選擇章節
第一章 總則
第一條
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
立法說明
(民國 99 年 04 月 27 日 全文修正)
鑒於本法保護客體不再限於經電腦處理之個人資料,且本法規範行為除個人資料之處理外,將擴及至包括蒐集及利用行為,爰將本條修正為「為規範個人資料之蒐集、處理及利用」,以資明確。
第一條之一
本法之主管機關為個人資料保護委員會。
第一條之二
中央及地方各級政府應致力配合推動達成本法立法目的之具體措施,確保其所轄公務機關及所管非公務機關,於執行職務及業務時遵守本法規定,共同建構安全可信賴之個人資料保護環境。
為落實個人資料保護相關事項,主管機關得召開個人資料保護政策推進會議;其運作方式及其他相關事項之辦法,由主管機關定之。
為落實個人資料保護相關事項,主管機關得召開個人資料保護政策推進會議;其運作方式及其他相關事項之辦法,由主管機關定之。
第二條
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第三條移列。
二、將序文「如左」修正為「如下」,以符合法制用語。
三、本法所保障之法益為人格權,惟個人資料種類繁多,第一款關於「個人資料之定義」,除原條文例示之日常生活中經常被蒐集、處理及利用之個人資料外,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,爰參考一九九五年歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條,將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,以期周全。
四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨,爰修正第二款關於「個人資料檔案」之定義。
五、由於蒐集個人資料之行為態樣繁多,有直接向當事人蒐集者;有間接從第三人取得者,為落實保護個人資料隱私權益,爰參考德國聯邦個人資料保護法第三條規定,修正第四款「蒐集」之定義。
六、配合本法保護客體放寬之修正意旨,爰將原條文第三款「電腦處理」中「電腦」二字刪除,並將款次移列至第四款。另原條文「電腦處理」之定義包括資料之傳遞,易遭誤解為傳遞給外部之第三人,而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」,以資明確。
七、原條文第五款對於「利用」之定義,係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為),是否屬本法所稱之利用行為,滋生疑義。準此,爰參考德國聯邦個人資料保護法第一條規定,並將文字予以精簡,修正「利用」之定義。
八、原條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」?抑或為「提供當事人以外第三人之利用」?易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」,並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理),例如:總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等;或將資料提供當事人以外第三人(屬資料利用),例如:母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關,只要該資料作跨國(境)之傳輸,不論是屬處理或利用行為,皆屬本法所稱之「國際傳輸」。
九、由於執行公務爾後將不限中央或地方機關,行政法人之組織型態亦將成為其中之一,爰將原條文第六款公務機關之定義,納入行政法人,以期周全,並改列款次為第七款。
十、為配合本法放寬規範主體之修正意旨,爰修正原條文第七款非公務機關之定義,並改列款次為第八款。
十一、本條係定義規定,而「特定目的」及「資料類別」之指定,並非屬定義事項,爰將原條文第九款之「特定目的」及原條文第十條第二項之「資料類別」予以合併規定,並移列至第六章附則第五十二條規定。
二、將序文「如左」修正為「如下」,以符合法制用語。
三、本法所保障之法益為人格權,惟個人資料種類繁多,第一款關於「個人資料之定義」,除原條文例示之日常生活中經常被蒐集、處理及利用之個人資料外,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,爰參考一九九五年歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條,將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,以期周全。
四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨,爰修正第二款關於「個人資料檔案」之定義。
五、由於蒐集個人資料之行為態樣繁多,有直接向當事人蒐集者;有間接從第三人取得者,為落實保護個人資料隱私權益,爰參考德國聯邦個人資料保護法第三條規定,修正第四款「蒐集」之定義。
六、配合本法保護客體放寬之修正意旨,爰將原條文第三款「電腦處理」中「電腦」二字刪除,並將款次移列至第四款。另原條文「電腦處理」之定義包括資料之傳遞,易遭誤解為傳遞給外部之第三人,而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」,以資明確。
七、原條文第五款對於「利用」之定義,係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為),是否屬本法所稱之利用行為,滋生疑義。準此,爰參考德國聯邦個人資料保護法第一條規定,並將文字予以精簡,修正「利用」之定義。
八、原條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」?抑或為「提供當事人以外第三人之利用」?易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」,並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理),例如:總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等;或將資料提供當事人以外第三人(屬資料利用),例如:母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關,只要該資料作跨國(境)之傳輸,不論是屬處理或利用行為,皆屬本法所稱之「國際傳輸」。
九、由於執行公務爾後將不限中央或地方機關,行政法人之組織型態亦將成為其中之一,爰將原條文第六款公務機關之定義,納入行政法人,以期周全,並改列款次為第七款。
十、為配合本法放寬規範主體之修正意旨,爰修正原條文第七款非公務機關之定義,並改列款次為第八款。
十一、本條係定義規定,而「特定目的」及「資料類別」之指定,並非屬定義事項,爰將原條文第九款之「特定目的」及原條文第十條第二項之「資料類別」予以合併規定,並移列至第六章附則第五十二條規定。
第三條
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第四條移列。
二、將序文所定「左列」修正為「下列」,以符合法制用語。
三、當事人查詢其個人資料與請求閱覽得分別為之,是以將第一款之「及」字,修正為「或」字。
四、配合第二條第四款「處理」之定義規定,爰將第四款「電腦處理」中「電腦」二字予以刪除,並將「蒐集」亦列為得請求停止之事項,另「及利用」修正為「或利用」,以資明確。
二、將序文所定「左列」修正為「下列」,以符合法制用語。
三、當事人查詢其個人資料與請求閱覽得分別為之,是以將第一款之「及」字,修正為「或」字。
四、配合第二條第四款「處理」之定義規定,爰將第四款「電腦處理」中「電腦」二字予以刪除,並將「蒐集」亦列為得請求停止之事項,另「及利用」修正為「或利用」,以資明確。
第四條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第五條移列。
二、受公務機關或非公務機關委託之事項,並不只限於處理資料,蒐集或利用資料均有可能,爰將「委託處理」修正為「委託蒐集、處理或利用」。另為期簡潔明確,將原條文之「資料」修正為「個人資料」;「團體或個人」,修正為「者」;「委託機關之人」,修正為「委託機關」。
二、受公務機關或非公務機關委託之事項,並不只限於處理資料,蒐集或利用資料均有可能,爰將「委託處理」修正為「委託蒐集、處理或利用」。另為期簡潔明確,將原條文之「資料」修正為「個人資料」;「團體或個人」,修正為「者」;「委託機關之人」,修正為「委託機關」。
第五條
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第六條移列。
二、將個人資料之處理行為,亦納入本條之適用範圍,以期周延。
三、為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。
二、將個人資料之處理行為,亦納入本條之適用範圍,以期周延。
三、為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。
第六條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第七條
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第八條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第九條
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。是以,第一項明定間接蒐集個人資料者(因屬間接蒐集,自無從於蒐集時併為告知),應於該資料處理或利用前,告知當事人資料來源及前條第一項第一款至第五款所列事項(第六款情形係屬當事人直接提供資料,於間接蒐集行為,無從適用)。
三、間接蒐集當事人之個人資料時,原則上應於處理該資料或利用前,告知當事人第一項所列事項。惟在部分特別情況下,告知恐有不宜或無必要,爰於第二項規定間接蒐集得免告知當事人之情形,其各款立法理由如次:
(一)第一款規定於直接蒐集個人資料時,得免告知義務,在間接蒐集時,亦得免為告知,理由詳如前條說明。
(二)間接蒐集之個人資料,如係當事人自行公開揭露或其他合法公開之資料,對其隱私權應無侵害之虞,自得免為告知,爰為第二款之規定。
(三)為保護當事人之權益,第一項規定間接蒐集個人資料時,應告知當事人相關事項。惟客觀上顯然不能向當事人告知時,例如:當事人失蹤不知去向、昏迷不醒,亦無法得知其法定代理人為何人時,自無從告知。
(四)基於統計或學術研究目的,經常會以間接蒐集方式蒐集個人資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可免除告知當事人之義務。
(五)由於大眾傳播業者基於報導新聞之目的,經常以間接方式蒐集特定人之個人資料,且為確認報導事實並取得採訪當事人之畫面及意見,事實上經常在第一時間即與當事人直接面對面溝通對話,實際上已對當事人為處理或利用前之告知,因而在此實無規定免為告知之必要。又民間團體(台灣人權促進會)亦建議不應以特定身分作為排除告知義務之規範對象,如大眾傳播業者基於法令或本條其他款次要件有免除告知義務之必要者,自得依相關規定為之。另有關兒童及少年之保護措施中,依兒童及少年福利法第46 條規定對於法定特殊情況之兒童及少年,不得報導及記載其姓名或其他足以識別身分之資訊;此外,依我國傳播媒體之自律規範,亦須以降低傷害及兒童隱私應謹慎處理之精神為目標,因而採訪兒童及少年時,因非屬純獲法律上之利益或依其年齡及身分日常生活所必需,仍應得到其法定代理人之同意始得為之,且不得以照片報導兒童及少年之個人詳情。從而大眾傳播業在進行新聞採訪及報導前,需盡到告知當事人及其法定代理人之最大隱私保護措施後,始得為新聞報導等個人資料之處理或利用。
(六)如當事人不認同蒐集機關適用本條第二項之規定而免為告知時,得依本法第三條規定請求查詢或閱覽,被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由,請求補為告知,或依第十一條第四項規定,請求蒐集機關刪除、停止處理或利用該個人資料,併予敘明。
四、在間接蒐集個人資料之情形,原則上應於處理或利用前,向當事人告知個人資料來源等事項,但如能於首次對當事人為利用時(例如:對當事人進行商品行銷),併同告知,不但能提高效率,亦可減少勞費,且無損於當事人之權益,爰為第三項規定。
五、參考一九九五年歐盟資料保護指令(95/46/EC)第九條、第十一條、第十三條、德國聯邦個人資料保護法第十九a條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第五十條等。
二、蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。是以,第一項明定間接蒐集個人資料者(因屬間接蒐集,自無從於蒐集時併為告知),應於該資料處理或利用前,告知當事人資料來源及前條第一項第一款至第五款所列事項(第六款情形係屬當事人直接提供資料,於間接蒐集行為,無從適用)。
三、間接蒐集當事人之個人資料時,原則上應於處理該資料或利用前,告知當事人第一項所列事項。惟在部分特別情況下,告知恐有不宜或無必要,爰於第二項規定間接蒐集得免告知當事人之情形,其各款立法理由如次:
(一)第一款規定於直接蒐集個人資料時,得免告知義務,在間接蒐集時,亦得免為告知,理由詳如前條說明。
(二)間接蒐集之個人資料,如係當事人自行公開揭露或其他合法公開之資料,對其隱私權應無侵害之虞,自得免為告知,爰為第二款之規定。
(三)為保護當事人之權益,第一項規定間接蒐集個人資料時,應告知當事人相關事項。惟客觀上顯然不能向當事人告知時,例如:當事人失蹤不知去向、昏迷不醒,亦無法得知其法定代理人為何人時,自無從告知。
(四)基於統計或學術研究目的,經常會以間接蒐集方式蒐集個人資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可免除告知當事人之義務。
(五)由於大眾傳播業者基於報導新聞之目的,經常以間接方式蒐集特定人之個人資料,且為確認報導事實並取得採訪當事人之畫面及意見,事實上經常在第一時間即與當事人直接面對面溝通對話,實際上已對當事人為處理或利用前之告知,因而在此實無規定免為告知之必要。又民間團體(台灣人權促進會)亦建議不應以特定身分作為排除告知義務之規範對象,如大眾傳播業者基於法令或本條其他款次要件有免除告知義務之必要者,自得依相關規定為之。另有關兒童及少年之保護措施中,依兒童及少年福利法第46 條規定對於法定特殊情況之兒童及少年,不得報導及記載其姓名或其他足以識別身分之資訊;此外,依我國傳播媒體之自律規範,亦須以降低傷害及兒童隱私應謹慎處理之精神為目標,因而採訪兒童及少年時,因非屬純獲法律上之利益或依其年齡及身分日常生活所必需,仍應得到其法定代理人之同意始得為之,且不得以照片報導兒童及少年之個人詳情。從而大眾傳播業在進行新聞採訪及報導前,需盡到告知當事人及其法定代理人之最大隱私保護措施後,始得為新聞報導等個人資料之處理或利用。
(六)如當事人不認同蒐集機關適用本條第二項之規定而免為告知時,得依本法第三條規定請求查詢或閱覽,被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由,請求補為告知,或依第十一條第四項規定,請求蒐集機關刪除、停止處理或利用該個人資料,併予敘明。
四、在間接蒐集個人資料之情形,原則上應於處理或利用前,向當事人告知個人資料來源等事項,但如能於首次對當事人為利用時(例如:對當事人進行商品行銷),併同告知,不但能提高效率,亦可減少勞費,且無損於當事人之權益,爰為第三項規定。
五、參考一九九五年歐盟資料保護指令(95/46/EC)第九條、第十一條、第十三條、德國聯邦個人資料保護法第十九a條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第五十條等。
第十條
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第十二條移列。
二、當事人得請求答覆查詢、提供閱覽或製給複製本之對象,不限於向公務機關,亦應包括非公務機關。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「另「保有之個人資料檔案」亦修正為「蒐集之個人資料」,以期適用明確,其各款修正理由如次:
(一)依第三條規定,當事人就其個人資料有查詢或請求閱覽及製給複製本等權利,且不得預先拋棄或以特約限制。本此意旨,公務機關或非公務機關自應盡量依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本;為確保當事人之權利,爰將第一款修正限縮為限於妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益者,始得拒絕。
(二)原條文第二款及第三款規定之「有……之虞」屬不確定法律概念,為免適用上發生疑義,爰刪除「之虞」二字。另第二款之「妨害公務執行」,應限於「妨害公務機關法定職務之執行」,爰併予修正。
(三)有些特殊性質資料,如提供當事人查詢、閱覽或製給複製本時,恐會洩漏資料蒐集者之業務秘密或妨害其重大利益。為此,第三款爰增加「該蒐集機關」之要件,以期周全。
公務機關或非公務機關」。
二、當事人得請求答覆查詢、提供閱覽或製給複製本之對象,不限於向公務機關,亦應包括非公務機關。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「另「保有之個人資料檔案」亦修正為「蒐集之個人資料」,以期適用明確,其各款修正理由如次:
(一)依第三條規定,當事人就其個人資料有查詢或請求閱覽及製給複製本等權利,且不得預先拋棄或以特約限制。本此意旨,公務機關或非公務機關自應盡量依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本;為確保當事人之權利,爰將第一款修正限縮為限於妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益者,始得拒絕。
(二)原條文第二款及第三款規定之「有……之虞」屬不確定法律概念,為免適用上發生疑義,爰刪除「之虞」二字。另第二款之「妨害公務執行」,應限於「妨害公務機關法定職務之執行」,爰併予修正。
(三)有些特殊性質資料,如提供當事人查詢、閱覽或製給複製本時,恐會洩漏資料蒐集者之業務秘密或妨害其重大利益。為此,第三款爰增加「該蒐集機關」之要件,以期周全。
公務機關或非公務機關」。
第十一條
公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第十二條
公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時,應通知當事人。
前項情形符合一定通報範圍者,公務機關或非公務機關應通報下列機關:
一、公務機關:向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關:向主管機關通報。主管機關受理通報後,並轉知其目的事業主管機關。
第一項情形,公務機關或非公務機關應採取即時有效之應變措施,防止事故之擴大,及記載相關事實、影響、已採取之因應措施,並保存相關紀錄,以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法,由主管機關定之。
前項情形符合一定通報範圍者,公務機關或非公務機關應通報下列機關:
一、公務機關:向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。
二、非公務機關:向主管機關通報。主管機關受理通報後,並轉知其目的事業主管機關。
第一項情形,公務機關或非公務機關應採取即時有效之應變措施,防止事故之擴大,及記載相關事實、影響、已採取之因應措施,並保存相關紀錄,以備主管機關查驗。
前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保存及其他相關事項之辦法,由主管機關定之。
立法說明
一、原條文列為第一項,並考量修正條文第十八條第二項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏(以下簡稱事故),為使所列事故類型及用語與前揭條文一致,將「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。又上開各類事故,包括未經個人資料保有機關授權,而遭內部或外部惡意接觸、取用或破壞之情形(Data Breach),均係涉及公務、非公務機關之個人資料安全維護義務是否落實,與公務、非公務機關本身是否合法蒐集、處理或利用個人資料,係屬二事。原「或其他侵害」一語,易生誤解,爰併予刪除。
二、公務機關或非公務機關保有之個人資料發生事故者(以下簡稱事故機關),其應於知悉事故發生後通知當事人之目的,在使當事人知悉該事故,俾其自主評估、關注可能之權益損害,原條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」,惟適時採取應對作為,與事故機關是否違反本法規定,尚無直接關聯,違法責任之確認,並非構成通知義務之要件或前提,且所謂「查明後」通知當事人之時點,實務上亦有相當爭議。爰參考歐盟一般資料保護規則(General Data Protection Regu-lation,以下簡稱GDPR)第三十四條第一項、日本個人情報保護法(以下簡稱日本個資法)第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定,刪除「違反本法規定」及「查明後」兩項要件,並於第四項授權主管機關訂定通知之內容、方式、時限等事項,俾事故機關妥適履行其通知義務。
三、原條文並未明定事故機關之通報義務,本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」,亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定,恐使主管機關對於公務機關或非公務機關之個人資料事故發生,無法及時獲悉並按其影響程度進行適切之調查及協助,除影響監理效能外,亦可能導致事故機關之忽視及怠於處理,顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時,於符合一定通報範圍時負有主動通報之義務,並為兼顧不同事故樣態,參考南韓個資法第三十四條與該法施行令第四十條,及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例,另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。
四、關於第二項所定事故通報之受理權限,如公務機關發生事故,除通報主管機關外,尚應基於公務體系層級節制之固有職務監督關係,循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故,基於主管機關之獨立監督角色、減少通報對象之認定疑義,且修正條文第五十一條之一僅為過渡措施,爰事故機關應向主管機關通報;同時考量個人資料安全維護與非公務機關之業務活動密切相關,其業務監理機關亦有掌握事故訊息之需求,故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者,自仍應一併通報之。
五、公務機關或非公務機關對於個人資料之法令遵循與管理,實務上主要採取PDCA循環(即Plan計畫-Do執行-Check查核-Act行動)之方法論,持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現,事故機關發現事故發生,即應視事故規模、態樣及可能之影響範圍,採行適當之應變機制,避免損害擴大,此為當事人權益保障之關鍵,是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施,惟在規範強度及位階上仍顯不足,爰將事故機關之應變義務,提升至法律位階,明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏,是包括該事故之事實、所生影響,與事故機關所採取之應變作為等,對於上開PDCA循環之持續推動改善及主管機關之監理等,毋寧具有高度價值,相關紀錄自應予適度保存,以備主管機關查驗。
六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外,第三項所定應變措施及紀錄保存等相關具體事宜,亦應建立適當機制及程序以利遵循,爰於第四項授權主管機關訂定相關事項之辦法。
二、公務機關或非公務機關保有之個人資料發生事故者(以下簡稱事故機關),其應於知悉事故發生後通知當事人之目的,在使當事人知悉該事故,俾其自主評估、關注可能之權益損害,原條文易遭誤解為通知當事人前須先確認相關事故有「違反本法規定」,惟適時採取應對作為,與事故機關是否違反本法規定,尚無直接關聯,違法責任之確認,並非構成通知義務之要件或前提,且所謂「查明後」通知當事人之時點,實務上亦有相當爭議。爰參考歐盟一般資料保護規則(General Data Protection Regu-lation,以下簡稱GDPR)第三十四條第一項、日本個人情報保護法(以下簡稱日本個資法)第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項等規定,刪除「違反本法規定」及「查明後」兩項要件,並於第四項授權主管機關訂定通知之內容、方式、時限等事項,俾事故機關妥適履行其通知義務。
三、原條文並未明定事故機關之通報義務,本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」,亦僅屬公務機關或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定,恐使主管機關對於公務機關或非公務機關之個人資料事故發生,無法及時獲悉並按其影響程度進行適切之調查及協助,除影響監理效能外,亦可能導致事故機關之忽視及怠於處理,顯然不利我國個人資料保護之落實。爰新增第二項明定事故機關知悉發生洩漏等個人資料事故時,於符合一定通報範圍時負有主動通報之義務,並為兼顧不同事故樣態,參考南韓個資法第三十四條與該法施行令第四十條,及日本個資法第二十六條、第六十八條、日本個資法施行規則第八條及第四十四條等外國立法例,另於第四項授權主管機關就事故通報之範圍、內容、方式、時限等相關事項訂定辦法。
四、關於第二項所定事故通報之受理權限,如公務機關發生事故,除通報主管機關外,尚應基於公務體系層級節制之固有職務監督關係,循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序同時通報。又如係非公務機關發生事故,基於主管機關之獨立監督角色、減少通報對象之認定疑義,且修正條文第五十一條之一僅為過渡措施,爰事故機關應向主管機關通報;同時考量個人資料安全維護與非公務機關之業務活動密切相關,其業務監理機關亦有掌握事故訊息之需求,故明定由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者,自仍應一併通報之。
五、公務機關或非公務機關對於個人資料之法令遵循與管理,實務上主要採取PDCA循環(即Plan計畫-Do執行-Check查核-Act行動)之方法論,持續推動改善。有鑑於個人資料洩漏等事故發生乃個人資料風險之具體實現,事故機關發現事故發生,即應視事故規模、態樣及可能之影響範圍,採行適當之應變機制,避免損害擴大,此為當事人權益保障之關鍵,是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施,惟在規範強度及位階上仍顯不足,爰將事故機關之應變義務,提升至法律位階,明定於第三項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏,是包括該事故之事實、所生影響,與事故機關所採取之應變作為等,對於上開PDCA循環之持續推動改善及主管機關之監理等,毋寧具有高度價值,相關紀錄自應予適度保存,以備主管機關查驗。
六、除第一項及第二項所定應通知或通報之內容、方式、時限與通報範圍外,第三項所定應變措施及紀錄保存等相關具體事宜,亦應建立適當機制及程序以利遵循,爰於第四項授權主管機關訂定相關事項之辦法。
第十三條
公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第十五條移列。
二、第一項修正理由如次:
(一)本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
(二)當事人依第十條規定,請求查詢、閱覽其個人資料或製給複製本時,資料蒐集機關應儘速處理。原條文規定需在三十日內處理,似嫌過長,對當事人不利,是以將准駁決定之期間,由「三十日」修正為「十五日」。另個人資料種類及數量繁多,如申請人數眾多,十五日恐不及辦理,是以另規定必要時得予延長,但不得逾十五日,且應將延長原因以書面通知請求人,讓其知曉。
三、當事人依第十一條規定,請求更正、補充,或請求刪除、停止蒐集、處理或利用其個人資料,因需較多時間查證該資料之正確性或其請求是否合理,十五日內恐無法處理完畢,爰增訂第二項,將此種情形之准駁決定期間,規定為三十日,必要時得予延長,但不得逾三十日,且應將延長原因以書面通知請求人。
四、當事人向公務機關或非公務機關請求查詢、閱覽、製給複製本,或請求更正、補充、刪除、停止蒐集、處理或利用其個人資料,遭駁回拒絕或未於規定期間內決定時,得依相關法律提起訴願或訴訟,自不待言。
二、第一項修正理由如次:
(一)本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
(二)當事人依第十條規定,請求查詢、閱覽其個人資料或製給複製本時,資料蒐集機關應儘速處理。原條文規定需在三十日內處理,似嫌過長,對當事人不利,是以將准駁決定之期間,由「三十日」修正為「十五日」。另個人資料種類及數量繁多,如申請人數眾多,十五日恐不及辦理,是以另規定必要時得予延長,但不得逾十五日,且應將延長原因以書面通知請求人,讓其知曉。
三、當事人依第十一條規定,請求更正、補充,或請求刪除、停止蒐集、處理或利用其個人資料,因需較多時間查證該資料之正確性或其請求是否合理,十五日內恐無法處理完畢,爰增訂第二項,將此種情形之准駁決定期間,規定為三十日,必要時得予延長,但不得逾三十日,且應將延長原因以書面通知請求人。
四、當事人向公務機關或非公務機關請求查詢、閱覽、製給複製本,或請求更正、補充、刪除、停止蒐集、處理或利用其個人資料,遭駁回拒絕或未於規定期間內決定時,得依相關法律提起訴願或訴訟,自不待言。
第十四條
查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第十六條移列。
二、本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
三、由於資料種類及蒐集、處理方式繁多,關於查詢、請求閱覽個人資料或製給複製本之費用,宜由各蒐集處理機關視該資料之性質酌予收取為妥,不宜由各機關或中央目的事業主管機關訂定,爰刪除第二項及原條文第二十六條第二項規定,並明定收取之費用以必要成本費用為限。
二、本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將原條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。
三、由於資料種類及蒐集、處理方式繁多,關於查詢、請求閱覽個人資料或製給複製本之費用,宜由各蒐集處理機關視該資料之性質酌予收取為妥,不宜由各機關或中央目的事業主管機關訂定,爰刪除第二項及原條文第二十六條第二項規定,並明定收取之費用以必要成本費用為限。
第二章 公務機關對個人資料之蒐集、處理及利用
第十五條
公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第十六條
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第十七條
公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第十條移列。
二、鑑於目前國人使用網際網路極為普遍,因此公務機關依原條文規定應公告事項,如能張貼公開於機關電腦網站,將更有利於民眾查閱,惟慮及城鄉差距及電腦使用普及率等等因素,仍保留其他供公眾查閱之適當方式,例如:刊登政府公報等。
三、為便利人民行使第三條所列權利,爰於第二款後段增列「及聯絡方式」五字。
四、為求行政程序之簡便,爰刪除第三款、第六款至第十款等無公開必要之款次;原條文第四款及第五款依序移列為第三款及第四款。
五、原條文第二項有關個人資料類別之訂定,已於修正條文第五十二條規定,爰予刪除。
二、鑑於目前國人使用網際網路極為普遍,因此公務機關依原條文規定應公告事項,如能張貼公開於機關電腦網站,將更有利於民眾查閱,惟慮及城鄉差距及電腦使用普及率等等因素,仍保留其他供公眾查閱之適當方式,例如:刊登政府公報等。
三、為便利人民行使第三條所列權利,爰於第二款後段增列「及聯絡方式」五字。
四、為求行政程序之簡便,爰刪除第三款、第六款至第十款等無公開必要之款次;原條文第四款及第五款依序移列為第三款及第四款。
五、原條文第二項有關個人資料類別之訂定,已於修正條文第五十二條規定,爰予刪除。
第十八條
公務機關應置個人資料保護長,由機關首長指派適當人員兼任,並配置適當人力及資源,負責統籌推動及督導考核本機關、所屬或所監督公務機關之個人資料保護相關事務。
公務機關應指定專人辦理個人資料檔案安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏;其安全維護、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練,增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法,由主管機關定之。
公務機關應指定專人辦理個人資料檔案安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏;其安全維護、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或管理措施。
主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練,增進其個人資料保護專業知能。
第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法,由主管機關定之。
立法說明
一、個人資料保護法令遵循制度之建構及落實,須以組織整體作為考量,從組織全景、內外部關注方之需要與期望出發,審酌部門及跨部門流程等各項環節,據以規劃及執行。準此,若能安排具個人資料保護專業之成員,或具備此等機能之角色,將有助於組織因應個人資料保護所涉廣泛性、高度變化性之實務運作問題。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動,規劃建立個人資料保護長機制之政策,並考量增設個人資料保護長之新制對國內整體公、私部門組織文化衝擊及資源配置等影響,及憲法法庭一百十一年憲判字第十三號判決涉及公務機關資料庫利用之背景事實,爰本次修法優先由公務機關推動實施,新增第一項明定個人資料保護長應由公務機關首長指派適當人員擔任,負責統籌推動及督導考核本機關、所屬或所監督公務機關個人資料保護事務職責(包括但不限於第二項所定者),俾相關管理機制由上而下形成,強化公務機關內部控制制度。
二、原條文所定專人機制,移列為第二項,並考量公務機關保有個人資料檔案已屬常態,與修正條文第二十條之一之非公務機關不同,爰刪除「保有個人資料檔案」等語。
三、目前公務機關辦理個人資料檔案安全維護事項,係各自就其實際組織及業務情況,依本法施行細則第二十四條規定,訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度,並促進其規範事項具有一致性,以強化公務機關對於個人資料之保護與管理,確保在不同職務下,均能達到一定水準,爰增訂第二項後段規定,授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。
四、按個人資料保護長、受指派協助之人員與專人,分別負有公務機關整體個人資料保護事務之統籌推動,及辦理公務機關個人資料檔案安全維護之職責,均應有適當之權益保障機制,並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障;另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。
五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項,爰新增第五項授權主管機關訂定相關事項之辦法。
二、原條文所定專人機制,移列為第二項,並考量公務機關保有個人資料檔案已屬常態,與修正條文第二十條之一之非公務機關不同,爰刪除「保有個人資料檔案」等語。
三、目前公務機關辦理個人資料檔案安全維護事項,係各自就其實際組織及業務情況,依本法施行細則第二十四條規定,訂定相關個人資料保護管理要點。為使所有公務機關均落實各項安全維護及管理機制制度,並促進其規範事項具有一致性,以強化公務機關對於個人資料之保護與管理,確保在不同職務下,均能達到一定水準,爰增訂第二項後段規定,授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。
四、按個人資料保護長、受指派協助之人員與專人,分別負有公務機關整體個人資料保護事務之統籌推動,及辦理公務機關個人資料檔案安全維護之職責,均應有適當之權益保障機制,並確保其具備與職責對應之專業能力。爰新增第三項明定個人資料保護長等人員依法執行職務之適當權益保障;另新增第四項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。
五、有鑑於前開各項規定涉及個人資料保護長等人員之職掌、職能條件、訓練等事項,爰新增第五項授權主管機關訂定相關事項之辦法。
第三章 非公務機關對個人資料之蒐集、處理及利用
第十九條
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第二十條
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第二十條之一
非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。
第二十一條
非公務機關為國際傳輸個人資料,而有下列情形之一者,主管機關得限制之:
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
立法說明
配合修正條文第一條之一主管機關個資會之成立,將國際傳輸限制之權限修正為由其統一行使。又審酌我國國情及產業特性,國際傳輸之限制對非公務機關之營業活動及經貿往來可能產生重大影響,爰主管機關宜先會商相關中央目的事業主管機關,充分瞭解特定產業國際傳輸個人資料之需求,並妥為評估限制方式之適切性及必要性,併此敘明。
第三章之一 行政監督
第一節 對公務機關之監督
第二十一條之一
公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形;無上級機關或監督機關者,依下列各款規定辦理:
一、總統府、國家安全會議及五院,向主管機關提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向主管機關提出。
三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。
公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應向稽核機關提出改善報告,並由稽核機關審查後,連同稽核結果送交主管機關。
稽核機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。
一、總統府、國家安全會議及五院,向主管機關提出。
二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向主管機關提出。
三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。
公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應向稽核機關提出改善報告,並由稽核機關審查後,連同稽核結果送交主管機關。
稽核機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。
第二十一條之二
主管機關應定期或不定期稽核公務機關之個人資料保護管理事項實施情形;必要時,得請求前條第二項所定稽核機關協助。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應提出改善報告,送交依前條第一項規定收受其實施情形之機關審查後,由該審查機關送交主管機關。
前項審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。
依前條及本條參與稽核之人員,對於因執行稽核所知悉或持有之資料,負保密義務。
依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應提出改善報告,送交依前條第一項規定收受其實施情形之機關審查後,由該審查機關送交主管機關。
前項審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。
前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。
依前條及本條參與稽核之人員,對於因執行稽核所知悉或持有之資料,負保密義務。
第二十一條之三
公務機關有違反本法規定之虞時,主管機關得請公務機關提出資料及說明,或派員攜帶執行職務證明文件進行實地檢查,除依法規規定有保密之必要者外,公務機關及其相關人員有配合之義務。
前項實地檢查,必要時得請求第二十一條之一第二項所定稽核機關協助。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務。
前項實地檢查,必要時得請求第二十一條之一第二項所定稽核機關協助。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務。
第二十一條之四
公務機關有違反本法規定之情事者,由主管機關令其限期改正,該公務機關應依限為適當之改正,並應將改正情形以書面答覆主管機關。
公務機關未依前項規定改正者,主管機關得公布其名稱及其違法情形。
公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關法令規定予以懲戒、懲處或懲罰。
公務機關未依前項規定改正者,主管機關得公布其名稱及其違法情形。
公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關法令規定予以懲戒、懲處或懲罰。
第二十一條之五
本節之規定,於情報機關不適用之。
第二節 對非公務機關之監督
第二十二條
主管機關認非公務機關有違反本法規定之虞,或為檢視其落實本法情形而認有必要時,得依下列方式進行檢查:
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣(市)政府或其他有關機關派員攜帶執行職務證明文件進入檢查,並得令相關人員為必要之說明、配合措施或提供相關證明資料。
前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣(市)政府或有關機關之協力事項及其他相關事項之辦法,由主管機關定之。
主管機關為第一項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
對於依第一項或前項所為之通知、進入、檢查或處分,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
主管機關為第一項第三款檢查時,得率同資訊、電信、法律或其他專業人員共同為之。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務,並應注意被檢查者之名譽。
第一項檢查之執行,主管機關於必要時得請求中央目的事業主管機關、直轄市、縣(市)政府或其他相關機關(構)配合採取有效措施或提供協助。
一、通知非公務機關或其相關人員陳述意見。
二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。
三、自行或會同中央目的事業主管機關、直轄市、縣(市)政府或其他有關機關派員攜帶執行職務證明文件進入檢查,並得令相關人員為必要之說明、配合措施或提供相關證明資料。
前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的事業主管機關、直轄市、縣(市)政府或有關機關之協力事項及其他相關事項之辦法,由主管機關定之。
主管機關為第一項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
對於依第一項或前項所為之通知、進入、檢查或處分,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
主管機關為第一項第三款檢查時,得率同資訊、電信、法律或其他專業人員共同為之。
參與檢查之人員,對於因執行檢查所知悉或持有之資料,負保密義務,並應注意被檢查者之名譽。
第一項檢查之執行,主管機關於必要時得請求中央目的事業主管機關、直轄市、縣(市)政府或其他相關機關(構)配合採取有效措施或提供協助。
立法說明
一、配合修正條文第一條之一主管機關個資會之成立及其監理權限,明定主管機關對非公務機關之行政檢查權,爰酌修原第一項至第三項關於中央目的事業主管機關、直轄市、縣(市)政府權限之文字。
二、非公務機關對個人資料之蒐集、處理、利用及管理,依其業務性質、營運模式或科技運用而有相當之差異,事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃,除針對已具有違法跡證者外,亦應建立差異化檢查機制,妥適決定發動檢查之對象、次序及頻率等,以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二,修正第一項規定,於主管機關發現非公務機關有違反本法之虞,或雖尚無疑似違法情事,但參酌當下國內、外整體個人資料法令遵循及資安保護等,評估有進一步了解其落實本法情形及以公權力介入之必要者,始得發動行政檢查,並新增第二項,就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素,及有賴其他機關協力之事項等,授權主管機關另定相關事項之辦法,以提高執法可預見性及可行性。
三、考量實務上個案情狀不一,基於比例原則,宜提供主管機關干預程度不同之檢查方式,以供適切選擇運用,爰將第一項所定命為必要說明、配合措施或提供證明資料等,改列第一款、第二款分別規範及酌修文字;進入檢查之程序及配套方式,則移列第三款,並審酌非公務機關類型繁多,主管機關仍可能有會同目的事業主管機關或其他機關執行之需求,故明定主管機關得視個案情境,決定自行或會同有關機關進入檢查。又該款所定會同檢查機制,旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔,提升檢查效率,並得與目的事業主管機關之其他檢查併同進行,與本條第五項之專業協力或第七項之行政協助,尚有不同,併此敘明。
四、第二項移列為第三項,並配合第一項酌作修正;又第四項之檢查配合義務,修正為「無正當理由」不得規避、妨礙或拒絕,以適當控管檢查權之行使,並酌作文字修正。
五、原第三項、第五項,分別移列至第五項及第六項,並酌修文字。
六、第一項第三款雖已規定主管機關得會同有關機關進入檢查,惟考量非公務機關類型及業務範疇廣泛,不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等,皆可能因不同之檢查情境,而須在檢查前、中、後獲得權責或專業機關(構)之資源、技術等實質措施或協助,始能竟其功,爰參考南韓個資法第六十三條第三項及第四項規定,增訂第七項請求行政協助之規定,後續並依行政程序法第十九條規定辦理,以完備主管機關之檢查職能。
二、非公務機關對個人資料之蒐集、處理、利用及管理,依其業務性質、營運模式或科技運用而有相當之差異,事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃,除針對已具有違法跡證者外,亦應建立差異化檢查機制,妥適決定發動檢查之對象、次序及頻率等,以符比例原則。爰參酌行政院及所屬各機關落實個人資料保護聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二,修正第一項規定,於主管機關發現非公務機關有違反本法之虞,或雖尚無疑似違法情事,但參酌當下國內、外整體個人資料法令遵循及資安保護等,評估有進一步了解其落實本法情形及以公權力介入之必要者,始得發動行政檢查,並新增第二項,就檢視落實本法情形行政檢查作業之規劃、評估方式、考量因素,及有賴其他機關協力之事項等,授權主管機關另定相關事項之辦法,以提高執法可預見性及可行性。
三、考量實務上個案情狀不一,基於比例原則,宜提供主管機關干預程度不同之檢查方式,以供適切選擇運用,爰將第一項所定命為必要說明、配合措施或提供證明資料等,改列第一款、第二款分別規範及酌修文字;進入檢查之程序及配套方式,則移列第三款,並審酌非公務機關類型繁多,主管機關仍可能有會同目的事業主管機關或其他機關執行之需求,故明定主管機關得視個案情境,決定自行或會同有關機關進入檢查。又該款所定會同檢查機制,旨在借重目的事業主管機關或有關機關對受檢查者業務活動之熟稔,提升檢查效率,並得與目的事業主管機關之其他檢查併同進行,與本條第五項之專業協力或第七項之行政協助,尚有不同,併此敘明。
四、第二項移列為第三項,並配合第一項酌作修正;又第四項之檢查配合義務,修正為「無正當理由」不得規避、妨礙或拒絕,以適當控管檢查權之行使,並酌作文字修正。
五、原第三項、第五項,分別移列至第五項及第六項,並酌修文字。
六、第一項第三款雖已規定主管機關得會同有關機關進入檢查,惟考量非公務機關類型及業務範疇廣泛,不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等,皆可能因不同之檢查情境,而須在檢查前、中、後獲得權責或專業機關(構)之資源、技術等實質措施或協助,始能竟其功,爰參考南韓個資法第六十三條第三項及第四項規定,增訂第七項請求行政協助之規定,後續並依行政程序法第十九條規定辦理,以完備主管機關之檢查職能。
第二十三條
對於前條第三項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。
扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
立法說明
一、配合前條第二項修正後移列為第三項,酌修第一項文字。
二、第二項未修正。
二、第二項未修正。
第二十四條
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向主管機關聲明異議。
前項聲明異議,主管機關認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。
對於主管機關前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
前項聲明異議,主管機關認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。
對於主管機關前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正第一項至第三項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
第二十五條
非公務機關有違反本法規定之情事者,主管機關除依本法規定裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或令銷毀違法蒐集之個人資料。
四、公布違法情形,及其姓名或名稱與負責人。
主管機關為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或令銷毀違法蒐集之個人資料。
四、公布違法情形,及其姓名或名稱與負責人。
主管機關為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正第一項序文及第二項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,並酌修第一項第三款文字。
第二十六條
主管機關依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正原條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
第二十七條
(刪除)
立法說明
一、本條刪除。
二、本條已移列至修正條文第二十條之一規範,爰予刪除。
二、本條已移列至修正條文第二十條之一規範,爰予刪除。
第四章 損害賠償及團體訴訟
第二十八條
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第二十七條移列。
二、第一項將原條文「致當事人權益受損害者」等文字,修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,使其與國家賠償法第二條第二項及民法第一百八十四條第一項規定用語一致。
三、基於有損害始有賠償之法理,當事人能證明之損害均得請求賠償,且本法規範有不足者,亦得依民法相關規定為之。例外於當事人不易或不能證明其實際損害額之情形時,始有規範每人每一事件賠償金額上、下限之必要。另考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點「證人、鑑定人到場之日費,每次依新臺幣伍佰元支給」之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。
四、違法侵害個人資料事件,可能一個行為有眾多被害人或造成損害過於鉅大,為避免賠償額過鉅無法負擔並為風險預估與控管,原條文第四項遂規定合計賠償最高總額以新臺幣二千萬元為限。惟現今公務機關或非公務機關蒐集、處理、利用或國際傳輸個人資料之情形日漸普遍,為加重個人資料蒐集者或持有者之責任,促其重視維護個人資料檔案安全之措施,並使被害人能受到較高額度之賠償,且總額限制之金額過低時,恐將產生實務操作之困難,爰修正第四項規定,將賠償總額新臺幣二千萬元之限制,提高為新臺幣二億元。另基於同一原因事實違法侵害個人資料事件,如其所涉利益超過新臺幣二億元者,自不宜再以該金額限制之,而以該所涉利益為限。
五、同一原因事實造成之被害人數過多或部分被害人實際損害嚴重,致損害總額超過第四項所定總額限制之新台幣二億元或所涉利益時,為避免第三項規定之賠償下限與第四項規定之賠償總額限制產生矛盾,爰增訂第五項規定,使其不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制,以配合第四項對於單一原因事實賠償總額限制之規定。
六、第二項及第五項未修正。
二、第一項將原條文「致當事人權益受損害者」等文字,修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,使其與國家賠償法第二條第二項及民法第一百八十四條第一項規定用語一致。
三、基於有損害始有賠償之法理,當事人能證明之損害均得請求賠償,且本法規範有不足者,亦得依民法相關規定為之。例外於當事人不易或不能證明其實際損害額之情形時,始有規範每人每一事件賠償金額上、下限之必要。另考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點「證人、鑑定人到場之日費,每次依新臺幣伍佰元支給」之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。
四、違法侵害個人資料事件,可能一個行為有眾多被害人或造成損害過於鉅大,為避免賠償額過鉅無法負擔並為風險預估與控管,原條文第四項遂規定合計賠償最高總額以新臺幣二千萬元為限。惟現今公務機關或非公務機關蒐集、處理、利用或國際傳輸個人資料之情形日漸普遍,為加重個人資料蒐集者或持有者之責任,促其重視維護個人資料檔案安全之措施,並使被害人能受到較高額度之賠償,且總額限制之金額過低時,恐將產生實務操作之困難,爰修正第四項規定,將賠償總額新臺幣二千萬元之限制,提高為新臺幣二億元。另基於同一原因事實違法侵害個人資料事件,如其所涉利益超過新臺幣二億元者,自不宜再以該金額限制之,而以該所涉利益為限。
五、同一原因事實造成之被害人數過多或部分被害人實際損害嚴重,致損害總額超過第四項所定總額限制之新台幣二億元或所涉利益時,為避免第三項規定之賠償下限與第四項規定之賠償總額限制產生矛盾,爰增訂第五項規定,使其不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制,以配合第四項對於單一原因事實賠償總額限制之規定。
六、第二項及第五項未修正。
第二十九條
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第六項規定。
依前項規定請求賠償者,適用前條第二項至第六項規定。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第二十八條移列。
二、將原條文第一項「致當事人權益受損害者」等文字修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,修正理由同前條理由二。
三、原條文第二項配合前條款次修正而調整文字。
二、將原條文第一項「致當事人權益受損害者」等文字修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,修正理由同前條理由二。
三、原條文第二項配合前條款次修正而調整文字。
第三十條
損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
立法說明
(民國 99 年 04 月 27 日 全文修正)
條次變更,本條為原條文第二十九條移列,內容未修正。
第三十一條
損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。
立法說明
(民國 99 年 04 月 27 日 全文修正)
條次變更,本條為原條文第三十條移列,內容未修正。
第三十二條
依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權,爰於本章增訂團體訴訟相關規定,期能發揮民間團體力量,共同推動個人資料保護工作。
三、目前社會上公益性民間團體甚多,良莠不齊,如均可以為被害民眾提起團體訴訟,恐會發生濫訟情形,或衍生其他弊端。對於得依本法規定提起團體訴訟之財團法人或公益社團法人,須符合本條所定要件,始得為之。
二、為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權,爰於本章增訂團體訴訟相關規定,期能發揮民間團體力量,共同推動個人資料保護工作。
三、目前社會上公益性民間團體甚多,良莠不齊,如均可以為被害民眾提起團體訴訟,恐會發生濫訟情形,或衍生其他弊端。對於得依本法規定提起團體訴訟之財團法人或公益社團法人,須符合本條所定要件,始得為之。
第三十三條
依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。
前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。
第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。
前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。
第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、有關侵害個人資料之損害賠償訴訟,不論單一事件單一受害人,或同一原因事實造成多數當事人權利受侵害,亦不論其請求權依據,皆採專屬管轄,爰參考民事訴訟法第一條及非訟事件法第二條規定增訂本條,以利實務操作。
二、有關侵害個人資料之損害賠償訴訟,不論單一事件單一受害人,或同一原因事實造成多數當事人權利受侵害,亦不論其請求權依據,皆採專屬管轄,爰參考民事訴訟法第一條及非訟事件法第二條規定增訂本條,以利實務操作。
第三十四條
對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、第一項至第二項係參考證券投資人及期貨交易人保護法第二十八條第一項至第三項之規定,及民事訴訟法擴大選定當事人法理,明定財團法人或公益社團法人須由二十人以上受有損害之當事人授與訴訟實施權後,得以自己之名義提起損害賠償訴訟,及在訴訟程序中,有關撤回訴訟實施權之授與、擴張應受判決事項之聲明與授與等事項之規定。
三、為使團體訴訟制度能確實發揮其應有之功能,並利於法院審理,宜一併建立公告曉示及併案審理機制,爰修正第二項並增訂第三項規定。
四、其他因同一原因事實受有損害之當事人,宜使其亦得聲請法院為公告曉示,俾維護其權益,爰增訂第四項。
五、公告方式及其費用負擔,宜有明文,俾免爭議,且為避免法院公告處不敷使用,爰仿消費者債務清理條例第十四條第一項規定,增訂第五項。
六、第六項規定係為鼓勵民眾能多利用本條規定之團體訴訟機制,請求損害賠償,並落實保護當事人之立法意旨,爰參考民事訴訟法第七十七條之二十二第一項規定,明定提起團體訴訟裁判費之暫免徵收方式。
二、第一項至第二項係參考證券投資人及期貨交易人保護法第二十八條第一項至第三項之規定,及民事訴訟法擴大選定當事人法理,明定財團法人或公益社團法人須由二十人以上受有損害之當事人授與訴訟實施權後,得以自己之名義提起損害賠償訴訟,及在訴訟程序中,有關撤回訴訟實施權之授與、擴張應受判決事項之聲明與授與等事項之規定。
三、為使團體訴訟制度能確實發揮其應有之功能,並利於法院審理,宜一併建立公告曉示及併案審理機制,爰修正第二項並增訂第三項規定。
四、其他因同一原因事實受有損害之當事人,宜使其亦得聲請法院為公告曉示,俾維護其權益,爰增訂第四項。
五、公告方式及其費用負擔,宜有明文,俾免爭議,且為避免法院公告處不敷使用,爰仿消費者債務清理條例第十四條第一項規定,增訂第五項。
六、第六項規定係為鼓勵民眾能多利用本條規定之團體訴訟機制,請求損害賠償,並落實保護當事人之立法意旨,爰參考民事訴訟法第七十七條之二十二第一項規定,明定提起團體訴訟裁判費之暫免徵收方式。
第三十五條
當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。
財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、第一項明定當事人撤回訴訟實施權,法院應停止該部分之訴訟程序,當事人應即聲明承受訴訟,法院亦得命當事人承受訴訟,以兼顧當事人原已起訴之權益(如中斷時效)。
三、基於訴訟安定及誠信原則,爰於第二項明定財團法人或公益社團法人提起本條訴訟後,縱因部分當事人撤回訴訟實施權,致其人數未達二十人,仍得就其餘部分繼續進行訴訟。
二、第一項明定當事人撤回訴訟實施權,法院應停止該部分之訴訟程序,當事人應即聲明承受訴訟,法院亦得命當事人承受訴訟,以兼顧當事人原已起訴之權益(如中斷時效)。
三、基於訴訟安定及誠信原則,爰於第二項明定財團法人或公益社團法人提起本條訴訟後,縱因部分當事人撤回訴訟實施權,致其人數未達二十人,仍得就其餘部分繼續進行訴訟。
第三十六條
各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別計算。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、眾多之個人資料遭受侵害,各當事人之損害賠償請求權時效,不盡相同。爰參考證券投資人及期貨交易人保護法第三十條及消費者保護法第五十條第四項,明定其時效應分別計算,以期公平並免爭議。
二、眾多之個人資料遭受侵害,各當事人之損害賠償請求權時效,不盡相同。爰參考證券投資人及期貨交易人保護法第三十條及消費者保護法第五十條第四項,明定其時效應分別計算,以期公平並免爭議。
第三十七條
財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。
前項當事人中一人所為之限制,其效力不及於其他當事人。
第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法院。
前項當事人中一人所為之限制,其效力不及於其他當事人。
第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法院。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、財團法人或公益社團法人為當事人提起團體訴訟時,原則上有為一切訴訟行為之權。但有關捨棄、撤回或和解事項,影響當事人權益甚鉅,當事人自得限制之。另當事人中一人所為之限制效力及其方式,亦有規範必要,以資明確。爰參考證券投資人及期貨交易人保護法第三十一條,增訂本條規定。
二、財團法人或公益社團法人為當事人提起團體訴訟時,原則上有為一切訴訟行為之權。但有關捨棄、撤回或和解事項,影響當事人權益甚鉅,當事人自得限制之。另當事人中一人所為之限制效力及其方式,亦有規範必要,以資明確。爰參考證券投資人及期貨交易人保護法第三十一條,增訂本條規定。
第三十八條
當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。
財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。
財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、第一項明定當事人得自行提起上訴之要件及時期。
三、第二項明定財團法人或公益社團法人應將訴訟結果及是否提起上訴之意旨,儘速以書面方式通知當事人,俾當事人及早採行因應措施,以保障其權益。
二、第一項明定當事人得自行提起上訴之要件及時期。
三、第二項明定財團法人或公益社團法人應將訴訟結果及是否提起上訴之意旨,儘速以書面方式通知當事人,俾當事人及早採行因應措施,以保障其權益。
第三十九條
財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。
提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。
提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、財團法人或公益社團法人為當事人提起團體訴訟,係為了多數受害人之利益,而非為其自身利益。是以,該訴訟如勝訴而得到賠償,扣除訴訟必要費用後,自應分別交付授與訴訟實施權之當事人,且不得請求報酬,以避免有趁機圖利之情事。爰參考證券投資人及期貨交易人保護法第三十三條及消費者保護法第五十條,增訂本條。
二、財團法人或公益社團法人為當事人提起團體訴訟,係為了多數受害人之利益,而非為其自身利益。是以,該訴訟如勝訴而得到賠償,扣除訴訟必要費用後,自應分別交付授與訴訟實施權之當事人,且不得請求報酬,以避免有趁機圖利之情事。爰參考證券投資人及期貨交易人保護法第三十三條及消費者保護法第五十條,增訂本條。
第四十條
依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、財團法人或公益社團法人依第三十三條第一項規定提起團體訴訟者,應委任律師代理訴訟,除期能加強該訴訟品質外,並符合民事訴訟法第六十八條第一項本文,有關訴訟代理人應委任律師之規定。爰參考消費者保護法第四十九條第二項前段,增訂本條規定。
二、財團法人或公益社團法人依第三十三條第一項規定提起團體訴訟者,應委任律師代理訴訟,除期能加強該訴訟品質外,並符合民事訴訟法第六十八條第一項本文,有關訴訟代理人應委任律師之規定。爰參考消費者保護法第四十九條第二項前段,增訂本條規定。
第五章 罰則
第四十一條
意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
立法說明
配合修正條文第一條之一主管機關個資會之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除原條文關於中央目的事業主管機關之文字。另依目前司法實務見解,本條所定意圖之構成要件,關於「為自己或第三人不法之利益」一節,限於財產上利益;「損害他人之利益」一節,則不以財產上利益為限,併此敘明。
第四十二條
意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、條次變更,本條為原條文第三十四條移列。
二、本條立法意旨在於處罰以非法方式妨害個人資料檔案正確性之行為。原條文之「輸出」二字,易誤解為傳輸個人資料檔案,即使未妨害該個人資料檔案之正確性亦得處罰,爰予刪除「輸出」二字。另將致生損害結果文字略作修正,以資明確。
三、為期本條刑責與偽造文書罪及妨害電腦使用罪平衡起見,爰將刑度修正提高為「五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」
二、本條立法意旨在於處罰以非法方式妨害個人資料檔案正確性之行為。原條文之「輸出」二字,易誤解為傳輸個人資料檔案,即使未妨害該個人資料檔案之正確性亦得處罰,爰予刪除「輸出」二字。另將致生損害結果文字略作修正,以資明確。
三、為期本條刑責與偽造文書罪及妨害電腦使用罪平衡起見,爰將刑度修正提高為「五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」
第四十三條
中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、違法侵害個人資料之行為,並不限於在我國境內始足為之,為強化對個人資料之保護,爰增定本條規定。
三、參考日本行政機關保有個人資訊保護法第五十六條、獨立行政法人等保有個人資訊保護法第五十三條規定。
二、違法侵害個人資料之行為,並不限於在我國境內始足為之,為強化對個人資料之保護,爰增定本條規定。
三、參考日本行政機關保有個人資訊保護法第五十六條、獨立行政法人等保有個人資訊保護法第五十三條規定。
第四十四條
公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。
立法說明
(民國 99 年 04 月 27 日 全文修正)
條次變更,本條為原條文第三十五條移列,內容未修正。
第四十五條
本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十二條之罪者,不在此限。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第四十六條
犯本章之罪,其他法律有較重處罰規定者,從其規定。
立法說明
(民國 99 年 04 月 27 日 全文修正)
條次變更,本條為原條文第三十七條移列,內容未修正。
第四十七條
非公務機關有下列情事之一者,由主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反依第二十一條規定所為限制國際傳輸之命令或處分。
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反依第二十一條規定所為限制國際傳輸之命令或處分。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正序文中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除第四款關於中央目的事業主管機關之文字,並酌修文字。
第四十八條
非公務機關有下列情事之一者,由主管機關令其限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條或第十三條規定。
三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。
非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
非公務機關有下列情事之一者,由主管機關處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰:
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一,其情節重大者,由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
一、違反第八條或第九條規定。
二、違反第十條、第十一條或第十三條規定。
三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或時限之規定。
四、違反第二十條第二項或第三項規定。
非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報之內容、方式、時限、應變措施、紀錄保存之規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
非公務機關有下列情事之一者,由主管機關處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰:
一、違反第二十條之一第一項規定。
二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事項、管理機制、應採取措施之規定。
三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之內容、執行方式或基準之規定。
非公務機關有前項各款情事之一,其情節重大者,由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
立法說明
一、配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正原第一項序文、第二項及第三項中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。
二、為配合修正條文第十二條關於事故通知義務之修正,及事故通報義務之增訂,督促非公務機關確實執行,爰於第一項第三款及第二項增訂對應之罰則。其中,通知義務係為使當事人得以及時獲悉個人資料事故之發生,以自主維護其權益,而應變措施、紀錄保存或通報義務主要係為控管危害,並使主管機關得及時掌握事態及日後進行查驗,立法意旨及違失情節尚有不同,爰針對違反通知當事人義務者,於第一項第三款單獨規定處罰事由,並應先令非公務機關限期改正;原第一項第三款,遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者,則新增第二項處罰規定,毋庸先令其限期改正即可逕予處罰。
三、第二項及第三項遞移為第三項及第四項,並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。
二、為配合修正條文第十二條關於事故通知義務之修正,及事故通報義務之增訂,督促非公務機關確實執行,爰於第一項第三款及第二項增訂對應之罰則。其中,通知義務係為使當事人得以及時獲悉個人資料事故之發生,以自主維護其權益,而應變措施、紀錄保存或通報義務主要係為控管危害,並使主管機關得及時掌握事態及日後進行查驗,立法意旨及違失情節尚有不同,爰針對違反通知當事人義務者,於第一項第三款單獨規定處罰事由,並應先令非公務機關限期改正;原第一項第三款,遞移為第四款。而針對違反個人資料事故通報、應變措施、紀錄保存等義務者,則新增第二項處罰規定,毋庸先令其限期改正即可逕予處罰。
三、第二項及第三項遞移為第三項及第四項,並配合修正條文第二十條之一及第五十一條之一增訂相應之罰則。
第四十九條
非公務機關違反第二十二條第四項規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正中央目的事業主管機關及直轄市、縣(市)政府權限之文字,並配合修正條文第二十二條第四項酌修文字。
第五十條
非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、非公務機關之代表人、管理人或其他有代表權人,對於該公務機關,本有指揮監督之責,故非公務機關依第四十六條至第四十八條規定受罰鍰之處罰時,該非公務機關之代表人、管理人或其他有代表權人,對該違反本法行為,應視為疏於職責,未盡其防止之義務(包含個人資料應採取適當安全措施之義務),而為指揮監督之疏失,除能證明其已盡防止義務者外,應並受同一額度罰鍰之處罰。
二、非公務機關之代表人、管理人或其他有代表權人,對於該公務機關,本有指揮監督之責,故非公務機關依第四十六條至第四十八條規定受罰鍰之處罰時,該非公務機關之代表人、管理人或其他有代表權人,對該違反本法行為,應視為疏於職責,未盡其防止之義務(包含個人資料應採取適當安全措施之義務),而為指揮監督之疏失,除能證明其已盡防止義務者外,應並受同一額度罰鍰之處罰。
第六章 附則
第五十一條
有下列情形之一者,不適用本法規定:
一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。
一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。
立法說明
(民國 99 年 04 月 27 日 全文修正)
一、本條新增。
二、依修正條文第二條第八款規定,本法所稱非公務機關包括自然人,惟有關自然人為單純個人(例如:社交活動等)或家庭活動(例如:建立親友通訊錄等)而蒐集、處理或利用個人資料,因係屬私生活目的所為,與其職業或業務職掌無關,如納入本法之適用,恐造成民眾之不便亦無必要,爰增訂第一項規定,予以排除。
三、由於科技之進步與網際網路使用普遍,即使在我國領域外蒐集、處理或利用國人之個人資料,亦非常容易。為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益,以規避法律責任,爰增訂第二項,明定在我國領域外,亦有本法之適用。
四、參考一九九五年歐盟資料保護指令(95/46/EC)第三條、德國聯邦個人資料保護法第一條第二項第三款、日本個人資訊保護法第五十條等。
二、依修正條文第二條第八款規定,本法所稱非公務機關包括自然人,惟有關自然人為單純個人(例如:社交活動等)或家庭活動(例如:建立親友通訊錄等)而蒐集、處理或利用個人資料,因係屬私生活目的所為,與其職業或業務職掌無關,如納入本法之適用,恐造成民眾之不便亦無必要,爰增訂第一項規定,予以排除。
三、由於科技之進步與網際網路使用普遍,即使在我國領域外蒐集、處理或利用國人之個人資料,亦非常容易。為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益,以規避法律責任,爰增訂第二項,明定在我國領域外,亦有本法之適用。
四、參考一九九五年歐盟資料保護指令(95/46/EC)第三條、德國聯邦個人資料保護法第一條第二項第三款、日本個人資訊保護法第五十條等。
第五十一條之一
第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十七條至第五十條所定對非公務機關之監督管理事項,於主管機關成立之日起六年內,由主管機關報請行政院公告一定範圍之非公務機關,仍由中央目的事業主管機關或直轄市、縣(市)政府管轄。
主管機關應每二年會商相關機關後,報請行政院調整減列前項公告所定一定範圍之非公務機關。
中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法,由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之;並得為更嚴格之規定。
主管機關應每二年會商相關機關後,報請行政院調整減列前項公告所定一定範圍之非公務機關。
中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦法,由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之辦法定之;並得為更嚴格之規定。
第五十二條
第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定由主管機關執行之權限,主管機關得委託或委辦其他機關(構)、行政法人或公益團體辦理。
於前條第一項及第二項公告之範圍內,中央目的事業主管機關或直轄市、縣(市)政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限,委任所屬機關、委託或委辦其他機關(構)、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者,其成員對於因執行相關事務所知悉或持有之資料,負保密義務。
第一項及第二項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
於前條第一項及第二項公告之範圍內,中央目的事業主管機關或直轄市、縣(市)政府得將第二十二條第一項、第三項、第五項、第七項、第二十三條及第二十四條規定之執行權限,委任所屬機關、委託或委辦其他機關(構)、行政法人或公益團體辦理。
依前二項規定受委託、委辦或委任者,其成員對於因執行相關事務所知悉或持有之資料,負保密義務。
第一項及第二項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
立法說明
一、第一項前段所定得為權限移轉之範圍增列第十二條第二項,授權主管機關得將通報之受理或轉知權限委託或委辦其他機關(構)、行政法人或公益團體辦理,並修正定明所援引之第二十二條項次,使權限移轉事項明確化。另鑒於第二十五條及第二十六條所定權限屬於終局處分或決定,與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同,考量終局處分或決定仍較適宜由主管機關進行最終審認判斷,爰修正限縮本條適用範圍為行政檢查相關作業。
二、配合修正條文第五十一條之一規定,在過渡期間內,因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣(市)政府管轄,實務上中央目的事業主管機關或直轄市、縣(市)政府仍可能有權限移轉之必要,爰新增第二項明定其權限移轉之依據,且仍限於行政檢查相關作業。
三、第一項後段關於保密義務之規定,移列第三項;第三項遞移為第四項,並均酌修文字。
二、配合修正條文第五十一條之一規定,在過渡期間內,因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣(市)政府管轄,實務上中央目的事業主管機關或直轄市、縣(市)政府仍可能有權限移轉之必要,爰新增第二項明定其權限移轉之依據,且仍限於行政檢查相關作業。
三、第一項後段關於保密義務之規定,移列第三項;第三項遞移為第四項,並均酌修文字。
第五十三條
主管機關應訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正本條規定。
第五十三條之一
對主管機關依本法所為之行政處分不服者,直接適用行政訴訟程序。
於第五十一條之一第一項、第二項公告範圍內之非公務機關,對中央目的事業主管機關或直轄市、縣(市)政府依本法所為之行政處分不服者,向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者,直接適用行政訴訟程序。
對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行政處分不服,於修正施行後提起訴願者,應向主管機關為之。
本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之訴願事件,於修正施行後仍由原受理訴願機關依訴願法規定終結之。
於第五十一條之一第一項、第二項公告範圍內之非公務機關,對中央目的事業主管機關或直轄市、縣(市)政府依本法所為之行政處分不服者,向主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立機關所為者,直接適用行政訴訟程序。
對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行政處分不服,於修正施行後提起訴願者,應向主管機關為之。
本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之訴願事件,於修正施行後仍由原受理訴願機關依訴願法規定終結之。
第五十四條
本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處理或利用者,應於處理或利用前,依第九條規定向當事人告知。
前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。
未依前二項規定告知而利用者,以違反第九條規定論處。
前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。
未依前二項規定告知而利用者,以違反第九條規定論處。
立法說明
(民國 104 年 12 月 15 日 修正)
照協商條文通過。
第五十五條
本法施行細則,由主管機關定之。
立法說明
配合修正條文第一條之一主管機關個資會之成立及其監理權限,修正本條規定。
第五十六條
本法施行日期,由行政院定之。
本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條,自公布日施行。
本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條,自公布日施行。
立法說明
(民國 112 年 05 月 16 日 修正)
一、第一項未修正。
二、修正條文第四十八條規定係為遏止個人資料外洩事件,加強個人資料保護,應自公布日施行,爰修正第二項。另修正條文第一條之一為配合本法主管機關設立之配套規定,涉及政府組織調整相關進程,其施行日期依第一項規定係由行政院定之,併予敘明。
三、原條文第三項及第四項係有關本法一百零一年十月一日施行時,廢除電腦處理個人資料保護法規定之申請登記、執照制度、退還已繳規費等事宜之過渡條文,因現行已無相關案例可茲適用,爰予刪除。
二、修正條文第四十八條規定係為遏止個人資料外洩事件,加強個人資料保護,應自公布日施行,爰修正第二項。另修正條文第一條之一為配合本法主管機關設立之配套規定,涉及政府組織調整相關進程,其施行日期依第一項規定係由行政院定之,併予敘明。
三、原條文第三項及第四項係有關本法一百零一年十月一日施行時,廢除電腦處理個人資料保護法規定之申請登記、執照制度、退還已繳規費等事宜之過渡條文,因現行已無相關案例可茲適用,爰予刪除。
