台東縣政府教育訓練 個人資料保護法 報告人：黃荷婷 個資 保護 63 1.

Presentation on theme: "台東縣政府教育訓練 個人資料保護法 報告人：黃荷婷 個資 保護 63 1."— Presentation transcript:

1 台東縣政府教育訓練 個人資料保護法 報告人：黃荷婷 個資 保護 63 1

2 大綱 壹、資料隱私保護之國際脈動 貳、立法目的與政策目標 叁、推動個資法之施行 肆、個資法在地方政府機關職務之運用 －兼論施行細則之重要內容
伍、建立全面性資料隱私保護機制

3 壹、資料隱私保護之國際脈動 經濟區域之資料隱私保護計畫 經濟區域 新的挑戰（2011年修法計 畫） 歐盟 處理新科技之衝擊、
強化資料保護之法律確定性、 處理全球化與改善國際資料傳輸、 提供一套更健全之制度性安排以實現資料保護規則之有效執行、 改善資料保護法律框架之一致性 2012年1月已提出新的個資保護法規草案 APEC 建立亞太地區隱私保護之共通規範、 加強與OECD、歐盟之作法及規範相連結 3 3

4 歐盟2012年新規草案之安排 章節 章名 條號 第一章 通則 1~3 第二章 原則 4~8 第三章 資料當事人之權利 9~18 第四章
資料控制者與處理者 19~36 第五章 向第三國或國際組織傳遞個人資料 37~44 第六章 獨立主管機關 45~53 第七章 合作及一致性 54~72 第八章 救濟、責任與制裁 73~79 第九章 特定的資料處理情形之相關規定 80~85 第十章 委託行為與執行行為 86~87 第十一章 附則 88~91

5 貳、立法目的與政策目標 一、個資法之立法目的─§１ 個人資料之蒐集、處理及利用 5 5

6 個人資料自決權 司法院釋字第603號解釋： 基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基本權利，而受憲法第22條所保障。

7 個人資料自決權 就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。 惟憲法對資訊隱私權之保障並非絕對，國家得於符合憲法第23條規定意旨之範圍內，以法律明確規定對之予以適當之限制。 →任何人對於其相關之個人資料，如不涉及公益， 原則上均得自我決定是否公開或提供他人利用。

8 貳、立法目的與政策目標 二、政策目標 商機 內需轉向國際 跨境隱私合作 信賴 政府信譽 產業商譽 安全 資訊安全 隱私保護 8 8

9 一、個人資料保護法修法歷程及施 行細則進度
叁、推動個資法之施行 一、個人資料保護法修法歷程及施 行細則進度 有限適用範圍與主體 全面適用 行政院院會報告 個人資料保護法預定施行 電腦處理 個人資料 保護法施行 總統令公布個人資料保護法 細則草案陳報行政院 預告個人資料保護法施行細則草案 提出施行評估報告 行政院審查核定 立法院修正通過 個人資料保護法 諮詢意見、施行細則修正研商會議 9 9

10 叁、推動個資法之施行 二、目前各界反應之主要問題 主要問題 反應機關 處理方式 1、第6條敏感性資料之適用 要件及定義問題 公務、非公務機關
第6條修法 施行細則規定 2、第8、9、54條告知義務之 方式 非公務機關 第54條修法 3、第7條書面同意之意思表 示之方式 施行細則規定及解釋宣導 4、第41條第1項擴大刑事處 罰之問題 第41條第1項、第45條修法 5、識別、軌跡及舉證責任等 問題 10 10

11 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
一、普遍適用主體 由於本法制定之初，怕對民間企業衝擊過大，因此僅限定電信業、金融業等8類法定行業及後續指定15行業適用本法。但由於資訊科技發展迅速，利用電腦或網際網路蒐集處理個人資料之情形日益普遍。為貫徹保護個人資料之立法意旨，新法爰刪除適用主體之限制，亦即任何行業、團體及個人，均將納入適用個資法之範疇。但自然人為單純個人或家庭活動之目的者，或於公開場合或公開活動蒐集、處理或利用之未與其他個人資料結合之影音資料者，不適用本法。 (§2第8款、第51條第1項)

12 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
二、可識別個人資料之認定 (一)以間接方式識別個人資料之定義。 (二)本法第二條第一款所稱得以間接方式識別， 指保有該資料之公務或非公務機關僅以該資料 不能識別，須與其他資料對照、組合、連結等 ，始能識別該特定個人者。 (三)參照法務部100年5月13日法律字第 號函。 12

13 保護客體（法益：人格權中之資訊隱私權） (1)可識別之個人資料 (2)擴及於非自動處理之個人資料
(3)個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 一般資料 特種資料 生存自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動 醫療、基因、性生活、健康檢查、犯罪前科 及其他得以直接或間接方式識別該個人之資料(概括條款) 法人資料之保護→公司法393、營業秘密法、商業登記 法、商標法… 87

14 個人資料之範圍 範圍 類型 權利優先性 內部性 客戶資料 √ 員工資料 求職者資料 其他個人資料 ？ 外部性 委託處理之個人資料

15 規範行為 (3)蒐集：指為建立個人 料檔案而取得個人資料 直接向當事人蒐集者 間接從第三人取得者
(4)處理：指為建立或利用個人資料檔案所為資料之記錄、 輸入、儲存、編輯、更正、複製、檢索、刪除、 輸出、 連結或內部傳送 (5)利用：指將蒐集之個人資料為處理以外之使用 (6)國際傳輸：指將個人資料作跨國（境）之處理或利用 機關內部之資料傳送(資料處理) 將資料提供當事人以外之第三人(資料利用) 指以任何方式取得個人資料

16 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
三、敏感性資料之蒐集、處理或利用（合法性） 1、醫療、基因、性生活、健康檢查及犯罪前科之 個人資料，原則上不得蒐集、處理或利用，須 符合第6條第1項但書始得例外為之。 2、本條另提修正草案，並暫不施行。 (1)新增「病歷」為敏感性個人資料。 (2)準用告知義務及書面同意之告知事項。 3、本條相關概念之定義，於施行細則中明定。

17 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
施行細則修正條文 說明 第四條 本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列之各款資料。（衛生署提供） 本法第二條第一款所稱醫療之個人資料，指指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。（衛生署提供） 本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。（衛生署提供） 本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。 本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。 （衛生署提供） 本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。 17

18 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
4、第6條第1項但書之例外規定： 法律明文規定 修法方向： 公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施 新增「為維護公共利益所必要」、 「經當事人書面同意」 當事人自行公開或其他已合法公開之個人資料 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料 （回復行政院版條文） 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之 （擬刪除）

19 蒐集限制原則 執行「法定職務」： (1)法律（組織法、 作用法） 、法律授權之命令、 自治條例、 法律或自治條例授權之自治規則、
法律或中央法規授權之委辦規則。 例如臺東縣政府組織自治條例、臺東縣政府家庭暴 力及性侵害防治委員會組織規程、臺東縣政府訴願 審議委員會組織規程、臺東縣婦女緊急安置自治條 例、臺東縣補助離島居民搭乘飛機自治條例、臺東 縣建築管理自治條例、臺東縣處理妨害交通車輛自 治條例、臺東縣攤販管理輔導自治條例、臺東縣政 府門牌位置資料庫流通供應辦法、臺東縣政府拆除 合法房屋之查估及補償標準實施辦法、

20 蒐集限制原則 執行「法定職務」： 臺東縣政府國民住宅管理維護基金提撥為社區公共 基金辦法、臺東縣政府辦理申請經營離島免稅購物
商店同意許可辦法、臺東縣政府文化處場館使用管 理辦法、臺東縣政府臨時人員工作規則、戶籍法、 戶籍法施行細則、土地稅法、土地登記規則、農藥 管理法、畜牧法、動物保護法、寵物登記管理辦法 、社會救助法等。 行政規則？（ 執行性、細節性事項） (2)目前正在執行之職務 。

21 蒐集限制原則 履行「法定義務」： (1)指非公務機關依法律（組織法、 作用法） 、法 律具體確授權之法規命令所定之義務。
勞工安全衛生法第 12 條（體格檢查、健康檢查之施行） 雇主於僱用勞工時，應施行體格檢查；對在職勞工應施行定期健康檢查；對於從事特別危害健康之作業者，應定期施行特定項目之健康檢查；並建立健康檢查手冊，發給勞工。 前項檢查應由醫療機構或本事業單位設置之醫療衛生單位之醫師為之；檢查紀錄應予保存；健康檢查費用由雇主負擔。前二項有關體格檢查、健康檢查之項目、期限、紀錄保存及健康檢查手冊與醫療機構條件等，由中央主管機關定之。勞工對於第一項之檢查，有接受之義務。

22 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
四、蒐集及利用一般個人資料之合法性 （一）公務機關蒐集或處理之合法要件─ §7、新 §15 1、有特定目的：新§53 →由法務部會同中央目的事業主管機關指定 2、符合法定所列情形之一 (1)執行法定職務必要範圍內。 (2)經當事人書面同意。 (3)對當事人權益無侵害。

23 電腦處理個人資料保護法之特定目的（一）  代號      特定目的項目 002 人事管理 012 公共衛生或傳染病防治
(法務部101年10月1日法令字第 號令)  代號      特定目的項目 人事管理 公共衛生或傳染病防治 公共關係 公職人員財產申報、利益衝突迴避及政治獻金業務  民意調查 仲裁 行政裁罰、行政調查 兵役、替代役行政   志工管理 法制行政 政令宣導 政府資訊公開、檔案管理及應用 商業與技術資訊 國內外交流業務

24 電腦處理個人資料保護法之特定目的（二）  代號     特定目的項目 107 採購與供應管理 109 教育或訓練行政
(法務部101年10月1日法令字第 號令)  代號     特定目的項目 採購與供應管理 教育或訓練行政 陳情、請願、檢舉案件處理 場所進出安全管理  發照與登記 訴願及行政救濟 會計與相關業務   會議管理 資（通）訊與資料管理 資通安全與管理 輔助性與後勤支援管理 調查、統計與研究分析 其他公務機關對目的事業之監督管理 其他地方政府機關暨所屬機關構內部單位管理、公共事務監督、行政協助及相關業務

25 比例原則 適用之法律原則─§6；新§5 →應尊重當事人權益 (1)誠實信用原則(方法) (2)比例原則(不得逾越特定目的之必要範圍)
→手段正當、最小侵害、利益衡量（公益與 私益之權衡） (3)正當合理關聯原則(與蒐集目的具有正當合 理之關連)

26 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
（二）公務機關利用之合法要件─ §8、新§16 1、原則：在特定目的內利用 ①應於執行法定職務必要範圍內 ②與蒐集之特定目的相符 2、例外：得為特定目的外之利用(對個人隱私權 影響甚大) ①法律明文規定 ②為維護國家安全或增進公共利益 ③為免除當事人之生命、身體、自由或 財產上之危險

27 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
④為防止他人權益之重大危害 ⑤公務機關或學術研究機構基於公共利益為統 計或學術研究而有必要，且資料經過提供 者處理後或蒐集者依其揭露方式無從識別 特定之當事人 ⑥有利於當事人權益 ⑦經當事人書面同意

28 個人資料之利用原則 Case : 縣議會可否函請戶政機關提供戶長名冊？戶政機關應否提供？（本部95年5月8日法律決字第 號函） Ans : (1)縣議會可否蒐集個資？ 個資法第3條第6款所稱「公務機關」，係指依法行使公權力之中央或地方機關。準此，縣議會屬於該法規定之「公務機關」，並無疑義。因此，縣議會函請提供戶長名冊，應符合個資法第7條規定，始得為之。 (2)戶政機關可否提供個資？ 戶政機關基於戶政及戶口管理之特定目的所蒐集之個人資料，如擬提供其他第三人作特定目的外利用者，須符合個資法第8條但書所列九款情形之一，始得為之。縣議會即使符合個資法第 7條規定就「議案涉及事項」得蒐集民眾戶籍資料，但如不符合個資法第8 條所定得特定目的外利用個人資料情形之一者，戶政機關即不得提供。（「議案涉及事項」究與個資法第8條但書所定九款情形中之何款相符，宜由受理請求提供個人資料之戶政機關本於權責判斷之。）

29 個人資料之利用原則 Case : 學校或學術研究機構等得否以學術研究名義向戶政機關申請提供民眾戶籍資料？（本部94年11月1日法律字第 號函） Ans : （1）學校老師為國科會專題研究計畫向台北市民政局請求提供新生兒資料乙節，就該局利用個人資料性質觀之，應屬特定目的（戶政及戶口管理）外利用之情形，是否符合個資法第8條規定第 7款所稱之「為學術研究而有必要且無害於當事人之重大利益」，宜由該局本於權責審認之，其審酌事項宜包括例如：蒐集資料者是否簽有保密義務，保證不洩漏當事人資料？當事人資料有無作匿名化處理，致研究報告公布或揭露時，不會識別特定當事人？提供之資料是否僅屬一般基本資料，未涉及當事人較敏感之資料等。 （2）人民請求行政機關提供經電腦處理之個人資料者，因該個人資料亦屬政府資訊之一部分，故除須符合個資法有關利用之規定者外，尚須依政府資訊公開法規定判斷有無限制公開或提供之情事；如有限制公開或提供之情事，縱符合個資法有關得利用之規定仍不得公開或提供之。

30 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
（三）非公務機關蒐集或處理之合法要件─ §18、新§19 1、有特定目的（經營合於營業登記項目之業務） 2、符合法定所列情形之一 ①法律明文規定 ②與當事人有契約或類似契約之關係 ③當事人自行公開或其他已合法公開之個人資料 ④學術研究機構基於公共利益為統計或學術研究 而有必要，且資料經過提供者處理後或蒐集 者依其揭露方式無從識別特定之當事人 ⑤經當事人書面同意

31 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
⑥與公共利益有關 ⑦個人資料取自於一般可得之來源。但當事 人對該資料之禁止處理或利用，顯有更值 得保護之重大利益者，不在此限。 Ⅱ蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

32 與當事人有契約或類似契約之關係 施行細則第27條第1項：
契約，包括本約，及非公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。（附隨第三人個人資料） 類似契約之關係，指下列情形之一者： 一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交易之目的，所進行之接觸或磋商行為。（信賴關係） 二、契約因無效、撤銷、解除、終止或履行而消滅時，非公務機關與當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之連繫行為。

33 個人資料取自於「一般可得之來源」 施行細則第28條：
本法第19條第1項第7款所稱一般可得之來源，指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

34 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
（二）非公務機關利用之合法要件─ §23、新§20Ⅰ 1、原則：在特定目的內之利用 →應於蒐集之特定目的必要範圍內 2、例外：得為特定目的外之利用 ①法律明文規定 ②為增進公共利益 ③為免除當事人之生命、身體、自由或財產上之危險 ④為防止他人權益之重大危害 ⑤公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要，且資料經過提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人 ⑥經當事人書面同意

35 個人資料之目的外利用與業務協助 (一)個人資料保護法§6 ，及個人資料保護法§ 19 及§20。 (二)如何操作：
1、利用者應盡到特定目的外利用之形式要件 審查義務。 2、蒐集者應盡到合法蒐集之說明義務。 3、最小侵害原則、利益衡量原則（比例原則）。 4、機關主管法令有無禁止或限制之規定。 →銀行法第28條第4項訂定保守秘密之除外規定 事項、稅捐稽徵法第33條 (三)配套措施： 1、保有個人資料是否符合蒐集之要件。 2、特定目的為何及是否均符合應有之特定目的。

36 稅捐稽徵法第33條規定 稅捐稽徵人員對於納稅義務人之財產、所得、營業及納稅等資料，除對下列人員及機關外，應絕對保守秘密，違者應予處分；觸犯刑法者，並應移送法院論罪： 一、納稅義務人本人或其繼承人。 二、納稅義務人授權代理人或辯護人。 三、稅捐稽徵機關。 四、監察機關。 五、受理有關稅務訴願、訴訟機關。 六、依法從事調查稅務案件之機關。 七、經財政部核定之機關與人員。 八、債權人已取得民事確定判決或其他執行名義者。 稅捐稽徵機關對其他政府機關為統計目的而供應資料，並不洩漏納稅義務人之姓名或名稱者，不受前項之限制。 經財政部核定獲得租稅資訊之政府機關或人員不可就其所獲取之租稅資訊，另作其他目的之使用…

37 書面同意 電子簽章法第2條 一、電子文件：指文字、聲音、圖片、影像、符號或其他資料，以電子或，所製成足以表示其用意之紀錄，而供電子處理之用者。 二、電子簽章：指依附於電子文件並與其相關連，用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。 三、數位簽章：指將電子文件以數學演算法或其他方式運算為一定長度之數位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者。

38 書面同意 電子簽章法第4條 經相對人同意者，得以電子文件為表示方法。
電子簽章法第4條 經相對人同意者，得以電子文件為表示方法。 依法令規定應以書面為之者，如其內容可完整呈現，並可於日後取出供查驗者，經相對人同意，得以電子文件為之。 電子簽章法第9條 依法令規定應簽名或蓋章者，經相對人同意，得以電子簽章為之。 電子簽章法第10條 以數位簽章簽署電子文件者，應符合下列各款規定，始生前條第一項之效力：一、使用經第十一條核定或第十五條許可之憑證機構依法簽發之憑證。二、憑證尚屬有效並未逾使用範圍。

39 施行細則之規定 書面意思表示之方式 (一)本法所定書面意思表示之方式，依電子簽章法，得以電子文件為之。
(二)所稱單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，應於適當位置使當事人得以知悉其內容後並確認同意。

40 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
五、修正刪除及增訂內部傳送之定義 (一)刪除，指使已儲存之個人資料自個人資料檔案中消失。 (二)內部傳送，指公務機關或非公務機關本身內部之資料傳送。

41 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
六、何謂執行職務或業務所必須而得不刪 除或停止處理或利用個人資料 (一)有法令規定或契約約定之保存期限。 (二)有理由足認刪除將侵害當事人值得保護之利益。 (三)其他不能刪除之正當事由。

42 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
七、公務及非公務機關之適當安全維護措施 (一)蒐集者之責任 1、民事損害賠償責任 （1）違法責任：個人資料保護法§28、29 （2）委託責任：個人資料保護法§4 2、個人資料之管理義務 （1）公務機關：個人資料保護法§18 （2）非公務機關：個人資料保護法§27 42

43 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
(二)適當安全維護措施指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上與組織上之措施。 (三)明定必要措施之事項，得包括： 1、成立管理組織，配置相當資源 2、界定個人資料之範圍 3、個人資料之風險評估及管理機制 4、事故之預防、通報及應變機制 43 43 43

44 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
5、個人資料蒐集、處理及利用之內部管理程序 6、資料安全管理及人員管理 7、認知宣導及教育訓練 8、設備安全管理 9、資料安全稽核機制 10、必要之使用紀錄、軌跡資料及證據之保存 11、個人資料安全維護之整體持續改善 (四)該措施，以與所欲達成之個人資料保護目的間，具有適當比例者為原則。 44 44 44

45 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
八、明訂委託機關應對受託者為適當之監督 監督至少包含下寫事項：建議明訂於委託契約並記錄 ①預定蒐集、處理或利用個人資料之範圍、類別、 特定目的及其期間 ②受託者就第12條第2項採取之措施 ③有複委託者，其約定之受託者 ④受託者違反相關個人資料保護法規之通知事項及採行補救措施 ⑤ 委託機關如有保留指示之事項，其事項 ⑥委託關係終止或解除之資料載體返還及資料刪除 45

46 委外契約條款範例 招標時：計畫需求項目（內容、規格） 決標時：契約條款 （三）其他
5、廠商或研究團隊受託執行本計畫處理個人資料應做好安全維護措施。 決標時：契約條款 第八條 委託蒐集、處理或利用個人資料之維護管理 （一）契約所定應給付之標的及工作事項涉及蒐集、處理或利用個人資料之全部或一部時，廠商應於契約生效後20日內就下列事項以書面載明並送達機關，經機關同意後，雙方用印並列為契約附件。該書面記載事項如有不明確或不宜者，機關得請廠商修正後為之，廠商最遲應於機關通知修正之日起10日內完成並送達機關。

47 委外契約條款範例 1、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間；
2、個人資料安全、個人資料稽核、設備管理及其他安全維護等事項所採取之措施； 3、有再委託者，其約定； 4、廠商或其受僱人違反個人資料保護法規或契約條款時，應向機關通知之事項； 5、契約關係終止或解除時，廠商個人資料載體之返還，及儲存於廠商持有個人資料之刪除事項。 （二）機關於履約期間內，得每3個月以書面或現場查核方式審核第一點所列事項。 （三）廠商僅得於機關指示之範圍內，蒐集、處理或利用個人資料。廠商認為機關之指示有違反本法或基於本法所發布之命令規定之情事，應立即通知機關。

48 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
九、公務機關之專人及規範義務（參考） (一)指具有管理及維護個人資料檔案之能力，且足以擔任機關之個人資料檔案安全維護經常性工作之人員。 (二)公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。 (三)公務機關保有個人資料檔案者，應訂定個人資料安全維護規定。（其內容應依第12條第2項規定處理）

49 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
十、建立信賴之機制 (一)蒐集或利用個人資料時（強化信賴）： 1、公務機關之公開作業（個資法§17）。 2、非公務機關之告知義務。 （1）本法第8條、第9條及第54條所定告知之方 式，得以言詞、書面、電話、簡訊、電子郵 件、傳真、電子文件或其他足以使當事人知 悉或可得知悉之方式為之。 （2）以個別通知之方式為之。

50 公務機關之個資保護事項公開作業 公告內容及方式： 1、清查機關單位內保有之個人資料 (1)個人資料之檔案名稱 (2)保有機關之名稱及聯絡方式
(3)保有之依據及特定目的 (4)個人資料之類別 2、公開義務：以電腦網站或其他適當方式公告 （§10、11；新§17）

51 公告範例 ○ ○機關保有個人資料檔案公開項目彙整表之格式 項目 編 號 個人資料檔案名稱 保有依據 個人資料類別 保有單位
○○保有個人資料檔案之特定目的 ○○之聯絡方式 地址 電話 單位名稱 51

52 免告知事項之規定 免告知事項 §8Ⅱ 向當事人直接蒐集者 §9Ⅱ自第三人取得者(間接蒐集) (1)依法律規定得免告知。
§8Ⅱ 向當事人直接蒐集者 §9Ⅱ自第三人取得者(間接蒐集) (1)依法律規定得免告知。 (2)個人資料之蒐集係公務機 關執行法定職務或非公務 機關履行法定義務所必 要。 (3)告知將妨害公務機關執行 法定職務。 (4)告知將妨害第三人之重大 利益。 (5)當事人明知應告知之內 容。 (1)(2)(3)(4)(5) (6)當事人自行公開或其他已合 法公開之個人資料。 (7)不能向當事人或其法定代理 人為告知。 (8)基於公共利益為統計或學術 研究之目的而 有必要，且 該資料須經提供者處理後或 蒐集者依其揭露方式，無從 識別特定當事人者為限。 (9)大眾傳播業者基於新聞報導 之公益目的而蒐集個人資 料。 Ⅰ之告知得於首次對當事人為利用時併同為之。

53 肆、個資法在地方政府機關職務之運用－兼談施行細則之重要內容
(二)違法而個人資料受侵害時（恢復信賴）： →通知義務（個資法§12） 1、適當方式： (1)時間：即時 (2)方式：以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。 2、通知內容：個人資料被侵害之事實及已採取之 因應措施。 53

54 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
十一、民事損害賠償 違反電腦處理個人資料保護法之民事賠償 公務機關違反本法規定，侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。新§28 （無過失損害賠償責任） 非公務機關違反本法規定，侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。新 §29（舉證責任倒置之過失責任） 損害賠償總額，以每人每一事件新臺幣500元以上2萬元以下計算。但能證明其所受之損害額高於該金額者，不在此限。逾越損害總額時，不受最低賠償金額500元之限制。新 §28 基於同一原因事實應對當事人負損害賠償責任者，其合計最高總額以新臺幣2億元為限。 §28

55 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
十二、刑罰 (一) 新§41 違反第6條、第15條、 第16條、第19條、第 20條第1項規定，或中 央目的事業主管機關 依第21條限制國際傳 輸之命令或處分 處2年以下有期徒刑、 拘役或科或併科新臺幣 20萬元以下罰金 足生損害 於他人 處5年以下有期徒刑， 得併科新臺幣100萬元 以下罰金 Ⅱ意圖營利

56 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
(二) 新§42 意圖為自己或 第三人不法之 利益或損害他 人之利益 對於個人資料檔 案為非法變更、 刪除或以其他非 法方法，致妨害 個人資料檔案之 正確 足生損害 於他人 處5年以下有期徒刑、 拘役或科或併科新臺幣 100萬元以下罰金

57 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
十三、行政罰 (一) 新§47、§50 非公務機關 違反第6條、第19條、 第20條第1項 或中央 目的事業主管機關依 第21條規定限制國際 傳輸之命令或處分 中央目的事 業主管機關 或直轄市、 縣(市)政府 處新臺幣5萬元 以上50萬元以 下罰鍰，並令 限期改正 屆期未改正者 ，按次處罰之 非公務機關之代表人 、管理人或其他有代 表權人，不能證明已 盡防止義務者

58 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
(二) 新§48、§50 限期改正 非公務機關 違反第8條或第9條、 第10條、第11條、第 12條或第13條、 第20條第2項或第3項、 第27條第1項或未依第2 項訂定個人資料檔案安 全維護計畫或業務終止 後個人資料處理方法 中央目的事 業主管機關 或直轄市、 縣(市)政府 屆期未改正者， 按次處新臺幣2 萬元以上20萬元 以下罰鍰 非公務機關之代表人 、管理人或其他有代 表權人，不能證明已 盡防止義務者

59 叁、個資法在地方政府機關職務之運用－兼談修正內容及案例探討
(三) 新§49、§50 非公務機關 無正當理由違 反第22條第4 項規定者 中央目的事 業主管機關 或直轄市、 縣(市)政府 處新臺幣2萬元 以上20萬元以 下罰鍰 非公務機關之代表人 、管理人或其他有代 表權人，不能證明已 盡防止義務者

60 伍、建立全面性資料隱私保護 公務機關之子法建置及配套措施 方案項目 主辦機關 依法設置專人，並建立個資保護聯絡窗口（98年） 各機關
訂定公務機關個人資料保護管理要點（99年） 個人資料檔案名稱等事項之公開作業（100年） 修正個人資料之特定目的及資料類別（101年） 訂定個人資料保護法第6條第2項及第27條第3項法規命令（101年） 法務部、相關主管機關 個人資料保護網頁規劃及管理機制（自行裁量） 留意行政院發展數位鑑識技術與扶植產業之規劃 行政院 教育訓練及宣導活動（分年辦理） 60 60

61 伍、建立全面性資料隱私保護 監督機制 個資保護內部管理程序 委外管理基準 建立個資保護管理程序及稽核作業流程 61 61

62 伍、建立全面性資料隱私保護 委託關係 蒐集 處理 利用 確認資料種類 停止、刪除、銷毀 蒐集要件 安全維護 符合特定目的 接受當事人行使權利
告知或公告 安全維護 符合特定目的 接受當事人行使權利 查詢 閱覽 製給複製本 補充 更正 停止蒐集處理利用 刪除 採行適當資料檔案之安全措施(防止被竊取、竄改、毀損、滅失、洩漏) 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 建立管理作業流程 法規要求 中央目的事業主管機關得指定非公務機關訂定 62 62

63 伍、建立全面性資料隱私保護 一、明瞭及熟悉個人資料蒐集處理或利用之規定 (一)特定目的為何及是否均符合應有之特定目的 (二)符合蒐集、處理或利用之法定要件之一 (三)有無必要性（是否逾越特定目的之必要範圍） (四)蒐集者是否須依法辦理檔案名稱等之公開程序 二、公務機關之適當安全維護措施 →採取組織上及技術上之必要措施 1、資訊安全防護 2、個人資料管理 3、員工教育訓練

64 簡報完畢 敬請指教 64 64