉個人資料事故之發生,以自主維護其權益,而應變措施、紀錄保存或通報義務主要係為控管危害,並使主管機關得及時掌握事態及日後進行查驗,立法意旨及違失情節尚有不同,爰針對違反通知當事人義務者,於第一項第三款單獨規定處罰事由,並應先令非公務機關限期改正;原第一項第三款,遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者,則新增第二項處罰規定,毋庸先令其限期改正即可逕予處罰。
三、第二項及第三項遞移為第三項及第四項,並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。
二、為配合修正條文第十二條關於事故通知義務之修正,及事故通報義務之增訂,督促非公務機關確實執行,爰於第一項第三款及第二項增訂對應之罰則。其中,通知義務係為使當事人得以及時獲悉個人資料事故之發生,以自主維護其權益,而應變措施、紀錄保存或通報義務主要係為控管危害,並使主管機關得及時掌握事態及日後進行查驗,立法意旨及違失情節尚有不同,爰針對違反通知當事人義務者,於第一項第三款單獨規定處罰事由,並應先令非公務機關限期改正;原第一項第三款,遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者,則新增第二項處罰規定,毋庸先令其限期改正即可逕予處罰。
三、第二項及第三項遞移為第三項及第四項,並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。
第四十九條
原條文
112/05/16 修正版本
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正中央目的事業主管機關及直轄市、縣(市)政府權限之文字,並配合修正條文第二十二條第四項酌修文字。
第五十一條之一
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項,於主管機關成立之日起六年內,由主管機關報請行政院公告一定範圍之非公務機關,仍由中央目的事業主管機關或直轄市、縣(市)政府管轄。
主管機關應每二年會商相關機關後,報請行政院調整減列前項公告所定一定範圍之非公務機關。
中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法,由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之;並得為更嚴格之規定。
主管機關應每二年會商相關機關後,報請行政院調整減列前項公告所定一定範圍之非公務機關。
中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法,由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之;並得為更嚴格之規定。
第五十二條
原條文
112/05/16 修正版本
第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。
前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
114/10/17 修正版本
說明
一、第一項前段所定得為權限移轉之範圍增列第十二條第二項,授權主管機關得將通報之受理或轉知權限委託或委辦其他機關(構)、行政法人或公益團體辦理,並修正定明所援引之第二十二條項次,使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定,與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同,考量終局處分或決定仍較適宜由主管機關進行最終審認判斷,爰修正限縮本條適用範圍為行政檢查相關作業。
二、配合修正條文第五十一條之一規定,在過渡期間內,因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣(市)政府管轄,實務上中央目的事業主管機關或直轄市、縣(市)政府仍可能有權限移轉之必要,爰新增第二項明定其權限移轉之依據,且仍限於行政檢查相關作業。
三、第一項後段關於保密義務之規定,移列第三項;第三項遞移為第四項,並均酌修文字。
二、配合修正條文第五十一條之一規定,在過渡期間內,因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣(市)政府管轄,實務上中央目的事業主管機關或直轄市、縣(市)政府仍可能有權限移轉之必要,爰新增第二項明定其權限移轉之依據,且仍限於行政檢查相關作業。
三、第一項後段關於保密義務之規定,移列第三項;第三項遞移為第四項,並均酌修文字。
第五十三條
原條文
112/05/16 修正版本
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正本條規定。
第五十三條之一
此條文為新增條文,無原條文可比對。
114/10/17 修正版本
對主管機關依本法所為之行政處分不服者,直接適用行政訴訟程序。
於第五十一條之一第一項、第二項公告範圍內之非公務機關,對中央目的事業主管機關或直轄市、縣(市)政府依本法所為之行政處分不服者,向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者,直接適用行政訴訟程序。
對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行政處分不服,於修正施行後提起訴願者,應向主管機關為之。
本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之訴願事件,於修正施行後仍由原受理訴願機關依訴願法規定終結之。
於第五十一條之一第一項、第二項公告範圍內之非公務機關,對中央目的事業主管機關或直轄市、縣(市)政府依本法所為之行政處分不服者,向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者,直接適用行政訴訟程序。
對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行政處分不服,於修正施行後提起訴願者,應向主管機關為之。
本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之訴願事件,於修正施行後仍由原受理訴願機關依訴願法規定終結之。
第五十五條
原條文
112/05/16 修正版本
本法施行細則,由法務部定之。
114/10/17 修正版本
說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正本條規定。
