名稱:個人資料保護法 | 名稱:電腦處理個人資料保護法 | 為貫徹對個人資料之保護,本法保護客體,不再以經電腦處理之個人資料為限,爰將本法名稱修正為「個人資料保護法」。 |
第一章 總 則 | 第一章 總 則 | 章名未修正。 |
第一條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。 | 第一條 為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。 | 鑒於本法保護客體不再限於經電腦處理之個人資料,且本法規範行為除個人資料之處理外,將擴及至包括蒐集及利用行為,爰將本條修正為「為規範個人資料之蒐集、處理及利用」,以資明確。 |
刪除 | 第二條 個人資料之保護,依本法之規定。但其他法律另有規定者,依其規定。 | 一、本條刪除。 二、按中央法規標準法第十六條第一項前段規定:「法規對其他法規所規定之同一事項而為特別之規定者,應優先適用之。」本法之性質應為普通法,其他特別法有關個人資料蒐集或利用之規定,不論較本法規定更為嚴格或寬鬆者,依特別法優於普通法之法理,自應優先適用各該特別規定。惟若無特別規定,當然仍應適用本法,毋庸贅述。且本法修正草案亦有相關例外條款包含「法律明文規定」,足資適用,例如:第六條第一款、第十六條第一款、第十九條第一款或第二十條第一項第一款規定。是以,為避免所謂「特別規定」令人誤解為全面排除本法適用,爰刪除本條規定。 |
第二條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。
| 第三條 本法用詞定義如左: 一、個人資料:指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。 二、個人資料檔案:指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合。 三、電腦處理:指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。 四、蒐集:指為建立個人資料檔案而取得個人資料。 五、利用:指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。 六、公務機關:指依法行使公權力之中央或地方機關。 七、非公務機關:指前款以外之左列事業、團體或個人: (一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。 (二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 (三)其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。 八、當事人:指個人資料之本人。 九、特定目的:指由法務部會同中央目的事業主管機關指定者。 | 一、條次變更。 二、將序文「如左」修正為「如下」,以符合法制用語。 三、本法所保障之法益為人格權,惟個人資料種類繁多,第一款關於「個人資料之定義」,除現行條文例示之日常生活中經常被蒐集、處理及利用之個人資料外,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,爰參考一九九五年歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條,將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,以期周全。 四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨,爰修正第二款關於「個人資料檔案」之定義。 五、由於蒐集個人資料之行為態樣繁多,有直接向當事人蒐集者;有間接從第三人取得者,為落實保護個人資料隱私權益,爰參考德國聯邦個人資料保護法第三條規定,修正第四款「蒐集」之定義。 六、配合本法保護客體放寬之修正意旨,爰將現行條文第三款「電腦處理」中「電腦」二字刪除,並將款次移列至第四款。另現行條文「電腦處理」之定義包括資料之傳遞,易遭誤解為傳遞給外部之第三人,而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」,以資明確。 七、現行條文第五款對於「利用」之定義,係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為),是否屬本法所稱之利用行為,滋生疑義。準此,爰參考德國聯邦個人資料保護法第一條規定,並將文字予以精簡,修正「利用」之定義。 八、現行條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」?抑或為「提供當事人以外第三人之利用」?易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」,並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理),例如:總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等;或將資料提供當事人以外第三人(屬資料利用),例如:母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關,只要該資料作跨國(境)之傳輸,不論是屬處理或利用行為,皆屬本法所稱之「國際傳輸」。 九、由於執行公務爾後將不限中央或地方機關,行政法人之組織型態亦將成為其中之一,爰將現行條文第六款公務機關之定義,納入行政法人,以期周全,並改列款次為第七款。 十、為配合本法放寬規範主體之修正意旨,爰修正現行條文第七款非公務機關之定義,並改列款次為第八款。 十一、本條係定義規定,而「特定目的」及「資料類別」之指定,並非屬定義事項,爰將現行條文第九款之「特定目的」及現行條文第十條第二項之「資料類別」予以合併規定,並移列至第六章附則第五十二條規定。 |
第三條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。 | 第四條 當事人就其個人資料依本法規定行使之左列權利,不得預先拋棄或以特約限制之: 一、查詢及請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止電腦處理及利用。 五、請求刪除。 | 一、條次變更。 二、將序文所定「左列」修正為「下列」,以符合法制用語。 三、當事人查詢其個人資料與請求閱覽得分別為之,是以將第一款之「及」字,修正為「或」字。 四、配合第二條第四款「處理」之定義規定,爰將第四款「電腦處理」中「電腦」二字予以刪除,並將「蒐集」亦列為得請求停止之事項,另「及利用」修正為「或利用」,以資明確。 |
第四條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。 | 第五條 受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內,其處理資料之人,視同委託機關之人。 | 一、條次變更。 二、受公務機關或非公務機關委託之事項,並不只限於處理資料,蒐集或利用資料均有可能,爰將「委託處理」修正為「委託蒐集、處理或利用」。另為期簡潔明確,將現行條文之「資料」修正為「個人資料」;「團體或個人」,修正為「者」;「委託機關之人」,修正為「委託機關」。 |
第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。 | 第六條 個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。 | 一、條次變更。 二、將個人資料之處理行為,亦納入本條之適用範圍,以期周延。 三、為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。 |
第六條有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。 |
| 一、本條新增。 二、按個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害。是以,一九九五年歐盟資料保護指令(95/46/EC)、德國聯邦個人資料保護法第十三條及奧地利聯邦個人資料保護法等外國立法例,均有特種(敏感)資料不得任意蒐集、處理或利用之規定。經審酌我國國情與民眾之認知,爰規定有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,其蒐集、處理或利用應較一般個人資料更為嚴格,須符合所列要件,始得為之,以加強保護個人之隱私權益。又所稱「性生活」包括性取向等相關事項,併予敘明。 三、有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,原則上不得任意蒐集、處理或利用,惟如有法律明文規定者,自不在此限,爰為第一款之規定。 四、蒐集、處理或利用前述之特種資料,係屬公務機關執行法定職務或非公務機關履行法定義務,例如:檢警機關偵辦犯罪,蒐集或利用涉嫌人之犯罪前科資料;醫生發現疑似法定傳染病,蒐集相關醫療資料通報主管機關等,公務機關或非公務機關自得依法為之,且依相關法令規定提供適當安全維護措施,爰仿一九九五年歐盟資料保護指令第八條(95/46/EC)及德國聯邦個人資料保護法第二十八條等外國立法例,而為第二款之規定。 五、當事人已自行公開或其他合法公開之個人資料,隱私已無被侵害之虞,爰為第三款之規定。 六、基於統計或學術研究之目的,經常會蒐集、處理或利用前述之特種資料,惟為避免寬濫,並加強保護特種或敏感個人資料,特規定適用本款限於為基於醫療、衛生或犯罪預防等特定目的,且於統計或學術研究而有必要之範圍內,並經一定程序而為蒐集、處理或利用之個人資料,始得蒐集、處理或利用,爰為第四款之規定。 七、為確保依本條第一項第四款規定所為因醫療、衛生或犯罪預防等目的而提供之個人資料,其提供者在合法必要範圍內提供,而蒐集者所蒐集之個人資料能獲得適當之安全維護,特種資料之提供者於其利用前,應特別審酌資料之提供範圍,以及提供時應經一定程序為之。由於前開範圍、程序及其他應遵行事項,涉及個人資料是否經匿名化處理或依其揭露方式無從識別特定當事人,或者是否應得當事人明示之書面同意等之慎重考量,故授權由法務部會同特種資料之中央目的事業主管機關訂定相關特種資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,以保障當事人之特種個人資料,爰新增第二項規定。 |
第七條 第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。 |
| 一、本條新增。 二、本法第十五條第二款及第十九條第五款所定「經當事人書面同意」,係資料蒐集者合法蒐集、處理或利用個人資料要件之一。書面同意既對當事人之權益有重大影響,自應經明確告知應告知之事項,使當事人充分瞭解後審慎為之,爰增訂第一項規定。 三、本法第十六條第七款、第二十條第一項第六款所定「經當事人書面同意」,係當事人同意資料蒐集者,將其個人資料作與蒐集目的不同之其他目的使用,因不符原先蒐集資料之特定目的,該書面同意自應特別審慎,除應特別明確告知該其他利用目的為何及其利用範圍外,同時亦應讓當事人明瞭,特定目的外利用之同意與否,對其權益是否會發生任何影響。另為避免該特定目的外利用個人資料之同意與其他事項作不當聯結,或被列入定型化契約之約定條款中被概括同意,而不利於當事人,特規定關於特定目的外利用其個人資料之書面同意,應獨立作書面意思表示,以保護當事人之權益,爰增訂第二項規定。 四、參考一九九五年歐盟資料保護指令(95/46/EC)第二條h款、德國聯邦個人資料保護法第四a條等。 |
第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。 |
| 一、本條新增。 二、個人資料之蒐集,事涉當事人之隱私權益。為使當事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等,爰於第一項規定蒐集時應告知當事人之事項,俾使當事人能知悉其個人資料被他人蒐集之情形。 三、原則上向當事人蒐集個人資料時,應告知當事人第一項所列事項,惟在部分特別情形下,或已有法律規定,或當事人已明知,履行第一項告知義務恐有礙職務之執行或無必要,爰於第二項規定得免告知之情形,其各款修正理由如次: (一)法律規定得免告知者,自勿庸再告知當事人第一項所列事項,爰為第一款之規定。 (二)資料之蒐集係公務機關執行其法定職務,例如:稅捐機關蒐集民眾收入所得資料;戶政機關蒐集民眾戶籍相關資料等,或非公務機關履行法律規定之義務,例如:醫生發現疑似法定傳染病患者,應報告主管機關(傳染病防制法第二十九條);各投保單位應備置蒐集僱用員工或會員名冊(勞工保險法第十條第一項);金融機構對於達一定金額以上之通貨交易,應確認客戶身分及留存交易紀錄憑證(洗錢防制法第七條)等,為提高行政效率,或避免執行上發生困擾,爰為第二款之規定。 (三)蒐集個人資料雖非屬公務機關之法定執掌,但公務機關執行其法定職務時,往往會涉及蒐集民眾之個人資料,例如:警察執行臨檢勤務;檢察機關偵辦刑事案件;行政執行機關辦理強制執行等,如依第一項規定告知當事人將發生妨害公務之執行時,自不宜告知當事人,爰為第三款之規定。 (四)履行第一項告知義務,如將妨害第三人之重大利益時,自得免為告知,爰為第四款之規定。 (五)第一項規定之告知義務,其意旨在於讓當事人能充分瞭解資料蒐集之目的及用途。如當事人已明知應告知之內容者,自無必要再重複告知,爰為第五款之規定。 四、如當事人不認同蒐集機關適用本條第二項之規定而免為告知時,仍得依本法第三條規定請求查詢或閱覽;被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由,請求補為告知,或依第十一條第四項規定,請求蒐集機關刪除、停止處理或利用該個人資料,併予敘明。 五、參考一九九五年歐盟資料保護指令(95/46/EC)第十條、第十三條、德國聯邦個人資料保護法第三十三條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第十八條等。 |
第九條 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。 |
| 一、本條新增。 二、蒐集個人資料除向當事人直接蒐集外,亦得自第三人取得之,此等間接蒐集個人資料,尤需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益。是以,第一項明定間接蒐集個人資料者(因屬間接蒐集,自無從於蒐集時併為告知),應於該資料處理或利用前,告知當事人資料來源及前條第一項第一款至第五款所列事項(第六款情形係屬當事人直接提供資料,於間接蒐集行為,無從適用)。 三、間接蒐集當事人之個人資料時,原則上應於處理該資料或利用前,告知當事人第一項所列事項。惟在部分特別情況下,告知恐有不宜或無必要,爰於第二項規定間接蒐集得免告知當事人之情形,其各款立法理由如次: (一)第一款規定於直接蒐集個人資料時,得免告知義務,在間接蒐集時,亦得免為告知,理由詳如前條說明。 (二)間接蒐集之個人資料,如係當事人自行公開揭露或其他合法公開之資料,對其隱私權應無侵害之虞,自得免為告知,爰為第二款之規定。 (三)為保護當事人之權益,第一項規定間接蒐集個人資料時,應告知當事人相關事項。惟客觀上顯然不能向當事人告知時,例如:當事人失蹤不知去向、昏迷不醒,亦無法得知其法定代理人為何人時,自無從告知。另基於各款項內容之體系性安排,爰移列為第三款規定。 (四)基於統計或學術研究目的,經常會以間接蒐集方式蒐集個人資料,如依其統計或研究計畫,當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可免除告知當事人之義務。另為避免以特定身分作為排除告知義務之規範對象,刪除原修正條文學術研究機構等文字,以符合基於公共利益為統計或學術研究之目的而有必要,且該資料須經處理後或依其揭露方式,無從識別特定當事人之客觀要件作為判斷依據,爰為第四款之規定。 (五)大眾傳播業者基於報導新聞之目的,經常以間接方式蒐集特定人之個人資料,如需依第一項規定告知當事人資料來源等相關事項,恐會造成新聞報導之困擾。另揆諸一九九五年歐盟資料保護指令(95/46/EC)及部分外國立法例,亦有將新聞業者低度或排除適用之規定。又依中華民國報業道德規範之宗旨,自由報業為自由社會之重要支柱,其主要責任在提高國民生活水準,服務民主政治,保障人民權利,增進公共利益與維護世界和平;新聞自由為自由報業之靈魂,惟報紙新聞和意見之傳播速度太快,影響太廣,故應慎重運用此項權利。準此,新聞報導之目的應與上開宗旨相契合,以促進公共利益為其最終目的。是以,為尊重新聞自由及增進公共利益,爰為第五款規定。 (六)如當事人不認同蒐集機關適用本條第二項之規定而免為告知時,得依本法第三條規定請求查詢或閱覽,被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由,請求補為告知,或依第十一條第四項規定,請求蒐集機關刪除、停止處理或利用該個人資料,併予敘明。 四、在間接蒐集個人資料之情形,原則上應於處理或利用前,向當事人告知個人資料來源等事項,但如能於首次對當事人為利用時(例如:對當事人進行商品行銷),併同告知,不但能提高效率,亦可減少勞費,且無損於當事人之權益,爰為第三項規定。 五、參考一九九五年歐盟資料保護指令(95/46/EC)第九條、第十一條、第十三條、德國聯邦個人資料保護法第十九a條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第五十條等。 |
第十條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。 | 第十二條 公務機關應依當事人之請求,就其保有之個人資料檔案,答覆查詢、提供閱覽或製給複製本。但有左列情形之一者,不在此限: 一、依前條不予公告者。 二、有妨害公務執行之虞者。 三、有妨害第三人之重大利益之虞者。 | 一、條次變更。 二、當事人得請求答覆查詢、提供閱覽或製給複製本之對象,不限於向公務機關,亦應包括非公務機關。為期明確,爰將現行條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。另「保有之個人資料檔案」亦修正為「蒐集之個人資料」,以期適用明確,其各款修正理由如次: (一)依第三條規定,當事人就其個人資料有查詢或請求閱覽及製給複製本等權利,且不得預先拋棄或以特約限制。本此意旨,公務機關或非公務機關自應盡量依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本;為確保當事人之權利,爰將第一款修正限縮為限於妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益者,始得拒絕。 (二)現行條文第二款及第三款規定之「有……之虞」屬不確定法律概念,為免適用上發生疑義,爰刪除「之虞」二字。另第二款之「妨害公務執行」,應限於「妨害公務機關法定職務之執行」,爰併予修正。 (三)有些特殊性質資料,如提供當事人查詢、閱覽或製給複製本時,恐會洩漏資料蒐集者之業務秘密或妨害其重大利益。為此,第三款爰增加「該蒐集機關」之要件,以期周全。 |
第十一條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。 | 第十三條 公務機關應維護個人資料之正確,並應依職權或當事人之請求適時更正或補充之。 個人資料正確性有爭議者,公務機關應依職權或當事人之請求停止電腦處理及利用。但因執行職務所必需並註明其爭議或經當事人書面同意者,不在此限。 個人資料電腦處理之特定目的消失或期限屆滿時,公務機關應依職權或當事人之請求,刪除或停止電腦處理及利用該資料。但因執行職務所必需或經依本法規定變更目的或經當事人書面同意者,不在此限。 | 一、條次變更。 二、第一項修正理由如次: (一)本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將現行條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。 (二)資料蒐集機關發現資料正確性有誤,應主動予以更正或補充,爰修正本項及第二項。 三、按本法並無准許變更特定目的之規定,且現行條文第二十條業經刪除,已無需申請變更登記事項之規定,爰刪除第三項但書「或經依本法規定變更目的」等字。 四、現行條文僅規定蒐集機關應維護個人資料之正確,對於如何處理違法蒐集、處理或利用之個人資料,卻漏未規定,爰增訂第四項,明定對於違法蒐集、處理或利用之個人資料,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料,以加強保護當事人之權益。 五、不正確之個人資料將對當事人權益有嚴重影響,而個人資料因未更正或補充致使不正確時,如係可歸責於該蒐集機關之事由,自應課以該蒐集機關於更正或補充個人資料後,通知曾提供利用該資料之對象,以使該不正確之資料能即時更新,避免當事人權益受損,爰增訂第五項。 |
第十二條公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 |
| 一、本條新增。 二、按當事人之個人資料遭受違法侵害,往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等),迅速通知當事人,讓其知曉。 三、公務機關違反本條規定而隱匿不為通知者,其上級機關應查明後令其改正,如有失職人員,得依法懲處;非公務機關違反本條規定而隱匿不為通知者,其主管機關得依第四十七條第二款規定限期改正,屆期仍不改正者,得按次處以行政罰鍰,併予敘明。 |
第十三條 公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。 | 第十五條 公務機關受理當事人依本法規定之請求,應於三十日內處理之。其未能於該期間內處理者,應將其原因以書面通知請求人。 | 一、條次變更。 二、第一項修正理由如次: (一)本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將現行條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。 (二)當事人依第十條規定,請求查詢、閱覽其個人資料或製給複製本時,資料蒐集機關應儘速處理。現行條文規定需在三十日內處理,似嫌過長,對當事人不利,是以將准駁決定之期間,由「三十日」修正為「十五日」。另個人資料種類及數量繁多,如申請人數眾多,十五日恐不及辦理,是以另規定必要時得予延長,但不得逾十五日,且應將延長原因以書面通知請求人,讓其知曉。 三、當事人依第十一條規定,請求更正、補充,或請求刪除、停止蒐集、處理或利用其個人資料,因需較多時間查證該資料之正確性或其請求是否合理,十五日內恐無法處理完畢,爰增訂第二項,將此種情形之准駁決定期間,規定為三十日,必要時得予延長,但不得逾三十日,且應將延長原因以書面通知請求人。 四、當事人向公務機關或非公務機關請求查詢、閱覽、製給複製本,或請求更正、補充、刪除、停止蒐集、處理或利用其個人資料,遭駁回拒絕或未於規定期間內決定時,得依相關法律提起訴願或訴訟,自不待言。 |
第十四條 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。 | 第十六條 查詢或請求閱覽個人資料或製給複製本者,公務機關得酌收費用。 前項費用數額由各機關定之。 | 一、條次變更。 二、本條規定並非僅限於公務機關有其適用,非公務機關亦包括之。為期明確,爰將現行條文第二十六條第一項非公務機關準用本條之規定,予以刪除,並將「公務機關」修正為「公務機關或非公務機關」。 三、由於資料種類及蒐集、處理方式繁多,關於查詢、請求閱覽個人資料或製給複製本之費用,宜由各蒐集處理機關視該資料之性質酌予收取為妥,不宜由各機關或中央目的事業主管機關訂定,爰刪除第二項及現行條文第二十六條第二項規定,並明定收取之費用以必要成本費用為限。 |
第二章 公務機關對個人資料之蒐集、處理及利用 | 第二章 公務機關之資料處理 | 本章規範公務機關對個人資料之蒐集、處理及利用,並非僅規範資料之處理,爰將章名予以修正,以資明確。 |
第十五條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。 | 第七條 公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之: 一、於法令規定職掌必要範圍內者。 二、經當事人書面同意者。 三、對當事人權益無侵害之虞者。 | 一、條次變更。 二、第一項文字略作修正,以求語意明確順暢。另將「左列」修正為「下列」,以符合法制用語。又本條僅適用在一般個人資料,特種資料之蒐集或處理,仍應依本法第六條規定為之。 三、公務機關蒐集或處理個人資料,對當事人權益影響頗大,自應明確規定執行法定職務且在必要範圍內,始得為之。爰將第一款「法令規定職掌」修正為「執行法定職務」,以資明確。 四、第三款「之虞」二字,屬不確定法律概念。本條係公務機關蒐集或處理個人資料之要件規定,應力求明確,爰將「之虞」二字刪除。 |
第十六條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。 | 第八條 公務機關對個人資料之利用,應於法令職掌必要範圍內為之,並與蒐集之特定目的相符。但有左列情形之一者,得為特定目的外之利用: 一、法令明文規定者。 二、有正當理由而僅供內部使用者。 三、為維護國家安全者。 四、為增進公共利益者。 五、為免除當事人之生命、身體、自由或財產上之急迫危險者。 六、為防止他人權益之重大危害而有必要者。 七、為學術研究而有必要且無害於當事人之重大利益者。 八、有利於當事人權益者。 九、當事人書面同意者。 | 一、條次變更。 二、「法令職掌」修正為「執行法定職務」,修正理由同前條理由三。又本條僅適用在一般個人資料,特種資料之蒐集或處理,仍應依本法第六條規定為之。 三、將「左列」修正為「下列」,以符合法制用語。 四、特定目的外利用個人資料,對當事人隱私權益影響甚大,自應以法律規定為必要,爰將第一款「法令」修正為「法律」。 五、現行條文第二款「有正當理由而僅供內部使用者」已涵蓋於「執行法定職務內,且符合蒐集之特定目的」中,無贅引之必要,爰予刪除。 六、現行條文第三款及第四款合併修正,款次變更為第二款,以期簡潔。 七、現行條文第五款「急迫」二字,適用上易生疑義,為明確計,爰予刪除,款次並移列為第三款。 八、現行條文第六款之「而有必要」四字,在認定上不甚明確,爰予刪除,款次移列為第四款。 九、為促進資料合理利用,以統計或學術研究為目的,應得准許特定目的外利用個人資料,惟為避免寬濫,爰限制公務機關或學術研究機構基於公共利益且有必要,始得為之。另該用於統計或學術研究之個人資料,經提供者處理後或蒐集者依其揭露方式,應無從再識別特定當事人,始足保障當事人之權益,爰將現行條文第七款予以修正,款次移列為第五款。 十、現行條文第八款及第九款,移列為第六款及第七款。 |
刪除 | 第九條 公務機關對個人資料之國際傳遞及利用,應依相關法令為之。 | 一、本條刪除。 二、公務機關執行法定職務,將個人資料作跨國(境)之處理或利用,原本即應依相關法規辦理,在此應無庸另作規定,爰予刪除。 |
第十七條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 | 第十條 公務機關保有個人資料檔案者,應在政府公報或以其他適當方式公告左列事項;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱。 三、個人資料檔案利用機關名稱。 四、個人資料檔案保有之依據及特定目的。 五、個人資料之類別。 六、個人資料之範圍。 七、個人資料之蒐集方法。 八、個人資料通常傳遞之處所及收受者。 九、國際傳遞個人資料之直接收受者。 十、受理查詢、更正或閱覽等申請之機關名稱及地址。 前項第五款之個人資料之類別,由法務部會同中央目的事業主管機關定之。 | 、條次變更。 二、鑑於目前國人使用網際網路極為普遍,因此公務機關依現行條文規定應公告事項,如能張貼公開於機關電腦網站,將更有利於民眾查閱,惟慮及城鄉差距及電腦使用普及率等等因素,仍保留其他供公眾查閱之適當方式,例如:刊登政府公報等。 三、為便利人民行使第三條所列權利,爰於第二款後段增列「及聯絡方式」五字。 四、為求行政程序之簡便,爰刪除第三款、第六款至第十款等無公開必要之款次;現行條文第四款及第五款依序移列為第三款及第四款。 五、現行條文第二項有關個人資料類別之訂定,已於本法第五十二條規定,爰予刪除。 |
刪除 | 第十一條 左列各款之個人資料檔案,得不適用前條規定: 一、關於國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益者。 二、關於司法院大法官審理案件、公務員懲戒委員會審議懲戒案件及法院調查、審理、裁判、執行或處理非訟事件業務事項者。 三、關於犯罪預防、刑事偵查、執行、矯正或保護處分或更生保護事務者。 四、關於行政罰及其強制執行事務者。 五、關於入出境管理、安全檢查或難民查證事務者。 六、關於稅捐稽徵事務者。 七、關於公務機關之人事、勤務、薪給、衛生、福利或其相關事項者。 八、專供試驗性電腦處理者。 九、將於公報公告前刪除者。 十、為公務上之連繫,僅記錄當事人之姓名、住所、金錢與物品往來等必要事項者。 十一、公務機關之人員專為執行個人職務,於機關內部使用而單獨作成者。 十二、其他法律特別規定者。 | 一、本條刪除。 二、公務機關保有之個人資料檔案,因其性質特殊而不宜公開其檔案名稱者,應依政府資訊公開法或相關法律規定予以限制公開,不宜於本法中訂定得不適用前條有關公開之規定,爰將本條予以刪除。 |
刪除 | 第十四條 公務機關應備置簿冊,登載第十條第一項所列公告事項,並供查閱。 | 一、本條刪除。 二、由於現行條文第十條第一項所列公告事項,均已規定須公開於機關電腦網站,或以其他適當方式供公眾查詢,無庸再另行備置簿冊,增加行政負擔,爰將本條刪除。 |
第十八條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 | 第十七條 公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 | 一、條次變更。 二、現行條文之「依相關法令」應屬贅言,爰予刪除。 |
第三章 非公務機關對個人資料之蒐集、處理及利用 | 第三章 非公務機關之資料處理 | 本章規範非公務機關對個人資料之蒐集、處理及利用,並非僅規範資料之處理,爰將章名予以修正,以資明確。 |
第十九條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 | 第十八條 非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之: 一、經當事人書面同意者。 二、與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。 三、已公開之資料且無害於當事人之重大利益者。 四、為學術研究而有必要且無害於當事人之重大利益者。 五、依本法第三條第七款第二目有關之法規及其他法律有特別規定者。 | 一、條次變更。 二、第一項文字略作修正,以求語意明確順暢。另將「左列」修正為「下列」,以符合法制用語。又本條僅適用在一般個人資料,特種資料之蒐集或處理,仍應依本法第六條規定為之。 三、本次修正適用主體有關非公務機關部分,已取消行業別之限制,爰將現行條文第五款前段刪除,並將後段酌作文字修正為「法律明文規定」,款次移列為第一款。 四、現行條文第二款後段規定「而對當事人權益無侵害之虞」屬不確定法律概念,適用上易滋疑義,且蒐集、處理個人資料須符合本法第五條規定,不得逾越必要範圍,已有比例原則之規範,爰予刪除。 五、當事人自行公開之個人資料,已無保護必要。至於非由當事人公開之情形,有合法公開與非法公開,如非法公開之個人資料得由他人任意蒐集、處理,對當事人隱私權之保護勢必不週。是以,將現行條文第三款規定之「已公開之資料」修正為「已合法公開之個人資料」。另同條後段規定「且無害於當事人之重大利益者」不易認定,爰予刪除 六、學術研究機構基於統計或學術研究目的,經常會蒐集個人資料,如依其統計或研究計畫,當事人資料經過提供者匿名化處理,或蒐集者就其公布揭露方式無從再識別特定當事人者,應無侵害個人隱私權益之虞,應可允許其蒐集、處理個人資料,以促進資料之合理利用。惟為避免寬濫,僅限制學術研究機構基於公共利益而有必要者,始得為之,爰將第四款規定,予以修正。 七、現行條文第一款移列為第五款。 八、由於新聞自由屬於憲法第十一條所保障言論自由之範圍(司法院大法官釋字第三六四、四○七、四一四、五○九號解釋參照),其目的為使資訊流通順暢,並使人民參與公共事務能獲得最充分資訊之知的權利,以維持社會開放及民主程序之運作,使人民得有效地監督公共事務,新聞自由之制度性保障固有其存在之必要。然而,今日新聞媒體已非昔比,其所擁有之巨大影響力亦非任何政治實力可以掌握,稍有偏差,即有可能對於報導之個人造成難以彌補之傷害。從而,為維護人性尊嚴與個人主體性及尊重人格自由發展,隱私權亦為不可或缺之基本權利,尤其是資訊科技及傳播工具之發達,個人生活私密領域免於他人侵擾及個人資料之自主控制,均有其必要,並受憲法第二十二條所保障(司法院大法官釋字第六○三號解釋參照)。因此,公共事務之知的權利如涉及個人資料或個人隱私時,應特別慎重,以免過度侵入個人私的生活,故隱私權與新聞自由之界限有更具體明確之必要。新聞自由或知的權利與隱私權之衝突,如何確立二者間之界限,各國均陸續建立其判斷標準。在美國聯邦最高法院有關侵權行為或誹謗訴訟之判例中,以「新聞價值」(Newsworthiness)和「公眾人物」(Public
Figure)為判斷標準,上開二概念最終仍以「公共的領域」,即「公共事務」或「與公共相關之事務」為必要條件,故新聞自由或知的權利與隱私權之界限,其劃定標準應在於「事」而非在於「人」,故「公共利益」已足供作為判斷標準並簡單明確,此亦與中華民國報業道德規範宗旨相符,爰增訂第六款之規定。 九、由於資訊科技及網際網路之發達,個人資料之蒐集、處理或利用甚為普遍,尤其在網際網路上張貼之個人資料其來源是否合法,經常無法求證或需費過鉅,為避免蒐集者動輒觸法或求證費時,明定個人資料取自於一般可得之來源者,亦得蒐集或處理,惟為兼顧當事人之重大利益,如該當事人對其個人資料有禁止處理或利用,且相對於蒐集者之蒐集或處理之特定目的,顯有更值得保護之重大利益者,則不得為蒐集或處理,仍應經當事人同意或符合其他款規定事由者,始得蒐集或處理個人資料,爰參考德國聯邦個人資料保護法第二十八條規定,增訂第七款之規定。 十、再者,依本條第七款但書規定,當事人對其個人資料有禁止處理或利用之情形,且蒐集或處理者知悉或經通知者,應立即刪除或停止處理或利用相關個人資料,以確實維護當事人顯有更值得保護之重大利益,爰配合增訂第二項之規定。 |
刪除 | 第十九條 非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人資料之蒐集,電腦處理或國際傳遞及利用。 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人,應經目的事業主管機關許可並經登記及發給執照。 前二項之登記程序、許可要件及收費標準,由中央目的事業主管機關定之。 | 一、本條刪除。 二、適用本法之非公務機關已取消行業別之限制,任何自然人、法人、機構或其他團體均有本法之適用,自無需經目的事業主管機關登記並發給執照之必要,爰將本條予以刪除。 |
刪除 | 第二十條 申請為前條之登記,應具申請書,載明左列事項: 一、申請人之姓名、住、居所。如係法人或非法人團體,其名稱、主事務所、分事務所或營業所及其代表人或管理人之姓名、住、居所。 二、個人資料檔案名稱。 三、個人資料檔案保有之特定目的。 四、個人資料之類別。 五、個人資料之範圍。 六、個人資料檔案之保有期限。 七、個人資料之蒐集方法。 八、個人資料檔案之利用範圍。 九、國際傳遞個人資料之直接收受者。 十、個人資料檔案維護負責人之姓名。 十一、個人資料檔案安全維護計畫。 前項應記載之事項有變更者,應於變更後十五日內申請為變更登記。業務終止時,應於終止事由發生時起一個月內申請為終止登記。 為前項業務終止登記之申請時,應將其保有個人資料之處理方法陳報目的事業主管機關核准。 第一項第三款之特定目的與第四款之資料類別,由法務部會同中央目的事業主管機關定之。 第一項第十一款之個人資料檔案安全維護計畫之標準及第三項之處理方法,由中央目的事業主管機關定之。 | 一、本條刪除。 二、廢除非公務機關取得執照後始得蒐集、電腦處理及利用個人資料之制度,自無需再申請登記,爰將本條予以刪除。 |
刪除 | 第二十一條 前條申請登記核准後,非公務機關應將前條第一項第一款至第十款所列之事項於政府公報公告並登載於當地新聞紙。 | 一、本條刪除。 二、非公務機關取消行業別限制後,已無需申請登記,爰將本條予以刪除。 |
刪除 | 第二十二條 非公務機關應備置簿冊登載第二十條第一項第一款至第十款所列事項,並供查閱。 | 一、本條刪除。 二、非公務機關取消行業別限制後,已無需申請登記及公告相關事項,爰將本條予以刪除。 |
第二十條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次 行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 | 第二十三條 非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但有左列情形之一者,得為特定目的外之利用: 一、為增進公共利益者。 二、為免除當事人之生命、身體、自由或財產上之急迫危險者。 三、為防止他人權益之重大危害而有必要者。 四、經當事人書面同意者。 | 一、條次變更。 二、第一項修正理由如次: (一)將序文「左列」修正為「下列」,並將文字酌作修正,以符合法制用語。又本條僅適用在一般個人資料,特種資料之蒐集或處理,仍應依本法第六條規定為之。 (二)按法律有明文規定得特定目的外利用個人資料者,自應允許,爰增訂第一款規定。 (三)現行條文第一款至第四款,款次移列至第二、三、四、六款。 (四)現行條文第二款之「急迫」二字,甚難界定,爰予刪除,以資明確。 (五)現行條文第三款之「而有必要」屬不確定法律概念,易滋疑義,故予刪除。 (六)為促進資料合理利用,對於公務機關執行法定職務,或學術研究機構基於公共利益,從事統計或學術研究工作,有必要蒐集個人資料者,被請求提供資料之非公務機關,應得允許特定目的外利用該個人資料,提供作統計或學術研究之用。惟為避免寬濫,應僅限公務機關或學術研究機構,始得為之,且該個人資料經過處理後或依其揭露方式,無從識別特定當事人,以保護個人資料之隱私權益,爰增訂第五款規定。 三、非公務機關依第一項規定,利用個人資料從事商品行銷時(包括特定目的內與特定目的外之利用),如當事人擬拒絕接受該產品之行銷,只能依第三條規定,請求停止處理或利用或刪除其個人資料,往往緩不濟急。為尊重當事人拒絕接受行銷之權利,爰參考一九九五年歐盟資料保護指令(95/46/EC)第十四條、德國聯邦個人資料保護法第二十八條第四項規定,增訂第二項,明定當事人表示拒絕接受行銷時,非公務機關即應停止再利用其個人資料進行行銷。 四、為便利當事人表達拒絕接受行銷之意思表示,爰增訂第三項,規定非公務機關對當事人進行首次行銷時,應支付當事人拒絕行銷之費用,例如,提供免付費電話、免費回郵等。至於當事人日後得隨時以自費方式,表示拒絕再接受行銷,非公務機關應即停止再利用其個人資料進行行銷,自不待言。 |
第二十一條 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。 | 第二十四條 非公務機關為國際傳遞及利用個人資料,而有左列情形之一者,目的事業主管機關得限制之: 一、涉及國家重大利益者。 二、國際條約或協定有特別規定者。 三、接受國對於個人資料之保護未有完善之法令,致有損當事人權益之虞者。 四、以迂迴方法向第三國傳遞及利用個人資料規避本法者。 | 一、條次變更。 二、「傳遞」二字究指內部之傳送(處理行為)亦或提供給外部第三人(利用行為),易滋疑義。爰將「國際傳遞及利用」修正為「國際傳輸」,並將「國際傳輸」於第二條第六款明定其定義,包括資料之處理與利用,以資明確。 三、將「左列」修正為「下列」,以符合法制用語。 四、鑑於違反本條限制規定,將受有第四十一條規定之刑罰與第四十七條規定之行政罰,本條所定國際傳輸之限制,宜由中央目的事業主管機關為之,較為妥適,爰作修正。 五、中央目的事業主管機關發現有本條所列各款情形之一,應限制非公務機關國際傳輸個人資料者,得視事實狀況,以命令或個別之行政處分限制之,併予敘明。 六、第四款文字配合修正,增列(地區)二字。 |
第二十二條中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。 | 第二十五條 目的事業主管機關,認有必要時,得派員攜帶證明文件,對於應受其許可或登記之非公務機關,就本法規定之相關事項命其提供有關資料或為其他必要之配合措施,並得進入檢查。經發現有違反本法規定之資料,得扣押之。 對於前項之命令、檢查或扣押,非公務機關不得規避、妨礙或拒絕。 | 一、條次變更。 二、第一項修正理由如次: (一)按適用本法之非公務機關,業已取消行業別之限制,亦即任何自然人、法人或團體均有本法之適用。基於落實保護個人資料隱私權益之立法意旨,自宜設立專責機關為主管機關,但在未設立專責機關之前,由何機關為本法之主管機關,在認定與權責劃分上,實有窒礙之處。查現今社會中個人資料已為各個行業不可或缺之資訊,上至銀行、電信公司,下至私人診所、錄影帶店均會蒐集顧客之個人資料並建立檔案,成為經營該業務重要之一環。由於各個行業均有其目的事業主管機關,有屬中央者,有屬地方者,而個人資料之蒐集、處理或利用,與該事業之經營關係密切,應屬該事業之附屬業務,自宜由原各該主管機關,一併監督管理與其業務相關之個人資料保護事項,較為妥適。因此,本修正條文不作有關「本法之主管機關」定義性規定,至於現行條文規定「目的事業主管機關」應辦理之事項,於各條文中,直接修正由「中央目的事業主管機關或直轄市政府、縣(市)政府」辦理,以資明確,避免爭議。 (二)為落實個人資料之保護,應賦予監督機關有命令、檢查及處分權,爰修正第一項,規定中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入該非公務機關檢查或要求說明、提供相關證明資料,以強化監督機關之權責。 三、檢查人員發現非公務機關違反本法規定,如將所有儲存媒介物設備予以查扣,恐有違比例原則,爰於第二項規定,檢查時依行政罰法相關規定發現得沒入或可為證據之個人資料或檔案,而有扣留或複製之必要者,得予扣留或複製之。此外,以電腦儲存之資料檔案,其消磁、刪除或移轉非常快速,如檢查時未能即時扣留或複製,該違法資料或證據極易被湮滅或消除,檢查機關亦得依行政罰法相關規定,要求應扣留或複製物之所有人、持有人或保管人提出或交付,且於遇有無正當理由拒絕提出、交付或抗拒扣留或複製者,得強制為之,但應採取對該非公務機關權益損害最少之方法,以避免違反比例原則,例如:得複製檔案時,即無需予以扣留。 四、被檢查之個人資料檔案,有可能以不同方式儲存於各種類型媒介物,如未具有相當專業知識,勢必無法達成檢查目的,爰於第三項規定檢查機關得率同資訊、電信或法律等專業人員共同進行檢查。 五、被檢查之個人資料檔案,有可能以不同方式儲存於各種類型媒介物,如未具有相當專業知識,勢必無法達成檢查目的,爰於第三項規定檢查機關得率同資訊、電信或法律等專業人員共同進行檢查。 六、現行條文第二項,配合第一項文字修正後,移列為第四項。 七、為確保個人資料之隱私性,避免資料當事人二度受到傷害,增訂第五項明定因檢查而知悉他人資料者,應負保密義務,不得洩漏。 |
第二十三條 對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。 |
| 一、本條新增。 二、第一項明定扣留物或複製物應加具識別之標示,並為適當之處理,以確保其安全。 三、扣留物或複製物除應沒入或因調查他案而有留存之必要者,應繼續扣留外,如無必要留存,或決定不予處罰或未為沒入之裁處者,應即發還,以保障民眾權益。爰為第二項規定。 |
第二十四條非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。 |
| 一、本條新增。 二、當事人或物之所有人、持有人、保管人、利害關係人,對檢查或扣留、複製資料檔案行為認有違法或不當時,應有表示不服聲明異議之權利,以為救濟,爰增訂第一項。 三、增訂第二項,明定對於當事人等聲明之異議,執行檢查之機關認有理由者,應立即停止或變更其行為;認無理由者,得繼續執行。但因當事人等得於日後對此檢查或其他強制、扣留或複製行為,提起救濟,是以經其請求時,應將聲明異議之理由製作紀錄交付之,不得拒絕。 四、第三項明定當事人等對於聲明異議之決定不服時,僅得於對該案件之實體決定聲明不服時一併聲明之,不得單獨提起救濟;至於當事人等依法不得對該案件之實體決定聲明不服時,則可單獨對第一項之檢查、扣留、複製或其他強制行為,逕行提起行政訴訟,以保障其權利。 |
第二十五條 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。 |
| 一、本條新增。 二、中央目的事業主管機關或直轄市、縣(市)政府,發現非公務機關蒐集、處理或利用個人資料有違反本法規定之情形者,除依法裁處罰鍰外,自應採取必要之處分,以保護當事人之權益不被繼續侵害。為期處分種類明確起見,爰於第一項規定得為之處分包括:禁止蒐集、處理或利用個人資料;命令刪除該違法蒐集處理之個人資料檔案;對違法蒐集或處理之個人資料予以沒入或命銷燬;公布姓名、名稱與負責人及違法情形等。 三、中央目的事業主管機關或直轄市、縣(市)政府在作前項之處分時,應注意該非公務機關之權益,採取對其損害最少之方式為之,不得逾越必要範圍,以符合比例原則,爰為第二項之規定。 |
第二十六條 中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。 |
| 一、本條新增。 二、檢查結果雖未發現有違法情事,中央目的事業主管機關或直轄市、縣(市)政府(檢查機關),經徵得被檢查之非公務機關同意,仍得公布檢查結果,以昭公信,爰為本條規定。 |
第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。 | 第二十六條 第十二條、第十三條、第十五條、第十六條第一項及第十七條之規定,於非公務機關準用之。 非公務機關準用第十六條第一項規定酌收費用之標準,由中央目的事業主管機關定之。 | 一、條次變更。 二、第一項修正理由如次: (一)非公務機關準用現行條文第十二條、第十三條、第十五條、第十六條第一項規定,已分別於修正條文第十條、第十一條、第十三條及第十四條明定之,爰刪除現行條文第一項有關上開規定之準用及第二項規定。 (二)非公務機關雖不再準用公務機關「指定專人依相關法令辦理安全維護事項」之規定,惟對於所保有之個人資料檔案,仍應負安全保管責任,爰參考丹麥個人資料處理法第四十一條,規定非公務機關應採行適當之安全維護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 三、由於非公務機關行業別限制取消,現行條文第二十條第五項業已刪除。然某些行業如銀行、電信、醫院、保險等,因保有大量且重要之個人資料檔案,其所負之安全保管責任應較一般行業為重,爰增訂第二項規定,授權中央目的事業主管機關得指定特定之非公務機關,要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理,確保個人資料之安全維護。 四、前項規定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,宜有相關規範,以為依循,爰增訂第三項規定,授權由中央目的事業主管機關訂定辦法。 |
第四章 損害賠償及團體訴訟 | 第四章 損害賠償及其他救濟 | 一、章名修正。 二、現行條文第三十一條、第三十二條有關請求監督機關為適當處理之規定,業已刪除,回歸一般行政救濟或民法規定辦理。另增訂相關團體訴訟之規定,爰將章名修正為「損害賠償及團體訴訟」。 |
第二十八條公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。 | 第二十七條 公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 前二項損害賠償總額,以每人每一事件新臺幣二萬元以上十萬元以下計算。但能證明其所受之損害額高於該金額者,不在此限。 基於同一原因事實應對當事人負損害賠償責任者,其合計最高總額以新臺幣二千萬元為限。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。 | 一、條次變更。 二、第一項將現行條文「致當事人權益受損害者」等文字,修正為「致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者」,使其與國家賠償法第二條第二項及民法第一百八十四條第一項規定用語一致。 三、基於有損害始有賠償之法理,當事人能證明之損害均得請求賠償,且本法規範有不足者,亦得依民法相關規定為之。例外於當事人不易或不能證明其實際損害額之情形時,始有規範每人每一事件賠償金額上、下限之必要。另考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點「證人、鑑定人到場之日費,每次依新臺幣伍佰元支給」之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。 四、違法侵害個人資料事件,可能一個行為有眾多被害人或造成損害過於鉅大,為避免賠償額過鉅無法負擔並為風險預估與控管,現行條文第四項遂規定合計賠償最高總額以新臺幣二千萬元為限。惟現今公務機關或非公務機關蒐集、處理、利用或國際傳輸個人資料之情形日漸普遍,為加重個人資料蒐集者或持有者之責任,促其重視維護個人資料檔案安全之措施,並使被害人能受到較高額度之賠償,且總額限制之金額過低時,恐將產生實務操作之困難,爰修正第四項規定,將賠償總額新臺幣二千萬元之限制,提高為新臺幣二億元。另基於同一原因事實違法侵害個人資料事件,如其所涉利益超過新臺幣二億元者,自不宜再以該金額限制之,而以該所涉利益為限。 五、同一原因事實造成之被害人數過多或部分被害人實際損害嚴重,致損害總額超過第四項所定總額限制之新台幣二億元或所涉利益時,為避免第三項規定之賠償下限與第四項規定之賠償總額限制產生矛盾,爰增訂第五項規定,使其不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制,以配合第四項對於單一原因事實賠償總額限制之規定。 六、第二項及第五項未修正。 |
第二十九條非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第六項規定。 | 第二十八條 非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第五項之規定。 | 一、條次變更。 二、將現行條文第一項「致當事人權益受損害者」等文字修正為「侵害當事人權利者」,修正理由同前條理由二。 三、現行條文第二項配合前條款次修正而調整文字。
|
第三十條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。 | 第二十九條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。 | 條次變更,內容未修正。 |
第三十一條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。 | 第三十條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。 | 條次變更,內容未修正。 |
刪除 | 第三十一條 當事人向公務機關行使第四條所定之權利,經拒絕或未於第十五條所定之期限內處理者,當事人得於拒絕後或期限屆滿後二十日內,以書面向其監督機關請求為適當之處理。 前項監督機關應於收受請求後二個月內,將處理結果以書面通知請求人。 | 一、本條刪除。 二、當事人依本法第三條規定向公務機關行使權利遭受拒絕,或逾越本法第十三條規定之期限仍未獲處理者,因其性質屬行政處分,自得依訴願法或行政訴訟法相關規定尋求救濟。本條應無規範必要,爰予刪除。 |
刪除 | 第三十二條 當事人向非公務機關行使第四條所定之權利,經拒絕後,當事人得於拒絕後或期限屆滿後二十日內,以書面向其目的事業主管機關請求為適當之處理。 前項目的事業主管機關應於收受請求後二個月內,將處理結果以書面通知請求人。認其請求有理由者,並應限期命該非公務機關改正之。 | 一、本條刪除。 二、當事人依本法第三條規定向非公務機關行使權利遭受拒絕,或逾越本法第十三條規定之期限仍未獲處理者,因該爭議屬私權性質,當事人自宜循司法訴訟程序請求救濟。本條應無規範必要,爰予刪除。 |
第三十二條依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。 |
| 一、本條新增。 二、為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權,爰於本章增訂團體訴訟相關規定,期能發揮民間團體力量,共同推動個人資料保護工作。 三、目前社會上公益性民間團體甚多,良莠不齊,如均可以為被害民眾提起團體訴訟,恐會發生濫訟情形,或衍生其他弊端。對於得依本法規定提起團體訴訟之財團法人或公益社團法人,須符合本條所定要件,始得為之。 |
第三十三條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。 前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。 第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。 |
| 一、本條新增。 二、有關侵害個人資料之損害賠償訴訟,不論單一事件單一受害人,或同一原因事實造成多數當事人權利受侵害,亦不論其請求權依據,皆採專屬管轄,爰參考民事訴訟法第一條及非訟事件法第二條規定增訂本條,以利實務操作。
|
第三十四條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。 |
| 一、本條新增。 二、第一項至第二項係參考證券投資人及期貨交易人保護法第二十八條第一項至第三項之規定,及民事訴訟法擴大選定當事人法理,明定財團法人或公益社團法人須由二十人以上受有損害之當事人授與訴訟實施權後,得以自己之名義提起損害賠償訴訟,及在訴訟程序中,有關撤回訴訟實施權之授與、擴張應受判決事項之聲明與授與等事項之規定。 三、為使團體訴訟制度能確實發揮其應有之功能,並利於法院審理,宜一併建立公告曉示及併案審理機制,爰修正第二項並增訂第三項規定。 四、其他因同一原因事實受有損害之當事人,宜使其亦得聲請法院為公告曉示,俾維護其權益,爰增訂第四項。 五、公告方式及其費用負擔,宜有明文,俾免爭議,且為避免法院公告處不敷使用,爰仿消費者債務清理條例第十四條第一項規定,增訂第五項。 六、第六項規定係為鼓勵民眾能多利用本條規定之團體訴訟機制,請求損害賠償,並落實保護當事人之立法意旨,爰參考民事訴訟法第七十七條之二十二第一項規定,明定提起團體訴訟裁判費之暫免徵收方式。 |
第三十五條當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
|
| 一、本條新增。 二、第一項明定當事人撤回訴訟實施權,法院應停止該部分之訴訟程序,當事人應即聲明承受訴訟,法院亦得命當事人承受訴訟,以兼顧當事人原已起訴之權益(如中斷時效)。 三、基於訴訟安定及誠信原則,爰於第二項明定財團法人或公益社團法人提起本條訴訟後,縱因部分當事人撤回訴訟實施權,致其人數未達二十人,仍得就其餘部分繼續進行訴訟。 |
第三十六條各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別計算。 |
| 一、本條新增。 二、眾多之個人資料遭受侵害,各當事人之損害賠償請求權時效,不盡相同。爰參考證券投資人及期貨交易人保護法第三十條及消費者保護法第五十條第四項,明定其時效應分別計算,以期公平並免爭議。 |
第三十七條財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制,其效力不及於其他當事人。 第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法院。
|
| 一、本條新增。 二、財團法人或公益社團法人為當事人提起團體訴訟時,原則上有為一切訴訟行為之權。但有關捨棄、撤回或和解事項,影響當事人權益甚鉅,當事人自得限制之。另當事人中一人所為之限制效力及其方式,亦有規範必要,以資明確。爰參考證券投資人及期貨交易人保護法第三十一條,增訂本條規定。 |
第三十八條當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。 財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。
|
| 一、本條新增。 二、第一項明定當事人得自行提起上訴之要件及時期。 三、第二項明定財團法人或公益社團法人應將訴訟結果及是否提起上訴之意旨,儘速以書面方式通知當事人,俾當事人及早採行因應措施,以保障其權益。 |
第三十九條財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。 |
| 一、本條新增。 二、財團法人或公益社團法人為當事人提起團體訴訟,係為了多數受害人之利益,而非為其自身利益。是以,該訴訟如勝訴而得到賠償,扣除訴訟必要費用後,自應分別交付授與訴訟實施權之當事人,且不得請求報酬,以避免有趁機圖利之情事。爰參考證券投資人及期貨交易人保護法第三十三條及消費者保護法第五十條,增訂本條。 |
第四十條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。 |
| 一、本條新增。 二、財團法人或公益社團法人依第三十四條第一項規定提起團體訴訟者,應委任律師代理訴訟,除期能加強該訴訟品質外,並符合民事訴訟法第六十八條第一項本文,有關訴訟代理人應委任律師之規定。爰參考消費者保護法第四十九條第二項前段,增訂本條規定。 |
第五章 罰 則 | 第五章 罰 則 | 章名未修正。 |
第四十一條違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 | 第三十三條 意圖營利違反第七條、第八條、第十八條、第十九條第一項、第二項、第二十三條之規定或依第二十四條所發布之限制命令,致生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣四萬元以下罰金。 | 一、條次變更。 二、第一項修正理由如次: (一)修正主觀構成要件,不具營利意圖者,亦構成犯罪。 (二)鑑於現行條文第十九條之登記證照制度業已刪除,爰將現行條文有關違反第十九條第一項、第二項之規定刪除,另增訂違反第六條第一項規定(違法蒐集、處理或利用特種個人資料)者,亦須處罰之規定,其餘配合條次變更予以修正。 (三)為避免罰金數額上限偏低,無法收刑懲之效,爰提高罰金數額上限至新臺幣二十萬元。 三、增訂第二項,規定意圖營利犯前項之罪者,刑罰提高到五年以下有期徒刑,得併科新臺幣一百萬元以下罰金,期能遏阻盜賣個人資料之不法行為。 |
第四十二條意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。 | 第三十四條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔案之正確,致生損害於他人者,處三年以下有期徒刑、拘役或科新臺幣五萬元以下罰金。 | 一、條次變更。 二、本條立法意旨在於處罰以非法方式妨害個人資料檔案正確性之行為。現行條文之「輸出」二字,易誤解為傳輸個人資料檔案,即使未妨害該個人資料檔案之正確性亦得處罰,爰予刪除「輸出」二字。另將致生損害結果文字略作修正,以資明確。 三、為期本條刑責與偽造文書罪及妨害電腦使用罪平衡起見,爰將刑度修正提高為「五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」 |
第四十三條中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。 |
| 一、本條新增。 二、違法侵害個人資料之行為,並不限於在我國境內始足為之,為強化對個人資料之保護,爰增定本條規定。 三、參考日本行政機關保有個人資訊保護法第五十六條、獨立行政法人等保有個人資訊保護法第五十三條規定。 |
第四十四條公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。 | 第三十五條公務員假借職務上之權力、機會或方法,犯前二條之罪者,加重其刑至二分之一。 | 條次變更,文字酌作修正。 |
第四十五條本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯第四十二條之罪者,不在此限。 | 第三十六條本章之罪,須告訴乃論。 | 一、條次變更。 二、由於意圖營利而違法蒐集、處理或利用個人資料,或違反限制國際傳輸之命令或處分者,惡性較為重大,且侵害個人隱私權益甚鉅,爰增訂但書規定,對於第四十一條第二項之罪者,排除需告訴乃論,即令無被害人提出告訴,亦得追究犯罪者之刑事責任,以期加強打擊盜賣個人資料之不法行為。 三、鑑於刑法第三百六十一條與刑法第三百六十三條規定,攻擊公務機關電腦或其相關設備係非告訴乃論罪,爰於但書一併規定,對公務機關犯第四十二條之罪者,毋庸告訴乃論,以求一致。 |
第四十六條犯本章之罪,其他法律有較重處罰規定者,從其規定。 | 第三十七條 犯本章之罪,其他法律有較重處罰規定者,從其規定。 | 條次變更,內容未修正。 |
第四十七條非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。 | 第三十八條 有左列情事之一者,由目的事業主管機關處負責人新臺幣二萬元以上十萬元以下罰鍰,並令限期改正,逾期未改正者,按次處罰之: 一、違反第十八條規定者。 二、違反第十九條第一項或第二項規定者。 三、違反第二十三條規定者。 四、違反依第二十四條所發布之限制命令者。 有前項第一款、第三款或第四款之情事,其情節重大者,並得撤銷依本法所為之許可或登記。 | 一、條次變更。 二、本條係針對非公務機關違反本法規定時,所得科處之行政罰。為期明確,爰於本條序文明定處罰範疇為「非公務機關」。 三、將序文中之「左列」修正為「下列」,以符合法制用語。 四、明定處罰機關為中央目的事業主管機關或直轄市、縣(市)政府,修正理由參照本法第二十二條理由二(一)。 五、本法適用對象業並無行業別限制,故非公務機關不再以法人或團體為限,為達處罰效果,爰將現行法處罰對象為非公務機關之負責人修正為該非公務機關。至於該非公務機關有代表人、管理人或其他有代表權人,而未盡防止義務者,則並受同一罰鍰之處罰,另於本法第五十條規定之。 六、為避免罰鍰數額上限及下限偏低,無法收處罰之效,爰提高本條罰鍰數額為新臺幣五萬元以上五十萬元以下。 七、增列第一款明定違反第六條規定者應予處罰,並將現行條文第一款移列為第二款;第三款、第四款規定之條次配合修正。 八、本法已廢除非公務機關應經許可或登記制度,爰刪除第一項第二款與第二項規定。 |
第四十八條非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰: 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 | 第三十九條有左列情事之一者,由目的事業主管機關限期改正,逾期未改正者,按次處負責人新臺幣一萬元以上五萬元以下罰鍰: 一、違反第二十條第二項之規定者。 二、違反第二十一條關於登載於當地新聞紙之規定者。 三、違反第二十二條規定者。 四、違反第二十六條第一項準用第十二條、第十三條、第十五條、第十七條之規定者。 五、違反第二十六條第二項之收費標準者。 有前項第一款、第二款、第三款或第四款之情事,其情節重大者,並得撤銷依本法所為之許可或登記。 | 一、條次變更。 二、本條序文增訂「非公務機關」等字,修正理由同前條理由二。 三、將序文中之「左列」修正為「下列」,以符合法制用語。 四、處罰對象修正為「非公務機關」,修正理由同前條理由五。 五、將「目的事業主管機關」修正為「中央目的事業主管機關或直轄市、縣(市)政府」,理由參照本法第二十二條理由二(一)。 六、為避免罰鍰數額上限及下限偏低,無法收行政處罰之效,爰提高本條罰鍰數額為新臺幣二萬元以上二十萬元以下。 七、增訂第一款明定違反第八條或第九條規定應告知義務,經限期改正屆期仍未改正者,應予處罰。 八、現行條文第二十條至第二十二條業經刪除,現行條文第一項第一款至第三款亦配合刪除。 九、現行條文第一項第四款配合修正條文修正條次,移列為第二款,另增列違反本法第十二條規定者,亦得依第二款處罰。 十、增訂第三款規定,對於非公務機關違反本法第二十條第二項或第三項規定,當事人已拒絕接受行銷,仍未停止利用其個人資料行銷者,或於首次行銷時未免費提供當事人表示拒絕方式者,得限期改正,屆期仍未改正者,得按次處罰。 十一、為落實非公務機關對個人資料檔案安全維護之義務,明定違反第二十七條第一項未採行適當之安全措施,或中央目的事業主管機關依第二項規定指定之非公務機關,未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,得限期改正,屆期仍未改正者,則予以處罰,爰為第四款規定。 十二、現行條文第二十六條第二項業經刪除,現行條文第五款配合併予刪除。 十三、現行條文第二十條至第二十二條業經刪除,非公務機關應經許可或登記制度亦併予廢除,爰刪除現行條文第二項規定。 |
第四十九條非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。 | 第四十條 有左列情事之一者,由目的事業主管機關,按次處負責人新臺幣一萬元以上五萬元以下罰鍰: 一、不遵守目的事業主管機關依第二十條第三項核准方法處理者。 二、違反第二十五條第二項規定者。 三、違反依第三十二條第二項限期改正命令者。 有前項第二款或第三款之情事,其情節重大者,並得撤銷依本法所為之許可或登記。 | 一、條次變更。 二、本條序文增訂「非公務機關」等字,理由同第四十七條理由二。 三、參考公平交易法第四十三條規定,增加「無正當理由」,以排除具有阻卻違法正當事由情況下拒絕檢查行為之可罰性。 四、將「目的事業主管機關」修正為「中央目的事業主管機關或直轄市、縣(市)政府」,理由參照本法第二十二條理由二(一)。 五、處罰對象修正為「非公務機關」理由同本法第四十七條理由五。 六、現行條文第二十條業經刪除,另第三十二條第二項亦予刪除限期改正之規定,爰將第一項第一款及第三款配合刪除,第一項第二款配合條次修正後,移列於本文規定。 七、為避免罰鍰數額上限及下限偏低,無法收行政處罰之效,爰提高本條罰鍰數額為新臺幣二萬元以上二十萬元以下。另本條之處罰,已僅限對規避、妨害或拒絕檢查之行為,依本法第二十二條第二項規定,該等情形得使用強制力進行檢查,已無按次處罰之必要,爰將現行條文「按次」二字,予以刪除。 八、本法已廢除非公務機關應經許可或登記制度,爰刪除第二項規定。 |
第五十條非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。 |
| 一、本條新增。 二、非公務機關之代表人、管理人或其他有代表權人,對於該公務機關,本有指揮監督之責,故非公務機關依第四十七條至第四十九條規定受罰鍰之處罰時,該非公務機關之代表人、管理人或其他有代表權人,對該違反本法行為,應視為疏於職責,未盡其防止之義務(包含個人資料應採取適當安全措施之義務),而為指揮監督之疏失,除能證明其已盡防止義務者外,應並受同一額度罰鍰之處罰。 |
第六章附則 | 第六章附則 | 章名未修正。 |
第五十一條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。 |
| 一、本條新增。 二、依本法第二條第八款規定,本法所稱非公務機關包括自然人,惟有關自然人為單純個人(例如:社交活動等)或家庭活動(例如:建立親友通訊錄等)而蒐集、處理或利用個人資料,因係屬私生活目的所為,與其職業或業務職掌無關,如納入本法之適用,恐造成民眾之不便亦無必要,爰增訂第一項第一款規定,予以排除。 三、由於資訊科技及網際網路之發達,個人資料之蒐集、處理或利用甚為普遍,尤其在網際網路上張貼之影音個人資料,亦屬表現自由之一部分。為解決合照或其他在合理範圍內之影音資料須經其他當事人之書面同意始得為蒐集、處理或利用個人資料之不便,且合照當事人彼此間均有同意之表示,其本身共同使用之合法目的亦相當清楚,爰對於在公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料,不適用本法之規定,回歸民法適用,增訂如第一項第二款之規定。 四、由於科技之進步與網際網路使用普遍,即使在我國領域外蒐集、處理或利用國人之個人資料,亦非常容易。為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益,以規避法律責任,爰增訂第二項,明定在我國領域外,亦有本法之適用。 五、參考一九九五年歐盟資料保護指令(95/46/EC)第三條、德國聯邦個人資料保護法第一條第二項第三款、日本個人資訊保護法第五十條等。 |
第五十二條第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。 |
| 一、本條新增。 二、中央目的事業主管機關或直轄市、縣(市)政府依第二十二條至第二十六條規定執行檢查、扣留或複製等之權限,應可委任所屬機關、委託其他機關或公益團體辦理,以期能充分發揮執行效率,爰增訂第一項規定之。另接受委任或委託執行事務而知悉他人之資訊者,自應負保密義務不得洩漏,爰於同項後段併予規定。 三、本法第三十四條規定財團法人或公益社團法人得接受當事人訴訟實施權之授與後,以自己名義提起團體訴訟,代為請求損害賠償,惟本條又授權中央目的事業主管機關或直轄市、縣(市)政府得委託公益團體代為執行其權限。為避免發生角色混淆利益衝突之情形,爰增訂第二項,明定接受委託執行主管機關權限之公益團體,不得再依第三十四條規定,接受當事人訴訟實施權之授與,以自己名義,提起損害賠償之團體訴訟。 |
刪除 | 第四十二條 法務部辦理協調連繫本法執行之相關事項;其協調連繫辦法,由法務部定之。 依本法規定應由目的事業主管機關辦理之事項,如無目的事業主管機關者,由法務部辦理之。 非公務機關個人資料之蒐集、電腦處理及利用之登記、公告或其他事項之管理,法務部及目的事業主管機關必要時得委託公益團體辦理之。 | 一、本條刪除。 二、由於個人資料保護性質特殊,非公務機關適用之行業別限制,亦予刪除,相關應辦理之事項,於各個條文中,直接規定由「中央目的事業主管機關或直轄市、縣(市)政府」辦理,修正理由同本法第二十二條理由二(二)。如各機關在執行上有必要連繫協調時,自得隨時為之,似無庸在此規定訂定協調連繫辦法。至於委任、委託其他機關或公益團體執行權限事宜,已於本法第五十二條明定之。是以,爰將本條配合刪除。 |
第五十三條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。 |
| 一、條次變更。 二、本條係將現行條文第三條第九款及第十條第二項合併規定,並移入本章附則,以符合立法體例。 |
刪除 | 第四十三條 本法公布施行前已從事個人資料之蒐集或電腦處理,而依本法規定應申請登記或許可者,應於本法施行之日起一年內補辦之。 經法務部會同中央目的事業主管機關依第三條第七款第三目指定之事業、團體或個人,應於指定之日起六個月內,辦理登記或許可。 逾期未為前二項之申請或申請未獲核准者,以未經核准登記或許可論處。 | 一、本條刪除。 二、本修正草案已廢除非公務機關應經許可或登記制度,爰刪除本條規定。 |
第五十四條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。 |
| 一、本條新增。 二、由於本修正條文擴大適用範圍,原本不受本法規範從事個人資料蒐集、處理或利用者,修法後均將適用本法,惟其在本法修正施行前已蒐集完成之個人資料(該等資料大多屬於間接蒐集之情形),雖非違法,惟因當事人均不知資料被蒐集情形,如未給予規範而繼續利用,恐仍會損害當事人權益,是以自宜訂定過渡條款,明定一定期間內應向當事人完成告知,逾期未告知當事人仍處理或利用該資料者,則以違反第九條規定論處,期能兼顧當事人與資料蒐集者雙方權益。 |
第五十五條 本法施行細則,由法務部定之。 | 第四十四條 本法施行細則,由法務部定之。 | 條次變更,內容未修正。 |
第五十六條本法施行日期,由行政院定之。 現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。 前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。 前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。 | 第四十五條 本法自公布日施行。 | 一、條次變更,第一項內容未修正。 二、本次修正,擴大適用範圍,慮及本法尚需宣導,民間業者需相當時間調整與準備,相關法規亦需配合增修,爰參考日本個人資訊保護法附則第一條,規定施行日期,由行政院定之,不至因倉促施行而造成民眾不便或發生困擾。 三、又廢除非公務機關取得執照後始得蒐集、電腦處理及利用個人資料之制度,自無需再申請登記及公告相關事項,為求便民及促進行政效率,相關現行條文第十九條至第二十二條及第四十三條之刪除,爰新增第二項規定,自修正公布日施行。 四、自修正公布日廢除申請登記及執照制度,如該公布日於登記或許可之辦理期間者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。退費應定期間,退費額依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還,爰規定如第三項及第四項。 |