[法律] 個人資料保護法 暨 施行細則 全文(含修正條文)

Photography by: vegas

        務部在 99 年 05 月 26 日公佈「個人資料保護法」,共計 56 條(含修正條文),並在 101 年 09 月 26 日公佈「個資法施行細則」,共計 33 條(含修正條文)。一則攸關人民資訊權益的法案,正式在同年 10 月 01 日起正式實施。我在這邊將該二法則的條文與細節詳列如下,以方便後續文章撰寫使用:

個人資料保護法

第 一 章 總則

第 1 條 為規範個人資料之蒐集、處理及利用以避免人格權受侵害,並促進個人 資料之合理利用,特制定本法。

人格權(Publicity Rights),大致分為兩種權利:公開宣傳的權利——拒絕自己的影像或代表性物件未經同意或簽約,就被作為商業用途的權利;隱私的權利——拒絕自己的身份未經同意就被公開的權利。相關應用可參考本人拙作:「[攝影] 大家都要瞭解的著作權與肖像權法律」。)
第 2 條 本法用詞,定義如下:

  1. 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 
  2. 個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合
  3. 蒐集:指以任何方式取得個人資料。
  4. 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 
  5. 利用:指將蒐集之個人資料為處理以外之使用。 
  6. 國際傳輸:指將個人資料作跨國(境)之處理或利用。 
  7. 公務機關:指依法行使公權力之中央或地方機關或行政法人。 
  8. 非公務機關:指前款以外之自然人、法人或其他團體。 
  9. 當事人:指個人資料之本人。 

第 3 條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:

  1. 查詢或請求閱覽。 
  2. 請求製給複製本。
  3. 請求補充或更正。 
  4. 請求停止蒐集、處理或利用。
  5. 請求刪除。

第 4 條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關

意思應該是指,往後受理委託的程式開發商,也會與委託者同責。
第 5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。

第 6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、 處理或利用。但有下列情形之一者,不在此限:

  1. 法律明文規定。
  2. 公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當 安全維護措施。 
  3. 當事人自行公開或其他已合法公開之個人資料。 
  4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資 料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之 辦法,由中央目的事業主管機關會同法務部定之。

第 7 條 第十五條第二款第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 第十六條第七款第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響 後,單獨所為之書面意思表示

第 8 條 公務機關或非公務機關依第十五條第十九條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項

  1. 公務機關或非公務機關名稱。 
  2. 蒐集之目的。 
  3. 個人資料之類別。 
  4. 個人資料利用之期間、地區、對象及方式。 
  5. 當事人依第三條規定得行使之權利及方式。
  6. 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 

有下列情形之一者,得免為前項之告知:

  1. 依法律規定得免告知。
  2. 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。
  3. 告知將妨害公務機關執行法定職務。 
  4. 告知將妨害第三人之重大利益。
  5. 當事人明知應告知之內容。

第 9 條 公務機關或非公務機關依第十五條第十九條規定蒐集非由當事人提供之 個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。有下列情形之一者,得免為前項之告知:

  1. 有前條第二項所列各款情形之一。 
  2. 當事人自行公開或其他已合法公開之個人資料。 
  3. 不能向當事人或其法定代理人為告知。
  4. 基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供 者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
  5. 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。

第 10 條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:

  1. 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。
  2. 妨害公務機關執行法定職務。 
  3. 妨害該蒐集機關或第三人之重大利益。

第 11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求, 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求, 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料, 應於更正或補充後,通知曾提供利用之對象。

第 12 條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或 其他侵害者,應查明後以適當方式通知當事人。

第 13 條 公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內, 為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其 原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內 ,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將 其原因以書面通知請求人。

第 14 條 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。

第 二 章 公務機關對個人資料之蒐集、處理及利用

第 15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

  1. 執行法定職務必要範圍內。
  2. 經當事人書面同意。 
  3. 對當事人權益無侵害。

第 16 條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用:

  1. 法律明文規定。
  2. 為維護國家安全或增進公共利益。 
  3. 為免除當事人之生命、身體、自由或財產上之危險。 
  4. 為防止他人權益之重大危害。 
  5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。
  6. 有利於當事人權益。
  7. 經當事人書面同意。 

第 17 條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱; 其有變更者,亦同:

  1. 個人資料檔案名稱。 
  2. 保有機關名稱及聯絡方式。
  3. 個人資料檔案保有之依據及特定目的。
  4. 個人資料之類別。

第 18 條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人 資料被竊取、竄改、毀損、滅失或洩漏。

第 三 章 非公務機關對個人資料之蒐集、處理及利用

第 19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

  1. 法律明文規定。
  2. 與當事人有契約或類似契約之關係。 
  3. 當事人自行公開或其他已合法公開之個人資料。 
  4. 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過 提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 
  5. 經當事人書面同意。 
  6. 與公共利益有關。 
  7. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人 資料。 

第 20 條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:

  1. 法律明文規定。
  2. 為增進公共利益。 
  3. 為免除當事人之生命、身體、自由或財產上之危險。 
  4. 為防止他人權益之重大危害。
  5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。 
  6. 經當事人書面同意。  

非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時 ,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。

第 21 條 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:

  1. 涉及國家重大利益。
  2. 國際條約或協定有特別規定。
  3. 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞 。
  4. 以迂迴方法向第三國(地區)傳輸個人資料規避本法。

第 22 條 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。參與檢查之人員,因檢查而知悉他人資料者,負保密義務。

第 23 條 對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。

第 24 條 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。

第 25 條 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、 縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制 違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方 法為之。

第 26 條 中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後 ,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查 結果。

第 27 條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料 被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關 定之。

第 四 章 損害賠償及團體訴訟

第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害 當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所 致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者, 並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依 侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害 賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者,不在此限。

第 29 條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。依前項規定請求賠償者,適用前條第二項至第六項規定。

第 30 條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行 使而消滅;自損害發生時起,逾五年者,亦同。

第 31 條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機 關適用民法之規定。

第 32 條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:

  1. 財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達 一百人。
  2. 保護個人資料事項於其章程所定目的範圍內。 
  3. 許可設立三年以上。

第 33 條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方 法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地 之地方法院管轄。 前項非公務機關為自然人,而其在本國現無住所或住所不明者,以其 在本國之居所,視為其住所;無居所或居所不明者,以其在本國 最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法 院管轄。 第一項非公務機關為自然人以外之法人或其他團體,而其在本國現無 主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地 之地方法院管轄。

第 34 條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社 團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自 己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴 訟實施權之授與,並通知法院。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害 之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴 訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張 應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者, 亦得於法院公告曉示之一定期間內起訴,由法院併案審理。 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為 必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國 庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺 幣六十萬元者,超過部分暫免徵裁判費。

第 35 條 當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然 停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟 。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施 權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。

第 36 條 各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別 計算。

第 37 條 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟 行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制,其效力不及於其他當事人。 第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法 院。

第 38 條 當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人 上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。 財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人 ,並應於七日內將是否提起上訴之意旨以書面通知當事人。

第 39 條 財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟 必要費用後,分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬 。

第 40 條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。

第 五 章 罰則

第 41 條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規 定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分, 足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬 元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以 下罰金。

第 42 條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案 為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生 損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以 下罰金。

第 43 條 本國人民在領域外對中華民國人民犯前二條之罪者,亦適用 之。

第 44 條 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分 之一。

第 45 條 本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯 第四十二條之罪者,不在此限。

第 46 條 犯本章之罪,其他法律有較重處罰規定者,從其規定。

第 47 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣( 市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未 改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或 處分。

第 48 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣( 市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以 下罰鍰: 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。

第 49 條 非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主 管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。

第 50 條 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三 條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰 之處罰。

第 六 章 附則

第 51 條 有下列情形之一者,不適用本法規定:

  1. 自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料 。
  2. 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
  3. 公務機關及非公務機關,在我國領域外對人民個人資料蒐集 、處理或利用者,亦適用本法。

第 52 條 第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市 )政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其 成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施 權,以自己之名義提起損害賠償訴訟。

第 53 條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關 指定之。

第 54 條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利 用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期 未告知而處理或利用者,以違反第九條規定論處。

第 55 條 本法施行細則,由法務部定之。

第 56 條 本法施行日期,由行政院定之。 現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。 前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指 定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個 人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。 已辦理完成者,亦得申請退費。 前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之 日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計 利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起, 至目的事業主管機關核准申請之日止,亦同。

個人資料保護法施行細則修正條文

第一條 本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。

第二條 本法所稱個人,指現生存之自然人。

第三條 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。

第四條 本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。 

  1. 本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。 
  2. 本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。 
  3. 本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。 
  4. 本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。 
  5. 本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。 

第五條 本法第二條第二款所定個人資料檔案,包括備份檔案。

第六條 本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。 本法第二條第四款所稱內部傳送,指公務機關或非公務機關本身內部之資料傳送。 

第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。

第八條 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項:

  1. 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 
  2. 受託者就第十二條第二項採取之措施。 
  3. 有複委託者,其約定之受託者。 
  4. 受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。 
  5. 委託機關如對受託者有保留指示者,其保留指示之事項。 
  6. 委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。 

第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。 

受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。

第九條 本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,指法律或法律具體明確授權之法規命令。

第十條 本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:

  1. 法律、法律授權之命令。 
  2. 自治條例。 
  3. 法律或自治條例授權之自治規則。 
  4. 法律或中央法規授權之委辦規則。 

第十一條 本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。

前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:

  1. 配置管理之人員及相當資源。 
  2. 界定個人資料之範圍。 
  3. 個人資料之風險評估及管理機制。 
  4. 事故之預防、通報及應變機制。 
  5. 個人資料蒐集、處理及利用之內部管理程序。 
  6. 資料安全管理及人員管理。 
  7. 認知宣導及教育訓練。 
  8. 設備安全管理。 
  9. 資料安全稽核機制。 
  10. 使用紀錄、軌跡資料及證據保存。 
  11. 個人資料安全維護之整體持續改善。 

第十三條 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人資料。

本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

第十四條 本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。

第十五條 本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

第十六條 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

第十七條 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。

第十八條 本法第十條第三款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。

第十九條 當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。

第二十條 本法第十一條第三項所稱特定目的消失,指下列各款情形之一:

  1. 公務機關經裁撤或改組而無承受業務機關。 
  2. 非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。 
  3. 特定目的已達成而無繼續處理或利用之必要。 
  4. 其他事由足認該特定目的已無法達成或不存在。 

第二十一條 有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:

  1. 有法令規定或契約約定之保存期限。 
  2. 有理由足認刪除將侵害當事人值得保護之利益。 
  3. 其他不能刪除之正當事由。 

第二十二條 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。

依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。

第二十三條 公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。

本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。

第二十四條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。

第二十五條 本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。

公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。

第二十六條 本法第十九條第一項第二款所定契約或類似契約之關係,不以本法修正施行後成立者為限。

第二十七條 本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。

本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:

  1. 非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。 
  2. 契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。 

第二十八條 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

第二十九條 依本法第二十二條規定實施檢查時,應注意保守秘密及被檢查者之名譽。

第三十條 依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。

依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄。

前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。

紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。

第三十一條 本法第五十二條第一項所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第三十二條 本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得繼續為處理及特定目的內之利用;其為特定目的外之利用者,應依本法修正施行後之規定為之。

第三十三條 本細則施行日期,由法務部定之。

和朋友分享精彩故事

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *