個人資料保護法說明及因應

1. 個人資料保護法說明及因應 開講了 劉嘉裕 律師

2. 簡 歷 • 學歷：政戰學校法律系74年班；高雄大學法律學碩士 • 經歷： ◎國防部高等軍事法院高雄分院上校審判官 ◎國防部海軍司令部部聘律師 ◎國防部空軍司令部部聘律師 ◎高雄市三民區公所法律諮詢律師 ◎空中大學高雄中心兼任講師 ◎高雄應用科技大學兼任講師 • 現職： • 劉嘉裕律師事務所律師

3. 講授大綱 • 前言 • 個人資料保護法之立、修法沿革： • 何謂個人資料？ • 個資法保護之法益： • 個資法之行為態樣： • 個資法之規範對象： • 個人資料之蒐集、處理、利用之原則：

4. 講授大綱 • 公務機關對於個人資料之權利與義務： • 非公務機關對於個人資料之權利與義務： • 中央目的事業主管機關及直轄市、縣市政府 權限與責任： • 個資受侵害之損害賠償請求權時效： • 違反個資法涉及刑責部分： • 因應個資法施行應有之認知與作法： • 結論

5. 前言 • 隨著經濟高度發展及網際網路的便捷的使用，人際關係日益密切頻繁，個人資料被不當蒐集與利用的機會升高，故個人資料之保護，成受關注的焦點。 • 由於「資訊」有價，所以資訊使用者重視自己個人隱私，行政機關與企業者亦思考如何保護擁有資訊的權利與應負擔之責任與義務。 • 個人資料保護法之制定，代表國家對於個人資料及個人隱私的重視；欲建立安全、保密及可信賴的資訊化社會及優質的資訊法律生活化環境。 • 於日常生活中，我們可能是個人資料的「蒐集者」，亦可能為「被蒐集者」 ，因此我們都是個人資料保護法（以下簡稱個資法）規範之對象，所以必須瞭解內所載有關權利義務之規範內容，以保護個人權益，正確使用個資，以免誤違個資法。

6. 個人資料保護法之立、修法沿革 • 1990.9.3日：法務部著手研擬個人資料保護之相關法律 • 1993.1月：行政院送立法審議 • 1995.8.11日：電腦處理個人資料保護法（以下稱舊法） 1.參考「經濟合作暨發展組織」 （OECD）所揭保護個資 　　八大原則：限制蒐集、資料內容正確、目的明確化、限 　　制利用、安全保護、公開、個人參加、責任等原則。 2.僅以經「電腦處理」之個人資料為限。 3.規範主體：僅限公務機關及八類非公務機關（徵信業； 醫院、學校、電信業、金融業、證券業、保 　　　　　　　險業及大眾傳播業；其他經法務部會同中央 　　　　　　　目的事業主管機關指定之事業、團體或個人 ）。

7. 個人資料保護法之立、修法沿革 • 2004.9.8日:行政院向立法院提出修正草案。 • 2010.4.27日:立法院三讀通過，並將名稱更改為「個人資 料保護法」，經總統同年5月16日公布，施 　　　　　　　行日期由行政院定之， • 2012.10.1日施行:行政院2012.9.21日以院臺法字第 1010056845號令公告

8. 何謂個人資料？ • 自然人（不含法人） • 列舉部分：姓名、出生年月日、國民身分證統一編號、護 照號碼;特徵、指紋、婚姻、家庭、教育、職 業、病歷;醫療、基因、性生活、健康檢查、 犯罪前科（此部分為特種資料，個資法有特別 規範）;聯絡方式、財務情況、社會活動。 • 概括部分：其他得以直接或間接方式識別該個人之資料， 如生物辨識之掌形、聲紋等（§2（1））。 • 個人資料檔案：指依系統建立而得以自動化機器或其他非 　　　　　　　　自動化方式檢索、整理之個人資料之集合 　　　　　　　　 （§2（2）） 。

9. 個資法保護之法益 • 人格權: • 隱私權:應屬憲法之基本權利;理由是基於人性尊嚴、個人 主體性的維護、人格發展之完整、保障個人生活 私密領域免於他人侵擾及個人資料之自主控制。 • 資訊隱私權:人民決定是否揭露其個人資料及在何種範圍 　　　　　　 內、於何時、以何種方式、向何人揭露之決 定權，並保障人民對其個人資料之使用有知 悉與控制權及資料記載錯誤之更正權。 • 人格權﹥隱私權﹥資訊隱私權

10. 個資法之行為態樣 • 蒐 集:指以任何方式取得個人資料。 • 處 理:為建立或利用個人資料檔案所為資料之記 　　　錄、輸入、儲存、編輯、更正、複製、 檢索、刪除、輸出、連結或內部傳送。 • 利 用:指將蒐集之個人資料為處理以外之使用。

11. 個資法之規範對象 • 公務機關：指依法行使公權力之中央或地方機關或行政法 　　　　　　人（2011.4.27日公布施行之行政法人法，指 國家或地方自治團體以外由中央目的事業主管 機關，為執行特定公共任務，依法設立之公法 人，如國立中正文化中心，主管機關是教育部 ，依國立中正文化中心設置條例）。 • 視同公務機關：非公務機關「依法」（如私立學校）「受 委託」（如海基會）行使公權力而蒐集、 處理或利用個人資料者。 • 非公務機關：公務機關以外之自然人、法人或其他團體。

12. 個人資料之蒐集、處理、利用之原則 • 原則： （一）個人就其個資之行使權利，不得預先拋棄或特約限制 （二）應尊重當事人之權益，依誠實及信用方法為之，不得 　　　逾越特定目的之必要範圍，並應與蒐集之目的具有正 　　　當合理之關聯。 （三）特殊個資不得蒐集、處理或利用：即有關醫療、基因 　　　　　　　、性生活、健康檢查及犯罪前科等五項個人 　　　　　　　資料。 （四）本法所載之「書面同意」係指：

13. 個人資料之蒐集、處理、利用之原則 1.有特定目的:指當事人經蒐集者告知本法所定應告知事 項後，所為允許之書面意思表示。 2.特定目的外之利用:指當事人經蒐集者明確告知特定目 的外之其他利用目的、範圍及同意與否對 其權益之影響後，單獨所為之書面意思表 示。

14. 個人資料之蒐集、處理、利用之原則 公務機關與非公務機關： 一、蒐集個資時，應告知之事項： 1.向當事人蒐集：蒐集者名稱、蒐集目的、個資之類別、 　　　　　　　　　個資利用之期間、地區、對象及方式、 　　　　　　　　　依第三條規定得行使之權利及方式、當 　　　　　　　　　事人得自由選擇提供個人資料時，不提 　　　　　　　　　供將對其權益之影響。（第8條第1項） 　　得免告知之情形：法定得免告知、個資蒐集係履行法定 　　　　　　　　　　義務所必要、告知將妨害公務機關執 　　　　　　　　　　行法定職務、告知將妨害第三人之重 　　　　　　　　　　大利益、當事人明知應告知之內容（ 　　　　　　　　　　第8條第2項）。　

15. 個人資料之蒐集、處理、利用之原則 2.向非當事人蒐集時：於處理或利用前，應向當事人告知 　　　　　　　　　　　個資來源及前條第一項第一款至第 　　　　　　　　　　　五款所列事項；另本法第9條第2項 　　　　　　　　　　　亦有免告知之情形。 二、答覆查詢、提供閱覽或製給複製本： （一）依當事人之請求，就其蒐集之個人資料，於15日內為 准駁，必要時得予延長（不得逾15日，將原因以書面 　　　通知請求人）。 （二）本法第10條但書，有免除此義務之規定（有妨害：國 　　　家安全、外交及軍事機密、整體經濟利益或其他國家

16. 個人資料之蒐集、處理、利用之原則 重大利益、公務機關執行法定職務、該蒐集機關或第 　　 三人之重大利益者）。 （三）得酌收必要成本費用。 三、維護個資之正確： （一）應主動或依當事人請求更正或補充之。 （二）正確性有爭議時，應主動或依請求停止處理與利用。 （三）刪除、停止個資之處理與利用：於蒐集個資之特定目 　　　的消失、期限屆滿、違反本法規定蒐集處理利用個資 （四）因可歸責而未更正或補正之個資，於更、補後，通知 　　　曾提供利用之對象。

17. 個人資料之蒐集、處理、利用之原則 （五）應於受請求30日內為准駁，必要時得予延長（不得逾 30日，將原因以書面通知請求人） 四、查明通知當事人：因違反本法規定，致個資被竊取、洩 　　　　　　　　　　漏、竄改或其他侵害者。

18. 公務機關對於個人資料之權利與義務 • 對個資之蒐集或處理：（除第6條第1項特種個資外） 一、應有特定目的。 二、並符合下列情形之一（執行法定職務必要範圍內、當事 　　人書面同意、對當事人權益無侵害）者。 • 對個資之利用： 一、應於執行法定職務必要範圍內為之。 二、並與蒐集之特定目的相符。 三、例外下列情形之一，得為特定目的外之利用： 1.法律明文規定。

19. 公務機關對於個人資料之權利與義務 2.為維護國家安全或增進公共利益。 3.為免除當事人之生命、身體、自由或財產上之危險。 4.為防止他人權益之重大危害。 5.公務機關或學術研究機構基於公共利益為統計或學術研 　　究而有必要，且資料經過提供者處理後或蒐集者依其揭 　　露方式無從識別特定之當事人。 6.有利於當事人權益。 7.經當事人書面同意。 • 應指定專人辦理：安全維護事項，以防個資被竊取、洩 　　　　　　　　　漏、竄改、毀損、滅失。

20. 公務機關對於個人資料之權利與義務 • 負損害賠償責任： 一、違反本法致個資遭不法蒐集、處理、利用或其他侵害當 　　事人權利者。 二、被害人雖非財產上之損害，亦得請求賠償相當之金額； 　　其名譽被侵害者，並得請求為回復名譽之適當處分；此 請求權，不得讓與或繼承。但以金額賠償之請求權已依 契約承諾或已起訴者，不在此限。 。 三、免責條件：損害因天災、事變、其他不可抗力所致者。 四、賠償範圍： （一）被害人所受損害或所失利益。

21. 公務機關對於個人資料之權利與義務 （二）得請求法院每人每一事件新臺幣（以下同） 五百元以上二萬元以下計算：被害人不易或 不能證明其實際損害額時。 （三）以2億元為限：對於同一原因事實造成多數當事人權 　　　　　　　　　 利受侵害之事件，經當事人請求損害 賠償者，其合計最高總額以新臺幣二 億元為限；但因該原因事實所涉利益 超過新臺幣二億元者，以該所涉利益 為限。

22. 公務機關對於個人資料之權利與義務 （四）受賠償金額不受最低五百元之限制：即同一原因事實 造成之損害總額逾前項2億元金額時，不 受前項每人每一事件最低賠償金額五百元 之限制。 五、損害賠償，除本法規定外，適用國家賠償法之規定。

23. 非公務機關對於個人資料之權利與義務 • 對個資之蒐集或處理：（除第6條第1項特種個資外） 一、應有特定目的。 二、並符合下列情形之一 （一）法律明文規定。 （二）與當事人有契約或類似契約之關係 （三）當事人自行公開或其他已合法公開之個人資料。 （四）學術研究機構基於公共利益為統計或學術研究而有必 要，且資料經過提供者處理後或蒐集者依其揭露方式 無從識別特定之當事人。

24. 非公務機關對於個人資料之權利與義務 （五）經當事人書面同意。 （六）與公共利益有關。（如為查出真凶之人肉搜索） （七）個人資料取自於一般可得之來源。但當事人對該資料 之禁止處理或利用，顯有更值得保護之重大利益者， 不在此限；蒐集或處理者知悉或經當事人通知禁止對 該資料之處理或利用時，應主動或依當事人之請求， 刪除、停止處理或利用該個人資料。 。 • 對個資之利用： 一、應於蒐集之特定目的必要範圍內為之。

25. 非公務機關對於個人資料之權利與義務 二、下列情形之一，得為特定目的外之利用： （一）法律明文規定。 （二）為增進公共利益。 （三）為免除當事人之生命、身體、自由或財產上之危險。 （四）為防止他人權益之重大危害。 （五）公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要，且資料經過提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人。 （六）經當事人書面同意。

26. 非公務機關對於個人資料之權利與義務 • 利用個資行銷者： 一、首次行銷時： （一）應提供當事人表示拒絕接受行銷之方式。 （二）並支付所需費用。 二、當事人表示拒絕接受行銷時：應即停止利用。 • 為國際傳輸個人資料： 　而有下列情形之一者，中央目的事業主管機關得限制之： （一）涉及國家重大利益。 （二）國際條約或協定有特別規定。 （三）接受國對於個人資料之保護未有完善之法規，致有損

27. 非公務機關對於個人資料之權利與義務 　　　當事人權益之虞者。 （四）以迂迴方法向第三國（地區）傳輸個人資料規避本法 • 保有個資檔案者：（第27條） 一、應採行適當之安全措施，防止個人資料被竊取、竄改、 　　毀損、滅失或洩漏。 二、訂定個人資料檔案安全維護計畫或業務終止後個人資料 　　處理方法：此中央目的事業主管機關得指定非公務機關 　　訂定之。 （）

28. 非公務機關對於個人資料之權利與義務 • 負損害賠償責任：（第29條） 一、違反本法致個資遭不法蒐集、處理、利用或其他侵害當 　　事人權利者。 二、被害人雖非財產上之損害，亦得請求賠償相當之金額； 　　其名譽被侵害者，並得請求為回復名譽之適當處分；此 請求權，不得讓與或繼承。但以金額賠償之請求權已依 契約承諾或已起訴者，不在此限。 。 三、免責條件：但能證明其無故意或過失者，不在此限。 四、賠償範圍： 　　同上所述公務機關所負賠償責任之賠償範圍。 五、損害賠償，除本法規定外，適用民法之規定。

29. 法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 • 法 務 部： 一、訂定施行細則（2012.9.26日公告，2012.10.1日施 行，本法第55條） 二、會同中央目的事業主管機關訂定相關實施辦法。 　三、對本法條文及適用之解釋。 • 中央目的事業主管機關與直轄市、縣市政府:: 一、除本法第21條（於某些條件下，以命令或處分限制非 公務機關為國際傳輸個人資料）專屬中央目的事業主 管機關執行外，渠等權責均為相同。

30. 法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 二、均有執行本法第22、23、24、24、25、26、47、48、49 條之權責： （一）實施行政檢查：命相關人員說明、配合措施、提供證 明文件；相關人員不得不得規避、妨 礙或拒絕。 （二）扣留或複製之：對於得沒入或可為證據之個人資料或 其檔案；後續處理，應加封緘或其他 標識，並為適當之處置、得命人看守 或交由所有人或其他適當之人保管或 發還之 。

31. 法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 （三）強制為之：對應扣或複製之物，經要求提出或交付， 而無正當理由拒絕或抗拒扣、複者，則依 比例原則之方法強制為之。 （四）立即停止或變更其行為：當事人不服聲明異議，認有 　　　　　　　　　　　　　　理由時。 （五）得公布檢查結果：檢查後，未發現違反本法，經受檢 　　　　　　　　　　　人同意時。 （六）得率同資訊、電信或法律等專業人員共同為之：為行 　　　　　　　　　　　政檢查時 。 （七）參檢人員應負保密義務。

32. 法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 （八）裁罰並為下列處分：禁止蒐集、處理或利用個資、命 　　　　　　　　　　　　令刪除個資檔案、沒入或命銷燬 　　　　　　　　　　　　違法蒐集之個資 、公布非違法 　　　　　　　　　　　　情形，及其姓名或名稱與負責人 　　　　　　　　　　　　；處分應依比例原則為之。 （九）處罰鍰，並令限期改正，屆期未改正者，按次處罰之 　　　　　　　　　　　：本法第47條 （十）限期改正，屆期未改正者，按次處罰鍰：本法第48條 （九）處罰鍰 ：本法第49條

33. 　個資受侵害之損害賠償請求權時效 • 損害賠償請求權時效： （一）二年：自請求權人知有損害及賠償義務人時起，因二 　　　　　　年間不行使而消滅。 （二）五年：自損害發生時起，逾五年者，亦同。

34. 違反個資法涉及刑責部分 • 違反第6條第1項（特種個資）、第15條、第16條、第19條 、第20條第1項規定（此4條係違法蒐集、處理、利用）， 或中央目的事業主管機關依第21條限制國際傳輸之命令或 處分，足生損害於他人者：處二年以下有期徒刑、拘役或 科或併科新臺幣二十萬元以下 罰金。 • 意圖營利犯前項之罪者：處五年以下有期徒刑，得併科新 臺幣一百萬元以下罰金。

35. 違反個資法涉及刑責部分 • 意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者： 處五年以下有期徒刑、拘役或科或併科新臺幣一百萬 元以下罰金。 • 中華民國人民在中華民國領域外對中華民國人民犯上述之罪者，亦適用之。 • 公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一。

36. 因應個資法之施行應有之認知與作法 • 透過「個資盤點」程序，辨識、整理之前所蒐集之個資來 　源與特定目的，以建立後續利用之合法性；律定個資刪存 之政策及作業流程。 • 如有委外辦理，應善盡監督之責，於契約內明定安全維護 　事項。 • 不蒐集完整客戶出生年月日，如僅蒐集年月，亦可寄送客 　戶生日卡片，達維繫客戶關係之目的。 • 請提供良民證，以免蒐集員工是否有犯罪前科之資料。 • 離職員工之個資，應予刪除；或取得員工書面同意，約定 　離職後保存個資之期限。

37. 因應個資法施行應有之認知與作法 • 為避免違法蒐集、處理、利用個資，企業應先瞭解本身作 　業流程，以清楚蒐用個資之目的。 • 在設計當事人同意書，不得採用「推定同意條款」（如沒 　有反對即為同意），以免同意書效力滋生爭議。 • 蒐用個資時，應告知客戶之內容，宜事先整理撰打「個資 　蒐集、處理、利用宣告條款告知」之書面資料，交當事人 　簽章審閱，並進行告知，以盡本法要求之告知義務。 • 蒐集個資時，可在文件記載是否同意利用個人資料進行行銷。 • 有個資檔案者，應於「成本」與「效益」間及「具體措施 　」與「保護個資目的」間，律定適當之安全措施。

38. 因應個資法施行應有之認知與作法 • 事前擬定「個資外洩處理要點」，倘不幸洩漏事發，方不致慌亂無章。

39. 結論