第一章 總則
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
立法說明
鑒於本法保護客體不再限於經電腦處理之個人資料,且本法規範行為除個人資料之處理外,將擴及至包括蒐集及利用行為,爰將本條修正為「為規範個人資料之蒐集、處理及利用」,以資明確。
本法之主管機關為個人資料保護委員會。
自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
立法說明
一、本條新增。
二、就個人資料之保護而言,除應以法律明確訂定蒐集、處理及利用個人資料之目的及要件外,應對所蒐集之個人資料採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨。前述組織上與程序上必要之防護措施中,個人資料保護之獨立監督機制為重要之關鍵制度。此一獨立監督機制之目的,在於確保個人資料蒐集、處理及利用者,均符合本法規定(憲法法庭一百十一年憲判字第十三號判決參照)。考量本法需監督之對象廣泛、監督職權複雜且涉及公權力行政事項,採設置統籌性之獨立監督機關,擔任本法主管機關,以完足憲法第二十二條對人民資訊隱私權之保障,爰於第一項明定本法之主管機關為個人資料保護委員會。有關該獨立監督機關之組織,將依中央行政機關組織基準法第四條第一項第二款規定,另以法律定之。
三、第二項增訂自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
一、條次變更,本條為原條文第三條移列。
二、將序文「如左」修正為「如下」,以符合法制用語。
三、本法所保障之法益為人格權,惟個人資料種類繁多,第一款關於「個人資料之定義」,除原條文例示之日常生活中經常被蒐集、處理及利用之個人資料外,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,爰參考一九九五年歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條,將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,以期周全。
四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨,爰修正第二款關於「個人資料檔案」之定義。
五、由於蒐集個人資料之行為態樣繁多,有直接向當事人蒐集者;有間接從第三人取得者,為落實保護個人資料隱私權益,爰參考德國聯邦個人資料保護法第三條規定,修正第四款「蒐集」之定義。
六、配合本法保護客體放寬之修正意旨,爰將原條文第三款「電腦處理」中「電腦」二字刪除,並將款次移列至第四款。另原條文「電腦處理」之定義包括資料之傳遞,易遭誤解為傳遞給外部之第三人,而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」,以資明確。
七、原條文第五款對於「利用」之定義,係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為),是否屬本法所稱之利用行為,滋生疑義。準此,爰參考德國聯邦個人資料保護法第一條規定,並將文字予以精簡,修正「利用」之定義。
八、原條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」?抑或為「提供當事人以外第三人之利用」?易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」,並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理),例如:總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等;或將資料提供當事人以外第三人(屬資料利用),例如:母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關,只要該資料作跨國(境)之傳輸,不論是屬處理或利用行為,皆屬本法所稱之「國際傳輸」。
九、由於執行公務爾後將不限中央或地方機關,行政法人之組織型態亦將成為其中之一,爰將原條文第六款公務機關之定義,納入行政法人,以期周全,並改列款次為第七款。
十、為配合本法放寬規範主體之修正意旨,爰修正原條文第七款非公務機關之定義,並改列款次為第八款。
十一、本條係定義規定,而「特定目的」及「資料類別」之指定,並非屬定義事項,爰將原條文第九款之「特定目的」及原條文第十條第二項之「資料類別」予以合併規定,並移列至第六章附則第五十二條規定。
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
立法說明
一、條次變更,本條為原條文第四條移列。
二、將序文所定「左列」修正為「下列」,以符合法制用語。
三、當事人查詢其個人資料與請求閱覽得分別為之,是以將第一款之「及」字,修正為「或」字。
四、配合第二條第四款「處理」之定義規定,爰將第四款「電腦處理」中「電腦」二字予以刪除,並將「蒐集」亦列為得請求停止之事項,另「及利用」修正為「或利用」,以資明確。
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
立法說明
一、條次變更,本條為原條文第五條移列。
二、受公務機關或非公務機關委託之事項,並不只限於處理資料,蒐集或利用資料均有可能,爰將「委託處理」修正為「委託蒐集、處理或利用」。另為期簡潔明確,將原條文之「資料」修正為「個人資料」;「團體或個人」,修正為「者」;「委託機關之人」,修正為「委託機關」。
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
立法說明
一、條次變更,本條為原條文第六條移列。
二、將個人資料之處理行為,亦納入本條之適用範圍,以期周延。
三、為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
立法說明
照協商條文通過。
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
立法說明
照協商條文通過。
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
立法說明
照協商條文通過。
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
立法說明
一、本條新增。
二、蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。是以,第一項明定間接蒐集個人資料者(因屬間接蒐集,自無從於蒐集時併為告知),應於該資料處理或利用前,告知當事人資料來源及前條第一項第一款至第五款所列事項(第六款情形係屬當事人直接提供資料,於間接蒐集行為,無從適用)。
三、間接蒐集當事人之個人資料時,原則上應於處理該資料或利用前,告知當事人第一項所列事項。惟在部分特別情況下,告知恐有不宜或無必要,爰於第二項規定間接蒐集得免告知當事人之情形,其各款立法理由如次:
(一)第一款規定於直接蒐集個人資料時,得免告知義務,在間接蒐集時,亦得免為告知,理由詳如前條說明。
(二)間接蒐集之個人資料,如係當事人自行公開揭露或其他合法公開之資料,對其隱私權應無侵害之虞,自得免為告知,爰為第二款之規定。
(三)為保護當事人之權益,第一項規定間接蒐集個人資料時,應告知當事人相關事項。惟客觀上顯然不能向當事人告知時,例如:當事人失蹤不知去向、昏迷不醒,亦無法得知其法定代理人為何人時,自無從告知。
(四)基於統計或學術研究目的,經常會以間接蒐集方式蒐集個人資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可免除告知當事人之義務。
(五)由於大眾傳播業者基於報導新聞之目的,經常以間接方式蒐集特定人之個人資料,且為確認報導事實並取得採訪當事人之畫面及意見,事實上經常在第一時間即與當事人直接面對面溝通對話,實際上已對當事人為處理或利用前之告知,因而在此實無規定免為告知之必要。又民間團體(台灣人權促進會)亦建議不應以特定身分作為排除告知義務之規範對象,如大眾傳播業者基於法令或本條其他款次要件有免除告知義務之必要者,自得依相關規定為之。另有關兒童及少年之保護措施中,依兒童及少年福利法第46 條規定對於法定特殊情況之兒童及少年,不得報導及記載其姓名或其他足以識別身分之資訊;此外,依我國傳播媒體之自律規範,亦須以降低傷害及兒童隱私應謹慎處理之精神為目標,因而採訪兒童及少年時,因非屬純獲法律上之利益或依其年齡及身分日常生活所必需,仍應得到其法定代理人之同意始得為之,且不得以照片報導兒童及少年之個人詳情。從而大眾傳播業在進行新聞採訪及報導前,需盡到告知當事人及其法定代理人之最大隱私保護措施後,始得為新聞報導等個人資料之處理或利用。
(六)如當事人不認同蒐集機關適用本條第二項之規定而免為告知時,得依本法第三條規定請求查詢或閱覽,被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由,請求補為告知,或依第十一條第四項規定,請求蒐集機關刪除、停止處理或利用該個人資料,併予敘明。
四、在間接蒐集個人資料之情形,原則上應於處理或利用前,向當事人告知個人資料來源等事項,但如能於首次對當事人為利用時(例如:對當事人進行商品行銷),併同告知,不但能提高效率,亦可減少勞費,且無損於當事人之權益,爰為第三項規定。
五、參考一九九五年歐盟資料保護指令(95/46/EC)第九條、第十一條、第十三條、德國聯邦個人資料保護法第十九a條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第五十條等。
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
立法說明
一、條次變更,本條為原條文第十二條移列。
二、當事人得請求答覆查詢、提供閱覽或製給複製本之對象,不限於向公務機關,亦應包括非公務機關。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「另「保有之個人資料檔案」亦修正為「蒐集之個人資料」,以期適用明確,其各款修正理由如次:
(一)依第三條規定,當事人就其個人資料有查詢或請求閱覽及製給複製本等權利,且不得預先拋棄或以特約限制。本此意旨,公務機關或非公務機關自應盡量依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本;為確保當事人之權利,爰將第一款修正限縮為限於妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益者,始得拒絕。
(二)原條文第二款及第三款規定之「有……之虞」屬不確定法律概念,為免適用上發生疑義,爰刪除「之虞」二字。另第二款之「妨害公務執行」,應限於「妨害公務機關法定職務之執行」,爰併予修正。
(三)有些特殊性質資料,如提供當事人查詢、閱覽或製給複製本時,恐會洩漏資料蒐集者之業務秘密或妨害其重大利益。為此,第三款爰增加「該蒐集機關」之要件,以期周全。
公務機關或非公務機關」。
公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
立法說明
照協商條文通過。
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
立法說明
一、本條新增。
二、按當事人之個人資料遭受違法侵害,往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等),迅速通知當事人,讓其知曉。
三、公務機關違反本條規定而隱匿不為通知者,其上級機關應查明後令其改正,如有失職人員,得依法懲處;非公務機關違反本條規定而隱匿不為通知者,其主管機關得依第四十七條第二款規定限期改正,屆期仍不改正者,得按次處以行政罰鍰,併予敘明。
公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
立法說明
一、條次變更,本條為原條文第十五條移列。
二、第一項修正理由如次:
(一)本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
(二)當事人依第十條規定,請求查詢、閱覽其個人資料或製給複製本時,資料蒐集機關應儘速處理。原條文規定需在三十日內處理,似嫌過長,對當事人不利,是以將准駁決定之期間,由「三十日」修正為「十五日」。另個人資料種類及數量繁多,如申請人數眾多,十五日恐不及辦理,是以另規定必要時得予延長,但不得逾十五日,且應將延長原因以書面通知請求人,讓其知曉。
三、當事人依第十一條規定,請求更正、補充,或請求刪除、停止蒐集、處理或利用其個人資料,因需較多時間查證該資料之正確性或其請求是否合理,十五日內恐無法處理完畢,爰增訂第二項,將此種情形之准駁決定期間,規定為三十日,必要時得予延長,但不得逾三十日,且應將延長原因以書面通知請求人。
四、當事人向公務機關或非公務機關請求查詢、閱覽、製給複製本,或請求更正、補充、刪除、停止蒐集、處理或利用其個人資料,遭駁回拒絕或未於規定期間內決定時,得依相關法律提起訴願或訴訟,自不待言。
查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。
立法說明
一、條次變更,本條為原條文第十六條移列。
二、本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
三、由於資料種類及蒐集、處理方式繁多,關於查詢、請求閱覽個人資料或製給複製本之費用,宜由各蒐集處理機關視該資料之性質酌予收取為妥,不宜由各機關或中央目的事業主管機關訂定,爰刪除第二項及原條文第二十六條第二項規定,並明定收取之費用以必要成本費用為限。
第二章 公務機關對個人資料之蒐集、處理及利用
公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
立法說明
照協商條文通過。
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
立法說明
照協商條文通過。
公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
立法說明
一、條次變更,本條為原條文第十條移列。
二、鑑於目前國人使用網際網路極為普遍,因此公務機關依原條文規定應公告事項,如能張貼公開於機關電腦網站,將更有利於民眾查閱,惟慮及城鄉差距及電腦使用普及率等等因素,仍保留其他供公眾查閱之適當方式,例如:刊登政府公報等。
三、為便利人民行使第三條所列權利,爰於第二款後段增列「及聯絡方式」五字。
四、為求行政程序之簡便,爰刪除第三款、第六款至第十款等無公開必要之款次;原條文第四款及第五款依序移列為第三款及第四款。
五、原條文第二項有關個人資料類別之訂定,已於修正條文第五十二條規定,爰予刪除。
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
立法說明
一、條次變更,本條為原條文第十七條移列。
二、原條文之「依相關法令」應屬贅言,爰予刪除。
第三章 非公務機關對個人資料之蒐集、處理及利用
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
立法說明
照協商條文通過。
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
立法說明
照協商條文通過。
非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
立法說明
一、條次變更,本條為原條文第二十四條移列。
二、「傳遞」二字究指內部之傳送(處理行為)亦或提供給外部第三人(利用行為),易滋疑義。爰將「國際傳遞及利用」修正為「國際傳輸」,並將「國際傳輸」於第二條第六款明定其定義,包括資料之處理與利用,以資明確。
三、將「左列」修正為「下列」,以符合法制用語。
四、鑑於違反本條限制規定,將受有第四十條規定之刑罰與第四十六條規定之行政罰,本條所定國際傳輸之限制,宜由中央目的事業主管機關為之,較為妥適,爰作修正。
五、中央目的事業主管機關發現有本條所列各款情形之一,應限制非公務機關國際傳輸個人資料者,得視事實狀況,以命令或個別之行政處分限制之,併予敘明。
六、第四款文字配合修正,增列(地區)二字。
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣 (市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
立法說明
一、條次變更,本條為原條文第二十五條移列。
二、第一項修正理由如次:
(一)按適用本法之非公務機關,業已取消行業別之限制,亦即任何自然人、法人或團體均有本法之適用。基於落實保護個人資料隱私權益之立法意旨,自宜設立專責機關為主管機關,但在未設立專責機關之前,由何機關為本法之主管機關,在認定與權責劃分上,實有窒礙之處。查現今社會中個人資料已為各個行業不可或缺之資訊,上至銀行、電信公司,下至私人診所、錄影帶店均會蒐集顧客之個人資料並建立檔案,成為經營該業務重要之一環。由於各個行業均有其目的事業主管機關,有屬中央者,有屬地方者,而個人資料之蒐集、處理或利用,與該事業之經營關係密切,應屬該事業之附屬業務,自宜由原各該主管機關,一併監督管理與其業務相關之個人資料保護事項,較為妥適。因此,本修正條文不作有關「本法之主管機關」定義性規定,至於原條文規定「目的事業主管機關」應辦理之事項,於各條文中,直接修正由「中央目的事業主管機關或直轄市政府、縣市)政府」辦理,以資明確,避免爭議。
(二)為落實個人資料之保護,應賦予監督機關有命令、檢查及處分權,爰修正第一項,規定中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入該非公務機關檢查或要求說明、提供相關證明資料,以強化監督機關之權責。
三、檢查人員發現非公務機關違反本法規定,如將所有儲存媒介物設備予以查扣,恐有違比例原則,爰於第二項規定,檢查時依行政罰法相關規定發現得沒入或可為證據之個人資料或檔案,而有扣留或複製之必要者,得予扣留或複製之。此外,以電腦儲存之資料檔案,其消磁、刪除或移轉非常快速,如檢查時未能即時扣留或複製,該違法資料或證據極易被湮滅或消除,檢查機關亦得依行政罰法相關規定,要求應扣留或複製物之所有人、持有人或保管人提出或交付,且於遇訂第五項明定因檢查而知悉他人資料者,應負保密義務,不得洩漏。
對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。
扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
立法說明
一、本條新增。
二、第一項明定扣留物或複製物應加具識別之標示,並為適當之處理,以確保其安全。
三、扣留物或複製物除應沒入或因調查他案而有留存之必要者,應繼續扣留外,如無必要留存,或決定不予處罰或未為沒入之裁處者,應即發還,以保障民眾權益。爰為第二項規定。
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。
前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
立法說明
一、本條新增。
二、當事人或物之所有人、持有人、保管人、利害關係人,對檢查或扣留、複製資料檔案行為認有違法或不當時,應有表示不服聲明異議之權利,以為救濟,爰增訂第一項。
三、增訂第二項,明定對於當事人等聲明之異議,執行檢查之機關認有理由者,應立即停止或變更其行為;認無理由者,得繼續執行。但因當事人等得於日後對此檢查或其他強制、扣留或複製行為,提起救濟,是以經其請求時,應將聲明異議之理由製作紀錄交付之,不得拒絕。
四、第三項明定當事人等對於聲明異議之決定不服時,僅得於對該案件之實體決定聲明不服時一併聲明之,不得單獨提起救濟;至於當事人等依法不得對該案件之實體決定聲明不服時,則可單獨對第一項之檢查、扣留、複製或其他強制行為,逕行提起行政訴訟,以保障其權利。
非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
立法說明
一、本條新增。
二、中央目的事業主管機關或直轄市、縣(市)政府,發現非公務機關蒐集、處理或利用個人資料有違反本法規定之情形者,除依法裁處罰鍰外,自應採取必要之處分,以保護當事人之權益不被繼續侵害。為期處分種類明確起見,爰於第一項規定得為之處分包括:禁止蒐集、處理或利用個人資料;命令刪除該違法蒐集處理之個人資料檔案;對違法蒐集或處理之個人資料予以沒入或命銷燬;公布姓名、名稱與負責人及違法情形等。
三、中央目的事業主管機關或直轄市、縣(市)政府在作前項之處分時,應注意該非公務機關之權益,採取對其損害最少之方式為之,不得逾越必要範圍,以符合比例原則,爰為第二項之規定。
中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
立法說明
一、本條新增。
二、檢查結果雖未發現有違法情事,中央目的事業主管機關或直轄市、縣(市)政府(檢查機關),經徵得被檢查之非公務機關同意,仍得公布檢查結果,以昭公信,爰為本條規定。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
立法說明
一、條次變更,本條為原條文第二十六條移列。
二、第一項修正理由如次:
(一)非公務機關準用原條文第十二條、第十三條、第十五條、第十六條第一項規定,已分別於修正條文第十條、第十一條、第十三條及第十四條明定之,爰刪除原條文第一項有關上開規定之準用及第二項規定。
(二)非公務機關雖不再準用公務機關「指定專人依相關法令辦理安全維護事項」之規定,惟對於所保有之個人資料檔案,仍應負安全保管責任,爰參考丹麥個人資料處理法第四十一條,規定非公務機關應採行適當之安全維護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
三、由於非公務機關行業別限制取消,原條文第二十條第五項業已刪除。然某些行業如銀行、電信、醫院、保險等,因保有大量且重要之個人資料檔案,其所負之安全保管責任應較一般行業為重,爰增訂第二項規定,授權中央目的事業主管機關得指定特定之非公務機關,要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理,確保個人資料之安全維護。
四、前項規定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,宜有相關規範,以為依循,爰增訂第三項規定,授權由中央目的事業主管機關訂定辦法。
第四章 損害賠償及團體訴訟
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
立法說明
一、條次變更,本條為原條文第二十七條移列。
二、第一項將原條文「致當事人權益受損害者」等文字,修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,使其與國家賠償法第二條第二項及民法第一百八十四條第一項規定用語一致。
三、基於有損害始有賠償之法理,當事人能證明之損害均得請求賠償,且本法規範有不足者,亦得依民法相關規定為之。例外於當事人不易或不能證明其實際損害額之情形時,始有規範每人每一事件賠償金額上、下限之必要。另考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點「證人、鑑定人到場之日費,每次依新臺幣伍佰元支給」之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。
四、違法侵害個人資料事件,可能一個行為有眾多被害人或造成損害過於鉅大,為避免賠償額過鉅無法負擔並為風險預估與控管,原條文第四項遂規定合計賠償最高總額以新臺幣二千萬元為限。惟現今公務機關或非公務機關蒐集、處理、利用或國際傳輸個人資料之情形日漸普遍,為加重個人資料蒐集者或持有者之責任,促其重視維護個人資料檔案安全之措施,並使被害人能受到較高額度之賠償,且總額限制之金額過低時,恐將產生實務操作之困難,爰修正第四項規定,將賠償總額新臺幣二千萬元之限制,提高為新臺幣二億元。另基於同一原因事實違法侵害個人資料事件,如其所涉利益超過新臺幣二億元者,自不宜再以該金額限制之,而以該所涉利益為限。
五、同一原因事實造成之被害人數過多或部分被害人實際損害嚴重,致損害總額超過第四項所定總額限制之新台幣二億元或所涉利益時,為避免第三項規定之賠償下限與第四項規定之賠償總額限制產生矛盾,爰增訂第五項規定,使其不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制,以配合第四項對於單一原因事實賠償總額限制之規定。
六、第二項及第五項未修正。
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第六項規定。
立法說明
一、條次變更,本條為原條文第二十八條移列。
二、將原條文第一項「致當事人權益受損害者」等文字修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,修正理由同前條理由二。
三、原條文第二項配合前條款次修正而調整文字。
損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
立法說明
條次變更,本條為原條文第二十九條移列,內容未修正。
損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。
立法說明
條次變更,本條為原條文第三十條移列,內容未修正。
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
立法說明
一、本條新增。
二、為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權,爰於本章增訂團體訴訟相關規定,期能發揮民間團體力量,共同推動個人資料保護工作。
三、目前社會上公益性民間團體甚多,良莠不齊,如均可以為被害民眾提起團體訴訟,恐會發生濫訟情形,或衍生其他弊端。對於得依本法規定提起團體訴訟之財團法人或公益社團法人,須符合本條所定要件,始得為之。
依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。
前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。
第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。
立法說明
一、本條新增。
二、有關侵害個人資料之損害賠償訴訟,不論單一事件單一受害人,或同一原因事實造成多數當事人權利受侵害,亦不論其請求權依據,皆採專屬管轄,爰參考民事訴訟法第一條及非訟事件法第二條規定增訂本條,以利實務操作。
對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
立法說明
一、本條新增。
二、第一項至第二項係參考證券投資人及期貨交易人保護法第二十八條第一項至第三項之規定,及民事訴訟法擴大選定當事人法理,明定財團法人或公益社團法人須由二十人以上受有損害之當事人授與訴訟實施權後,得以自己之名義提起損害賠償訴訟,及在訴訟程序中,有關撤回訴訟實施權之授與、擴張應受判決事項之聲明與授與等事項之規定。
三、為使團體訴訟制度能確實發揮其應有之功能,並利於法院審理,宜一併建立公告曉示及併案審理機制,爰修正第二項並增訂第三項規定。
四、其他因同一原因事實受有損害之當事人,宜使其亦得聲請法院為公告曉示,俾維護其權益,爰增訂第四項。
五、公告方式及其費用負擔,宜有明文,俾免爭議,且為避免法院公告處不敷使用,爰仿消費者債務清理條例第十四條第一項規定,增訂第五項。
六、第六項規定係為鼓勵民眾能多利用本條規定之團體訴訟機制,請求損害賠償,並落實保護當事人之立法意旨,爰參考民事訴訟法第七十七條之二十二第一項規定,明定提起團體訴訟裁判費之暫免徵收方式。
當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。
財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
立法說明
一、本條新增。
二、第一項明定當事人撤回訴訟實施權,法院應停止該部分之訴訟程序,當事人應即聲明承受訴訟,法院亦得命當事人承受訴訟,以兼顧當事人原已起訴之權益(如中斷時效)。
三、基於訴訟安定及誠信原則,爰於第二項明定財團法人或公益社團法人提起本條訴訟後,縱因部分當事人撤回訴訟實施權,致其人數未達二十人,仍得就其餘部分繼續進行訴訟。
各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別計算。
立法說明
一、本條新增。
二、眾多之個人資料遭受侵害,各當事人之損害賠償請求權時效,不盡相同。爰參考證券投資人及期貨交易人保護法第三十條及消費者保護法第五十條第四項,明定其時效應分別計算,以期公平並免爭議。
財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。
前項當事人中一人所為之限制,其效力不及於其他當事人。
第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法院。
立法說明
一、本條新增。
二、財團法人或公益社團法人為當事人提起團體訴訟時,原則上有為一切訴訟行為之權。但有關捨棄、撤回或和解事項,影響當事人權益甚鉅,當事人自得限制之。另當事人中一人所為之限制效力及其方式,亦有規範必要,以資明確。爰參考證券投資人及期貨交易人保護法第三十一條,增訂本條規定。
當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。
財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。
立法說明
一、本條新增。
二、第一項明定當事人得自行提起上訴之要件及時期。
三、第二項明定財團法人或公益社團法人應將訴訟結果及是否提起上訴之意旨,儘速以書面方式通知當事人,俾當事人及早採行因應措施,以保障其權益。
財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。
提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。
立法說明
一、本條新增。
二、財團法人或公益社團法人為當事人提起團體訴訟,係為了多數受害人之利益,而非為其自身利益。是以,該訴訟如勝訴而得到賠償,扣除訴訟必要費用後,自應分別交付授與訴訟實施權之當事人,且不得請求報酬,以避免有趁機圖利之情事。爰參考證券投資人及期貨交易人保護法第三十三條及消費者保護法第五十條,增訂本條。
依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。
立法說明
一、本條新增。
二、財團法人或公益社團法人依第三十三條第一項規定提起團體訴訟者,應委任律師代理訴訟,除期能加強該訴訟品質外,並符合民事訴訟法第六十八條第一項本文,有關訴訟代理人應委任律師之規定。爰參考消費者保護法第四十九條第二項前段,增訂本條規定。
第五章 罰則
意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
立法說明
照協商條文通過。
意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。
立法說明
一、條次變更,本條為原條文第三十四條移列。
二、本條立法意旨在於處罰以非法方式妨害個人資料檔案正確性之行為。原條文之「輸出」二字,易誤解為傳輸個人資料檔案,即使未妨害該個人資料檔案之正確性亦得處罰,爰予刪除「輸出」二字。另將致生損害結果文字略作修正,以資明確。
三、為期本條刑責與偽造文書罪及妨害電腦使用罪平衡起見,爰將刑度修正提高為「五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」
中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。
立法說明
一、本條新增。
二、違法侵害個人資料之行為,並不限於在我國境內始足為之,為強化對個人資料之保護,爰增定本條規定。
三、參考日本行政機關保有個人資訊保護法第五十六條、獨立行政法人等保有個人資訊保護法第五十三條規定。
公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。
立法說明
條次變更,本條為原條文第三十五條移列,內容未修正。
本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十二條之罪者,不在此限。
立法說明
照協商條文通過。
犯本章之罪,其他法律有較重處罰規定者,從其規定。
立法說明
條次變更,本條為原條文第三十七條移列,內容未修正。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
立法說明
一、條次變更,本條為原條文第三十七條移列。
二、本條係針對非公務機關違反本法規定時,所得科處之行政罰。為期明確,爰於本條序文明定處罰範疇為「非公務機關」。
三、將序文中之「左列」修正為「下列」,以符合法制用語。
四、明定處罰機關為中央目的事業主管機關或直轄市、縣(市)政府,修正理由參照修正條文第二十二條理由二(一)。
五、本法適用對象業並無行業別限制,故非公務機關不再以法人或團體為限,為達處罰效果,爰將原法處罰對象為非公務機關之負責人修正為該非公務機關。至於該非公務機關有代表人、管理人或其他有代表權人,而未盡防止義務者,則並受同一罰鍰之處罰,另於修正條文第四十九條規定之。
六、為避免罰鍰數額上限及下限偏低,無法收處罰之效,爰提高本條罰鍰數額為新臺幣五萬元以上五十萬元以下。
七、增列第一款明定違反第六條規定者應予處罰,並將現行條文第一款移列為第二款;第三款、第四款規定之條次配合修正。
八、本法已廢除非公務機關應經許可或登記制度,爰刪除第一項第二款與第二項規定。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
照行政院提案修正通過。
非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
立法說明
一、條次變更,本條為原條文第四十條移列。
二、本條序文增訂「非公務機關」等字,理由同第四十六條理由二。
三、參考公平交易法第四十三條規定,增加「無正當理由」,以排除具有阻卻違法正當事由情況下拒絕檢查行為之可罰性。
四、將「目的事業主管機關」修正為「中央目的事業主管機關或直轄市、縣(市)政府」,理由參照修正條文第二十二條理由二(一)。
五、處罰對象修正為「非公務機關」理由同修正條文第四十六條理由五。
六、原條文第二十條業經刪除,另第三十二條第二項亦予刪除限期改正之規定,爰將第一項第一款及第三款配合刪除,第一項第二款配合條次修正後,移列於本文規定。
七、為避免罰鍰數額上限及下限偏低,無法收行政處罰之效,爰提高本條罰鍰數額為新臺幣二萬元以上二十萬元以下。另本條之處罰,已僅限對規避、妨害或拒絕檢查之行為,依修正條文第二十二條第二項規定,該等情形得使用強制力進行檢查,已無按次處罰之必要,爰將原條文「按次」二字,予以刪除。
八、本法已廢除非公務機關應經許可或登記制度,爰刪除第二項規定。
非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
立法說明
一、本條新增。
二、非公務機關之代表人、管理人或其他有代表權人,對於該公務機關,本有指揮監督之責,故非公務機關依第四十六條至第四十八條規定受罰鍰之處罰時,該非公務機關之代表人、管理人或其他有代表權人,對該違反本法行為,應視為疏於職責,未盡其防止之義務(包含個人資料應採取適當安全措施之義務),而為指揮監督之疏失,除能證明其已盡防止義務者外,應並受同一額度罰鍰之處罰。
第六章 附則
有下列情形之一者,不適用本法規定:
一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。
立法說明
一、本條新增。
二、依修正條文第二條第八款規定,本法所稱非公務機關包括自然人,惟有關自然人為單純個人(例如:社交活動等)或家庭活動(例如:建立親友通訊錄等)而蒐集、處理或利用個人資料,因係屬私生活目的所為,與其職業或業務職掌無關,如納入本法之適用,恐造成民眾之不便亦無必要,爰增訂第一項規定,予以排除。
三、由於科技之進步與網際網路使用普遍,即使在我國領域外蒐集、處理或利用國人之個人資料,亦非常容易。為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益,以規避法律責任,爰增訂第二項,明定在我國領域外,亦有本法之適用。
四、參考一九九五年歐盟資料保護指令(95/46/EC)第三條、德國聯邦個人資料保護法第一條第二項第三款、日本個人資訊保護法第五十條等。
第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。
前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
立法說明
一、本條新增。
二、中央目的事業主管機關或直轄市、縣(市)政府依第二十二條至第二十六條規定執行檢查、扣留或複製等之權限,應可委任所屬機關、委託其他機關或公益團體辦理,以期能充分發揮執行效率,爰增訂第一項規定之。另接受委任或委託執行事務而知悉他人之資訊者,自應負保密義務不得洩漏,爰於同項後段併予規定。
三、修正條文第三十三條規定財團法人或公益社團法人得接受當事人訴訟實施權之授與後,以自己名義提起團體訴訟,代為請求損害賠償,惟本條又授權中央目的事業主管機關或直轄市、縣(市)政府得委託公益團體代為執行其權限。為避免發生角色混淆利益衝突之情形,爰增訂第二項,明定接受委託執行主管機關權限之公益團體,不得再依第三十三條規定,接受當事人訴訟實施權之授與,以自己名義,提起損害賠償之團體訴訟。
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
立法說明
照協商條文通過。
本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處理或利用者,應於處理或利用前,依第九條規定向當事人告知。
前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。
未依前二項規定告知而利用者,以違反第九條規定論處。
立法說明
照協商條文通過。
本法施行細則,由法務部定之。
立法說明
條次變更,本條為原條文第四十四條移列,內容未修正。
本法施行日期,由行政院定之。
本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條,自公布日施行。
立法說明
一、第一項未修正。
二、修正條文第四十八條規定係為遏止個人資料外洩事件,加強個人資料保護,應自公布日施行,爰修正第二項。另修正條文第一條之一為配合本法主管機關設立之配套規定,涉及政府組織調整相關進程,其施行日期依第一項規定係由行政院定之,併予敘明。
三、原條文第三項及第四項係有關本法一百零一年十月一日施行時,廢除電腦處理個人資料保護法規定之申請登記、執照制度、退還已繳規費等事宜之過渡條文,因現行已無相關案例可茲適用,爰予刪除。