2013/09/01

個人資料保護法施行細則修正總說明及條文對照表

電腦處理個人資料保護法施行細則修正條文
對照表
中華民國101926
法務部法令字第10103107360號令公布
修正名稱
現行名稱
說明
個人資料保護法施行細則
電腦處理個人資料保護法施行細則
配合本法名稱之修正,將名稱修正為「個人資料保護法施行細則」。
修正條文
現行條文
說明
第一條  本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。
第一條  本細則依電腦處理個人資料保護法(以下簡稱本法)第四十四條規定訂定之。
配合本法名稱及條文之修正,酌作文字修正。
第二條         本法所個人,指生存之自然人。
第二條  本法所定個人,指生存之特定或得特定之自然人。
本法第二條第一款對於個人資料之定義,已修正為得以直接或間接方式識別該個人之資料,規範意義即為特定或得特定之自然人之個人資料,故刪除現行條文特定或得特定等文字;另本法立法目的之一為個人人格權之隱私權保護,唯有生存之自然人方有隱私權受侵害之恐懼情緒及個人對其個人資料之自主決定權,故增訂「現」字,以資明確。
第三條  本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。

一、本條新增
二、由於社會態樣複雜,某些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,因而本法第二條第一款個人資料之定義,已將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,為明瞭間接方式識別之意義,爰為本條之規定。
三、至於是否得以直接或間接方式識別者,需從蒐集者本身個別加以判斷,原無一致性之標準,此宜於個案中加以審認,為權衡個人資料之保護與個人資料之合理利用,並避免滋生疑義,應依本法相關規定加以判斷。至於各公務或非公務機關如在適用本條規定要件上有明確之必要者,各公務機關或目的事業主管機關得斟酌訂定裁量基準,俾供所屬機關或所管行業遵循。
第四條  本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。
    本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
    本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。
    本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。
    本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。
    本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。

一、本條新增
二、為使本法第二條第一款之病歷與第六條第一項之醫療、基因、性生活及健康檢查等概念,有統整性說明與定義規定,以避免概念混淆,爰為本條規定。
三、關於病歷之定義,醫療法第六十七條第二項已有明文,本法第二條第一款所定病歷,自宜與醫療法上開規定為相同定義,爰為第一項規定。
四、醫師法第二十八條對於未具合法醫師資格,擅自執行醫療業務者,定有相關處罰規定,故行政院衛生署七四年四月二十六日衛署醫字第五二七四五四號函及同年八月三十日衛署醫字第五四八八一二號函,對醫療行為作成釋示,認為在一定目的下,所為綜合可產生療效之行為,均認定為醫療行為。因此,以醫療行為所產生之個人資料,則認屬醫療之個人資料爰為第二項規定。
五、本法第二條第一款所稱之基因,參酌去氧核醣核酸採樣條例第三條規定,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息,爰為第三項規定。
六、本法第二條第一款所稱之性生活(sexual life),應屬有關極為敏感且容易引起偏見或足使個人人格遭受歧視之性生活個人資料,依本法第六條修正說明認為性生活包括性取向等相關事項,並參考澳洲一九九八年隱私權法第六條規定及二○○七年澳洲法律改革委員會之修法建議,將性生活界定為性取向(sexual orientation)及性慣行(sexual practices),爰為第四項規定
七、本法第二條第一款所稱健康檢查亦屬醫療行為之一種,惟其與其他疾病診斷、治療之不同,在於係對於外觀健康之人,非以特定疾病之治療或診斷為主要目的,爰為第五項規定。
八、本法第二條第一款所稱之犯罪前科,除法院判決有罪確定之部分外,依刑事訴訟法第二百五十三條及第二百五十三條之一規定,亦包括檢察官參酌刑法第五十七條所列事項及公共利益之維護,認以不起訴或緩起訴為適當者,得為不起訴處分或緩起訴處分等有罪認定部分。此外,有關上開有罪判決或有罪認定之執行之紀錄,亦屬之,以保護當事人之個人資料隱私權益,爰為第六項規定。

第三條  本法第三條第二款所稱電磁紀錄物或其他類似媒體,指錄製、記載有電磁紀錄之有體物,包括磁碟、磁帶、光碟、磁泡紀錄體、磁鼓及其他材質而具有儲存電磁紀錄之能力者。
      前項所稱電磁紀錄,指以電子、磁性或其他無法以人知覺直接認識之方式所製作之紀錄,而供電腦處理之用者。
一、本條刪除
二、為配合本法修正第二條第二款關於「個人資料檔案」之定義,已將電磁紀錄物或其他類似媒體等文字刪除,本條已無為定義性規定之必要,爰予刪除
  本法第條第二款所定個人資料檔案,包括備份檔案。
第四條  本法第三條第二款所定個人資料檔案,包括備份檔案。
條次變更。
、配合本法條次變更,酌作文字修正。
  本法第條第款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。
本法第二條第四款所稱內部傳送,指公務機關或非公務機關本身內部之資料傳送
第十條  本法第四條第五款所稱刪除,指依本法第十三條第三項規定,使已儲存之個人資料自個人資料檔案中消失而不復存在
一、條次變更。
、第一項刪除之定義除配合本法條次變更,酌作文字修正外,並以刪除係指使已儲存之個人資料自個人資料檔案中消失。而刪除行為之認定,應視刪除當時科技水準及技術,參酌適用主體之組織型態,使用一般社會通念之標準,所為使個人資料消失之行為,以作為參考標準,尚無需達「不復存在」之標準,始謂符合本法所稱之「刪除」,爰刪除現行條文所定「而不復存在」文字。
三、增訂第二項,明定內部傳送係指公務機關或非公務機關內部之資料傳送,例如公務機關內部各單位間之資料傳送(不包括上級機關傳送個人資料予下級機關),或者法人或團體或自然人之內部資料傳送。

第五條  本法第三條第三款所稱自動化機器,指具有類似電腦功能,而能接受指令、程式或其他指示自動進行事件處理之機器。
一、本條刪除
二、本法不區分是否用自動化機器處理之個人資料,均適用相同之規定及法律效果,是本條已無規定之必要,爰予刪除。

第六條  本法第三條第五款所稱第三人,指保有個人資料檔案之公務機關或非公務機關以外之自然人、法人或其他團體。但不包括受委託處理資料之團體或個人。
一、本條刪除
二、本法第二條第五款規定,已刪除修正前第三條第五款所定第三人等文字,本條已無規定之必要,爰予刪除。

第七條  本法第三條第七款第三目所稱事業、團體或個人,指其以電腦處理大量之個人資料,足以影響當事人之權益,而有規範之必要者。
一、本條刪除
二、配合本法放寬規範主體之修正意旨,本法第二條第八款已修正刪除原第三條第七款第三目,本條已無規定之必要,爰予刪除。

第八條  當事人向公務機關行使本法第四條所定之權利,其程序由公務機關定之。
      當事人向非公務機關行使本法第四條所定之權利,其程序由其中央目的事業主管機關定之。
一、本條刪除
二、有關公務機關對於當事人行使依本法第三條(原第四條)所定之權利,相關執行方式等細節,本得以行政規則訂定之(例如公務機關個人資料保護要點等),為免重複,第一項規定爰予刪除。
三、有關非公務機關對於當事人行使依本法第三條所定之權利,為保持程序彈性並因應各行業特性,相關程序可納入本法第二十七條第三項個人資料檔案安全維護計畫及業務終止後個人資料處理方法之標準等相關事項辦法,或於消費者保護法第十七條定型化契約應記載或不得記載之事項中規範,第二項規定爰予刪除。

第九條  當事人行使本法第四條第一款及第二款所定權利時,其個人資料以自個人資料檔案中列印者為限。
一、本條刪除
二、鑒於本法保護客體不再限於經電腦處理之個人資料,本法第二條第二款個人資料檔案,包括其他非自動化方式檢索、整理之個人資料之集合,故本條已無規定之必要,爰予刪除。
  受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之
第十一條  公務機關或非公務機關委託電腦處理資料之團體或個人,本法規定處理個人資料。
      前項情形,當事人行使本法之權利,應向委託機關為之。
一、條次變更。
二、配合本法第四條,將受委託行為除個人資料之處理外,並包括蒐集及利用行為,爰修正第一項,並酌作文字修正。
三、受委託蒐集、處理或利用個人資料之法人、團體或自然人,依本法第四條規定,於本法適用範圍內視同委託機關,惟當事人行使依本法之相關權利,究應向委託人或受託人為之,允宜視個案狀況處理,未必以委託機關為唯一對象,爰刪除現行條文第二項規定。
第八條  委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項:
  一、預定蒐集、處理或用個人資料範圍、類別、特定目的及其期間。
  二、受託者就第十二條第二項採取之措施
  三、有複委託者,其約定之受託者。
  四、受託其受僱人違反本法、其他個人資料保護法律或其法規命令時應向委託機關通知之事項及採行之補救措施。
  五、委託機關如對受託者有保留指示者,其保留指示之事項。
  六、委託關係終止或解除時個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除
      第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。
      受託僅得於委託機關指示之範圍內,蒐集、處理或用個人資料。受託認委託機關之指示有違反本法、其他個人資料保護法或其法規命令者應立即通知委託機關





















一、本條新增
二、由於本法第四條規定,受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。為釐清公務機關或非公務機關與其受託人之責任歸屬,參考日本個人資料保護法第二十二條規定,明定委託機關應對受託者採取適當之監督,以確保委託處理個人資料之安全管理,爰為第一項規定。
三、又為使委託機關與受託者之責任判斷有明確依據,乃參考德國聯邦個人資料保護法第十一條第二項規定,明定委託機關之監督事項,以便委託機關善盡其選任及監督義務,爰為第二項規定。
四、委託機關應定期確認受託者執行個人資料保護措施之狀況,委託機關並應將確認結果予以記錄乃參考德國聯邦個人資料保護法第十一條第二項規定,為第三項規定;又該紀錄應妥予保存,以為舉證之便,至於應保存之期限,因涉及行業特性、個人資料屬性及蒐集者內部資源分配與自負舉證程度而有不同,無法統一規範,從而各目的事業主管機關可依所管行業或團體之性質,審酌於相關主管法規中加以訂定,或由該行業或團體以自律規範為之,或由蒐集者依其內部資源加以決定。
五、另於第四項明定受託者受託處理個人資料之範圍及委託機關之指示違反本法、其他法律或其法規命令涉有個人料保護之規定者,受託者應立即通知委託機關之規定。
第九條  本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,指法律或法律具體明確授權之法規命令。

一、本條新增
二、關於本法中所定「法律」是否包括法規命令,宜予明文,以杜爭議,爰於本條明定本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,係指法律或法律具體明確授權之法規命令。
第十條  本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:
一、法律、法律授權之命令。
二、自治條例。
三、法律或自治條例授權之自治規則。
四、法律或中央法規授權之委辦規則。



一、本條新增
二、關於本法中所定「法定職務」之「法定」,是否包括法規命令之規定,宜予明文,以杜爭議,爰定明本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,係指法律、法律授權之命令(除依法律具體或概括授權之法規命令外,依法律授權之處務規程或辦事細則亦屬之)、自治條例、法律或自治條例授權之自治規則(除依法律或自治條例具體或概括授權之自治法規外,依法律或自治條例授權之組織規程亦屬之)、法律或中央法規授權之委辦規則所定公務機關之職務。
三、又蒐集個人資料涉及當事人權益甚鉅,不得僅以行政規則作為法定職掌之依據,以符合法律保留原則。是以,未涉及公共利益或實現人民基本權利之保障等重大事項之給付行政措施,其受法律規範之密度,雖較限制人民權益者寬鬆,而得以行政規則定之(司法院釋字第四四三號及六一四號解釋意旨參照),惟機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據,併予敘明。
第十一條  本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

一、本條新增
二、關於本法中所定「法定義務」之「法定」,是否包括法規命令之規定,宜予明文,以杜爭議,爰明定本法第六條第一項第二款、第八條第二項第二款所稱法定義務,係指非公務機關依法律或法律具體明確授權之法規命令所定之義務。
第十二條  本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
     前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
  一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。

一、本條新增
二、本法所稱適當安全維護措施、安全維護事項、適當之安全措施,參考德國聯邦個人資料保護法第九條規定,應係指技術上及組織上之措施,爰為第一項規定。
三、為確保個人資料檔案之合法且正當蒐集、處理或利用,辦理安全維護之適當措施內容宜予規範,爰為第二項規定。其目的為與國際接軌,乃以P-D-C-A方法論予以建立,使各企業得參考所列之十一款內容,考量組織規模與保有個人資料之數量或內容,依比例原則建立技術上與組織上之措施

十三  本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露個人資料
    本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料,依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。
第三十二條  本法第十八條第二款所稱類似契約之關係,指左列情形之一者:
  一、非公務機關與當事人間於契約成立前,為訂定契約或進行交易為目的,所為接觸,磋商所形成之信賴關係。
  二、契約因無效、撤銷、解除、終止或履行而消滅時,非公務機關與當事人為行使權利,履行義務或確保個人資料完整性之目的所形成之連繫關係。
      本法第十八條第三款所稱已公開之資料,指不特定之第三人得合法取得或知悉之個人資料。
一、條次變更。
二、現行第一項已移列修正條文第二十七條規範,爰予刪除。現行第二項則修正分列為二項規範。
三、參酌司法院釋字第六○三號解釋意旨,基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障。就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權,乃明確當事人自行公開之方式。又參酌司法院釋字第一四五號解釋意旨,所謂多數人,係包括特定之多數人在內。至於特定多數人之計算,自應視其相關法規之立法意旨及實際情形已否達於公開之程度而定,爰為第一項規定。
四、本法規定已合法公開之個人資料,係指該個人資料乃依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式(例如置於閱覽室供人閱覽)公開者,爰為第二項規定。
第十四條  本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。

一、本條新增
二、本法第七條所定書面意思表示之方式,包括無實體存在界面之意思表示方式,以目前對於以電子文件之方式表示意思者,僅有電子簽章法之規範,爰規定上開意思表示依電子簽章法之規定,得以電子文件為之,以解決實務上當事人利用網際網路及資訊通信設備所為同意之意思表示。
第十五條  本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

一、本條新增
二、本法第七條第二項所定之書面同意,乃當事人同意資料蒐集者,將其個人資料作與蒐集目的不同之其他目的使用,因不符原先蒐集資料之特定目的,該書面同意自應特別審慎,故明文規範須為單獨所為之書面意思表示。因此,該意思表示如與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容後並確認將其個人資料作與蒐集目的不同之其他目的使用之同意,以避免當事人疏忽而為概括同意,爰為本條規定。
三、又使當事人得以知悉之內容,本法第七條第二項規定,係指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響。
第十六條  依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

一、本條新增
二、個人資料之蒐集,事涉當事人之隱私權益。為使當事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等,本法規定告知義務,俾使當事人能知悉其個人資料被他人蒐集之情形,以落實個人資料之自主控制。
三、由於本法修正擴大適用範圍,原本不受本法規範從事個人資料蒐集、處理或利用者,修法後均將適用本法,惟其在本法修正施行前已蒐集完成之個人資料(該等資料大多屬於間接蒐集之情形),雖非違法,惟因當事人均不知資料被蒐集情形,故本法明定仍應向當事人完成告知,使當事人知悉其個人資料被使用之情形,以落實個人資料之自主控制。準此,蒐集者應以個別通知之方式讓當事人知悉,又告知之方式,凡足以使當事人知悉或可得知悉之方式,均屬之,爰為本條規定。
第十七條  本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。

一、本條新增
二、本條定明本法所稱資料經過處理後或依其揭露方式無從識別特定當事人之類型,係指個人資料以代碼、匿名、隱藏部分資料或其他揭露方式使之無從辨識該特定個人之情形。
三、至於各公務或非公務機關如在適用本條規定要件上有明確之必要者,各公務機關或目的事業主管機關得斟酌訂定裁量基準,俾供所屬機關或所管行業遵循。
十八  本法第條第三款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。
 
第二十二條  本法第十二條第三款所稱妨害第三人之重大利益,指左列各款情形之一:
  一、有害於第三人個人之生命、身體、自由、財產或其他重大利益
  二、檔案資料自第三人取得,如應當事人之請求准予查詢、閱覽或製給複製本,將損及保有機關與第三人之協助或信賴關係者。
一、條次變更。
二、現行條文第一款配合本法條次變更,酌作文字修正並移列為修正條文;現行條文第二款規定內涵已包含於第一款內,並無訂定必要,爰予刪除。
十九  當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。
第二十五條  當事人依本法第十三條第一項規定向公務機關請求更正或補充其個人資料時,應提出足資釋明之證據
一、條次變更。
二、配合本法條次變更修正所引條次,並增訂當事人亦得向非公務機關請求更正或補充其個人資料;另以當事人請求更正或補充其個人資料時,應舉其原因及事實而為適當之釋明即為已足,爰酌作修正。
三、又個人資料有關意見與鑑定部分,因涉及價值判斷,無關事實資料之對錯,不能更正,僅有事實部分可更正,併予敘明。
二十  本法第十一條第三項所稱特定目的消失,指列各款情形之一:
  一、公務機關經裁撤或改組而無承受業務機關
  二、非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符
  三、特定目的已達成而無繼續處理或利用之必要。
  四、其他事由足認該特定目的已無法達成或不存在
第二十三條  本法第十三條第一項所稱正確,指個人資料於特定目的之利用範圍內,應力求其確實、完整及從新。所稱適時,指公務機關應儘速更正或補充。
      本法第十三條第二項及第三項所稱執行職務,指公務機關依法令執行公務,或非公務機關經營其所營事業或依其設立目的所從事之行為。
      本法第十三條第三項所稱特定目的消失,指左列各款情形之一:
  一、公務機關經裁撤或改組
  二、非公務機關停業、歇業、解散或所營事業營業項目變更
  三、特定目的已達成而無繼續使用之必要
  四、其他事由足認該特定目的已無法達成
一、條次變更。
二、現行條文第一項及第二項無規定之必要,爰予刪除。
三、現行條文第三項移列為修正條文,並修正如下:
  (一)序文配合本法條次變更修正所引條次,另併同各款作文字修正。
(二)有關公務機關經裁撤或改組,須無業務之承受機關,始能為公務機關之特定目的消失,爰修正如第一款規定。
(三)有關非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而有與原蒐集目的不符之情形,方為非公務機關之特定目的消失,停業因具有期限性,非公務機關尚未喪失其主體性,故非屬特定目的消失之情形,爰修正如第二款規定。
(四)第三款酌作文字修正,將使用修正為處理或利用。
(五)第四款增列特定目的已不存在之類型,亦屬特定目的消失之情形。
二十一條  有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:
  一、有法令規定或契約約定之保存期限。
  二、有理由足認刪除將侵害當事人值得保護之利益。
  三、其他不能刪除之正當事由。


一、本條新增
二、公務機關或非公務機關有本法第十一條第三項本文所列事由,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。然如有同項但書所列因執行職務或業務所必須或經當事人書面同意者,則不在此限。所謂因執行職務或業務所必須,有依法令規定或契約約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益或其他不能刪除之正當事由等情形,爰增訂本條,以資明確。

第二十四條  公務機關依本法第十三條規定為更正、補充、刪除或停止電腦處理、利用該資料時,應通知其所知悉已收受該個人資料之機關、團體或個人。
      前項所稱個人資料,包括經由電腦列印之報表或其他可供紀錄之物品。但本法或其他法律另有規定者,依其規定。
一、本條刪除
二、現行第一項已於本法第十一條第五項明定,爰予刪除。
三、鑒於本法保護客體不再限於經電腦處理之個人資料,本法第二條第二款個人資料檔案,亦包括其他非自動化方式檢索、整理之個人資料之集合,故現行第二項亦已無規定必要,併予刪除。
二十二條  本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
      本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。

一、本條新增
二、為使個人資料發生被竊取、洩漏、竄改或其他侵害者,能即時通知當事人,並兼顧個人資料權益保護與通知效率,以保障個人權益,乃規定通知之適當方式應即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但通知需費過鉅者,得斟酌技術之可行性及當事人隱私之保護(不揭示可直接或間接識別當事人之個人資料),以網際網路、新聞媒體或其他適當之公開方式為之,爰為第一項規定。
三、為使當事人能有知悉其個人資料遭受非法侵害之情形,並明確公務機關或非公務機關通知當事人義務之內容,參照德國聯邦個人資料保護法第四十二條a規定明定依法通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施,爰為第二項規定。
四、至於各公務或非公務機關如在適用本條規定要件上有明確之必要者,各公務機關或目的事業主管機關得斟酌訂定裁量基準,俾供所屬機關或所管行業遵循。

第十二條  本法第八條第八款所稱有利於當事人權益者,指顯於當事人有利,當事人如知悉其事亦無理由可以拒絕者。
一、本條刪除
二、本法所稱有利於當事人權益者,係屬不確定法律概念,宜由個案認定,保留彈性,爰刪除本條。

第十三條  本法第九條及第二十四條所稱國際傳遞及利用,指利用有線電、無線電、光學系統或其他電磁系統等經由通信網路傳遞及利用,不包括利用郵寄、攜帶傳輸微縮膠片、打孔卡片、電腦報表、電磁紀錄物傳遞之情形。
一、本條刪除
二、本法第二條第六款已有國際傳輸之定義,本條已無規定之必要,爰予刪除。
二十三條  公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之變更時,亦同。公開方式應予以特定,並避免任意變更。
      本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開
第十四條  公務機關依本法第十條第一項規定為公告時,應於個人資料檔案上線使用後一個月內為之。變更時,亦同。
      前項公告方式應予以特定,並避免任意更換。

第十五條  本法第十條第一項所稱其他適當方式,指利用電視、新聞紙、雜誌或其他可供公眾知悉之傳播媒體為公告。
      前項公告期間不得少於二日。
一、本條由現行條文第十四條及第十五條合併修正
二、第一項由現行條文第十四條移列,除配合本法條次變更外,以本法規範已涵括自動化機器或其他非自動化方式蒐集之個人資料,不限於上線使用方式,故由各公務機關依其保有個人資料檔案之情形,於建立個人資料檔案後一個月內為之,爰酌修文字。
三、第二項由現行條文第十五條第一項移列,除配合本法條次變更修正文字外,並參考其他法律之規定,增訂公開適當方式之例示規定;又新增之政府公報因不屬「傳播媒體」,故將本項後段文字修正為「其他可供公眾查閱之方式」,以為涵蓋。
四、修正條文第二項已將現行條文第十五條第一項所定其他可供公眾知悉之傳播媒體為公告,修正為其他可供公眾查閱之方式為公開,故其規範公開個人資料檔案之義務應具有持續性,且其列舉方式亦不限現行第十五條第一項所定情形,故已無庸另行規範公告期間,現行條文第十五條第二項爰予刪除。

第十六條  本法第十條第一項第三款所定個人資料檔案利用機關名稱,得以概括方式列明其範圍、機關總數公告之。但為特定目的外利用者,應臚列其機關之名稱及本法第八條所定之事由。
一、本條刪除
二、本法修正前第十條第一項第三款規定業已刪除,本條爰配合刪除。

第十七條  本法第十條第一項第四款所稱依據,指保有個人資料檔案法令或行政計畫之依據。
一、本條刪除
二、本法保有依據之規定甚為明確,無庸再行定義,爰予刪除。
二十四  公務機關保有個人資料檔案者,應訂定個人資料安全維護規定
第三十四條  公務機關保有個人資料檔案者,應訂定電腦處理個人資料安全維護法令,其內容應包括資料安全、資料稽核,設備管理及其他安全維護等事項。
一、條次變更。
二、公務機關保有個人資料檔案所應訂定個人資料安全維護規定,以強化公務機關個人資料管理之機制,至其應訂定內容應依修正條文第十二條第二項規定處理,並無規範必要,爰酌作文字修正。
二十五條  本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。
      公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。

一、本條新增
二、為使本法第十八條所定專人之職務內容更為明確,爰於第一項定明係指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員,該人力得以團隊方式執行職務。
三、又為使專人經常性接受專業之個人資料保護與管理教育訓練,以維持相當水準之辦理安全維護事項能力,所屬公務機關應辦理或使專人接受相關專業之教育訓練,爰規定如第二項。

第十八條  本法第十條第一項第八款所定處所,應載明其地址。所定收受者為法人、團體者,應載明其名稱、代表人姓名;為自然人者,其姓名。
      本法第十條第一項第九款及第二十條第一項第九款所定直接收受者,應載明其收受處所之地址。為法人、團體者,應載明其國別、名稱、代表人姓名;為自然人者,其國籍及姓名。
      本法第十條第一項第十款所定機關與保有個人資料檔案紀錄之機關相同者,該機關毋需公告機關之名稱及地址。
一、本條刪除
二、本法修正前第十條第一項第八款至第十款及第二十條規定業已刪除,本條爰配合刪除。

第十九條  本法第十一條第五款所定入出境管理事務,包括個人護照事務。
一、本條刪除
二、本法基於個人資料檔案因其性質特殊而不宜公開其檔案名稱者,應依政府資訊公開法或相關法律規定予以限制公開,已刪除修正前第十一條規定,本條爰配合刪除。

第二十條  本法第十一條第七款所稱人事事項,指各級公務機關儲存管理之公務員個人基本資料及銓敘有關資料,包括公務機關辦理訓練之機構對於學員履歷、成績考核或其他考查之個人資料檔案處理事項。
      前項資料之認定有疑義時,由主管機關確認之。
一、本條刪除
二、刪除理由同前條說明二。

第二十一條  本法第十一條第八款所稱專供試驗性電腦處理之個人資料檔案,指專供實驗、測試等暫時性使用,而應於六個月內銷毀者。
一、本條刪除
二、刪除理由同現行條文第十九條說明二。

第二十六條  本法第十四條及第二十二條所定簿冊,得以電腦終端設備或其他足供當事人查閱之相關設備、文件方式代替之。
一、本條刪除
二、本法修正前第十四條及第二十二條所定備置簿冊之規定,業已刪除,本條爰配合刪除。

第二十七條  公務機關依本法第十四條、非公務機關依本法第二十二條規定備置之簿冊,除登載本法第十條第一項、第二十條第一項第一款至第十款所列之事項外,並得將資料之保有期限及已否公開等事項列入。
      登載簿冊由公務機關及非公務機關指定管理單位及查閱處所。
一、本條刪除
二、刪除理由同前條說明二。

第二十八條  公務機關及非公務機關關於個人資料檔案之查閱及製給複製本之收費,應具體反應受理查閱及製給複製本之成本。
一、本條刪除
二、本法第十四條已明定查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用,本條已無規範之必要,爰予刪除。

第二十九條  非公務機關依本法第二十條第一項規定申請登記時,得為二項以上特定目的之登記。
一、本條刪除
二、本法對非公務機關已取消行業別之限制及登記制度,修正前第二十條規定業已刪除,本條爰配合刪除。

第三十條  本法第十八條第一款所稱當事人書面同意,指依書面之記載,足認當事人已有同意之表示者。
      非公務機關基於特定目的,為取得當事人書面同意,於初次洽詢時,檢附為特定目的蒐集、電腦處理或利用之相關資料,連同得於所定相當期間表示反對意思之書面,經本人或其法定代理人收受,而未於所定期間內為反對之意思表示者,推定其已有同意之表示。
一、本條刪除
二、有關當事人之書面同意,本法第七條已定有明文,本條爰予刪除。
二十六  本法第十九第一項第二款所定契約或類似契約之關係,不以本法修正施行後成立者為限。
第三十一條  本法第十八條第二款所定契約,不以本法施行後成立者為限。
一、條次變更並配合本法條次修正酌作文字修正。
二、由於契約或類似契約之關係可能跨越本法施行前、後,且本法修正前第十八條已有規範,人民應有信賴之期待可能性,不致產生衝擊,無須重新締約。
二十七條  本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為
      本法第十第一項第二款所稱類似契約之關係,指列情形之一者:
  一、非公務機關與當事人間於契約成立前,為準備或商議契約或交易目的,所進行之接觸磋商行為
  二、契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利履行義務或確保個人資料完整性之目的所之連繫行為

第三十二條第一項  本法第十八條第二款所稱類似契約之關係,指左列情形之一者:
  一、非公務機關與當事人間於契約成立前,為訂定契約或進行交易為目的,所為接觸,磋商所形成之信賴關係。
  二、契約因無效、撤銷、解除、終止或履行而消滅時,非公務機關與當事人為行使權利,履行義務或確保個人資料完整性之目的所形成之連繫關係。
     
一、本條由現行條文第三十二條第一項移列修正。
二、為解決非公務機關與契約當事人之權利義務關係,因該內部關係之基本行為所涉及與第三人接觸、磋商或聯繫行為,以及由該第三人為給付行為或向其為給付之行為等涉他契約之關係,而附隨第三人個人資料之蒐集或處理,亦屬非公務機關與當事人有契約之關係,得由非公務機關蒐集或處理其個人資料,爰增訂第一項。
三、現行條文第一項移列至第二項,除酌作文字修正外,並以非公務機關與當事人間於契約成立前,為準備或商議訂立契約所進行之接觸或磋商行為,均屬非公務機關與當事人間之信賴關係,爰參酌民法第二百四十五條之一第一項規定,修正第一款規定。
二十八條  本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。


一、本條新增
二、由於資訊科技及網際網路之發達,個人資料之蒐集、處理或利用甚為普遍,個人資料之來源是否合法,經常無法求證或需費過鉅,為避免蒐集者動輒觸法或求證費時,本法第十九條第一項第七款明定個人資料取自於一般可得之來源者,亦得蒐集或處理。為明確該一般可得之來源所指為何,爰增訂本條,明文例示包括網際網路、新聞、雜誌、政府公報及其他一般人可得知悉個人資料之來源等情形在內。

第三十三條  本法第十九條第三項所稱收費標準,指各級目的事業主管機關依本法所為之登記、許可及發給執照所收之審查費、登記費、執照費等規費之數額。
一、本條刪除
二、本法對非公務機關已取消行業別之限制及登記制度,修正前第十九條規定業已刪除,本條爰配合刪除。

第三十五條  第二十四條第一項、第二十五條及第三十四條規定,於非公務機關準用之。
一、本條刪除
二、本條相關規定已分別明定於本法第十一條第五項、本細則修正條文第十九條、本法第二十七條第一項及本細則修正條文第十二條等規定,爰予刪除。

第三十六條  非公務機關依本法第二十條第三項規定為處理方法之陳報時,應依其種類載明左列各款:
  一、銷毀:
  (一)銷毀之方法。
  (二)銷毀之時間、地點。
  (三)以何種方式證明銷毀。
  二、移轉:
  (一)移轉之原因,如出售、贈與或其他原因。
  (二)移轉之對象,包括其屬性,為公務機關或非公務機關。
  (三)移轉對象得保有該項個人資料檔案之依據及證明。
  (四)移轉之方法、時間、地點。
      目的事業主管機關於必要時,得派員監督其銷毀或移轉過程。
      非公務機關於為第一項銷毀或移轉後,應向目的事業主管機關提出證明。
一、本條刪除
二、本條所定事項關涉本法第二十七條第二項、第三項所定之處理方法,應不限於銷毀、移轉之方式,為避免掛一漏萬,爰不予規定,由各中央目的事業主管機關依行業之特性於本法第二十七條第三項之授權辦法中規定,本條爰予刪除。

第三十七條  非公務機關依本法第二十一條規定為公告時,應於申請登記核准後二個月內為之。變更時,亦同。
一、本條刪除
二、本法對非公務機關已取消行業別之限制及登記制度,修正前第二十一條規定業已刪除,本條爰配合刪除。

第三十八條  本法第二十一條所定登載於當地新聞紙,其期間不得少於二日。
一、本條刪除
二、刪除理由同前條說明二。

第三十九條  非公務機關依本法第二十一條所為之公告並登載於當地新聞紙,左列事項得不記載:
  一、關於該非公務機關之人事、勤務、薪給、衛生、福利或其他相關事項者。
  二、專供試驗性電腦處理者。
  三、將於公告前刪除者。
  四、其他法律特別規定者。
一、本條刪除
二、刪除理由同現行條文第三十七條說明二。
二十九  依本法第二十二條規定實施檢查時,注意保守秘密被檢查者之名譽。

第四十條  本法第二十五條第一項所稱必要時,指有事實足認為該非公務機關有違反本法第十八條至第二十四條之情事,或有違反之虞者。
      本法第二十五條第一項所定證明文件,應記載左列事項:
  一、檢查機關名稱。
  二、檢查人員之姓名及職稱。
  三、檢查依據。
       檢查機關應保守秘密,並應注意被檢查者之名譽。
一、條次變更。
、現行條文第一項規定已明定於本法第二十二條第一項前段,第二項則無規定必要,爰併予刪除。
三、現行條文第三項規定移列修正條文,並配合本法條次變更酌作文字修正。
三十  依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。
      依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄。
     前項紀錄當場作成者,應使被檢查者閱覽簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。
     紀錄於事後作成者,應送達被檢查者,於一定期限內陳述意見。
第四十一條  目的事業主管機關依本法第二十五條第一項規定派員檢查時,要求受檢查者提供資料、書面說明或其他物品,或為扣押者,應掣給收據,載明其名稱、數量、所有人、地點及時間。
      目的事業主管機關實施檢查後,應作成紀錄,記載檢查程序、要求提供之資料、檢查結果及其他之配合措施。有扣押物者,應載明前項收據應載明之事項。
      前項紀錄當場作成者,應使被檢查者閱覽並簽名;被檢查者得以另以書面陳述意見。紀錄於事後作成者,應另寄副本與被檢查者,告以得陳述意見;被檢查者於收受後得以書面表示意見。
      目的事業主管機關依檢查報告,並斟酌被檢查者提出之意見,認被檢查者違反法令時,應依法處理。
      扣押物無留存之必要者,應發還之。
一、條次變更。
二、第一項除配合本法第二十二條第一項規定作文字修正外,並以得扣留或複製之物為本法第二十二條第二項規定之得沒入或可為證據之個人資料或其檔案者,應掣給收據,載明其名稱、數量、所有人、地點及時間,以供查證,爰定明之。
三、中央目的事業主管機關及直轄市、縣(市)政府依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄,至紀錄所記載之事項,衡諸行政程序法第三十八條、行政罰法第三十四條有關製作書面紀錄之規定,均未詳列記載內容,故宜視實際狀況由中央各目的事業主管機關及直轄市、縣(市)政府本於權責酌定之,並避免掛漏,且第一項已就扣留或複製得沒入或可為證據之個人資料或其檔案時,其收據應記載事項予以明文,爰第二項配合修正。
四、現行第三項前段紀錄係當場作成者,除應使被檢查者閱覽及簽名之外,亦應將副本立即交付被檢查者,其拒絕簽名者,應記明其事由,以資證明,爰酌予修正至於機關依行政程序法第一百零二條、第一百零四條或行政罰法第四十二條規定告知被檢查人得陳述意見,事屬當然
五、現行第三項後段移列至第四項並配合行政程序法送達規定,酌作文字修正。
六、現行第四項及第五項規定,得依行政程序法第四十三條規定處理或已明定於本法第二十三條第二項,爰予刪除。

第四十二條  依本法第二十七條或第二十八條規定請求賠償者,以該違法行為及其所生損害均在本法施行後者為限。
一、本條刪除
二、依法律不溯及既往原則,本條規定內容乃為當然之理,無庸再行規定,爰予刪除。

第四十三條  公務機關之監督機關收受當事人依本法第三十一條第一項所為之請求後,認其請求不合法或無理由者,應敘明理由駁回之;認其請求有理由者,應限期命原公務機關依當事人之請求改正之,並通知當事人。
一、本條刪除
二、本法修正前之第三十一條規定已刪除,本條爰配合刪除。
三十一  本法第五十二第一項所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人
第四十四條  本法第四十二條第三項所稱之公益團體,指從事與該種類個人資料相關之公益活動,依民法或其他特別法令組成之公益社團法人、財團法人經中央目的事業主管機關核准之非法人團體
一、條次變更。
二、中央目的事業主管機關及直轄市、縣(市)政府,依本法第五十二條第一項規定於必要時得委託公益團體辦理相關管理事業,屬公權力之授予,事關人民權益,爰對得受委託之公益團體之資格明確規定,除依民法或其他法律設立之外,並須具備個人資料保護專業能力之公益團體;至所定公益團體,參考公益勸募條例第五條規定,包括公益社團法人、財團法人及行政法人者,爰併配合本法條次變更,酌作修正。

三十二條  本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得繼續為處理及特定目的內之利用;其為特定目的外之利用者,應依本法修正施行後之規定為之。

一、本條新增
二、本法第五十四條係規範本法修正施行前非由當事人提供之個人資料,雖非違法,惟因當事人均不知資料被蒐集情形,如未給予規範而繼續利用,恐仍會損害當事人權益,故訂定過渡條款,以資適用。反面解釋,如屬由當事人提供之個人資料,為避免新舊法銜接之適用疑慮,爰增訂本條,規定本法修正施行前公務機關或非公務機關已蒐集由當事人提供之個人資料,於修正施行後,得繼續為蒐集、處理及特定目的內之利用,以資明確。至於如欲為特定目的外之利用,自當依本法修正施行後之規定為之。

第四十五條  本法公布施行前非公務機關已從事個人資料之蒐集或電腦處理,而於依本法申請登記或許可前,經告知當事人而當事人未為反對之意思表示者,得於本法第四十三條第一項所定期間內,繼續從事該個人資料之蒐集或電腦處理。
一、本條刪除
二、本法對非公務機關已取消行業別之限制及登記制度,修正前第四十三條規定業已刪除,本條爰配合刪除。
三十三  本細則施行日期,由法務部定之。
第四十六條  本細則自發布日施行。
一、條次變更。
二、本細則本次修正條文之施行日期,修正為由法務部配合本法之施行日期定之。




沒有留言:

張貼留言