教你輕鬆認識個人資料保護法 陳慧玲 講師 2018年05月02日
沿革 前身為電腦處理個人資料保護法,修法後更名為個人資料保護法,於99年5月26日公佈,101年10月1日正式施行(第6、54條暫緩施行)。104年12月30日再次公布修正第6、54條及其他部分條文,並自105年3月15日施行。
立法目的 避免人格權受侵害 促進個人資料合理利用 隱私權為憲法所保障之基本人權,人民有權在法律限定範圍內,決定是否揭露其個人資料,及在何時、何種範圍內、以何種方式、向何人揭露,並對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。
新舊個資法之重要差異 擴大行為之適用範圍:舊法僅限以電腦處理始受規範,新法則無。 擴大非公務機關適用範圍:舊法限制特定行業,新法全面適用。 增加特種個資及修正概括條款定義 增加法定告知事項 增加個資遭侵害時應查明後通知當事人之規定 增加主管機關除裁處罰鍰外得為之處分 擴大非公務機關違反本法之行政責任負責對象:舊法僅處罰負責人,新法擴大處罰非公務機關及其代表人、管理人或其他有代表權人。 刑事罰責提高
規範內容 行為主體 公務機關、非公務機關之自然人、法人及其他團體。 保護對象 生存之自然人。法人、團體或古人等,不在保護範圍內。 行為態樣 蒐集:直接蒐集、間接蒐集。 處理:紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、 輸出、連結或內部傳送。 利用:處理以外之使用。 行為地 國內外均適用。
蒐集方之義務 告知、通知、安全維護、接受拒絕行銷。 當事人的權利 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。 例外不適用 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利 用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他 個人資料結合之影因資料。
個人資料之定義 一、一般資料 生存自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、社會活動、財務情況。 二、特種資料(原則上禁止蒐集、處理或利用) 病歷、醫療、基因、性生活、健康檢查、犯罪前科。 三、其他得以直接或間接方式識別該個人之資料。
蒐集、處理及利用之限制(一) 基本原則: 一、尊重當事人的權益。 二、依誠實及信用方法。 三、不得逾越特定目的之必要範圍。 四、與蒐集的目的具有正當合理之關聯。 一般資料 壹、蒐集、處理:有特定目的+符合下列情形之一(含直接蒐 集及間接蒐集) 一、法律明文規定 。 二、與當事人有契約或類似契約關係,且已採取適當之安全措 施。
三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公益為統計或學術研究之必要且資料經 提供者處理後或蒐集者依其揭露方式無從識別特定當事人。 五、經當事人同意。 口頭、書面均無不可。 當事人未表示拒絕,並提供個資者,推定其同意。 有爭議時,蒐集者應負舉證責任。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁 止處理或利用,顯有更值得保護之重大利益者,不在此限。 八、對當事人權益無侵害。
貳、利用: 一、原則:於蒐集之特定目的必要範圍內 二、例外: 法律明文規定。 為增進公共利益所必要。 為免除當事人之生命、身體、自由或財產上之危險 。 為防止他人權益之重大危害。 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 。 經當事人同意。 有利於當事人權益。
蒐集、處理及利用之限制(二) 特種資料 一、原則:禁止 二、例外 法律明文規定。 公務機關執行法定職務或非公務機關履行法定義務必要範圍 內,且事前或事後有適當安全維護措施。 當事人自行公開或其他已合法公開之個人資料。 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的, 為統計或學術研究而有必要,且資料經過提供者處理後或經 蒐集者依其揭露方式無從識別特定之當事人。
為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
蒐集時應告知事項(一) 向當事人本人蒐集時 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對 其權益之影響。 告知得以言詞、書面、電話、簡訊、電子郵件、傳真、電子 文件(不限電子簽章法)或其他足以使當事人知悉或可得知 悉之方式為之。
蒐集時應告知事項(二) 例外--免告知 依法律規定得免告知。 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 告知將妨害公務機關執行法定職務。 告知將妨害公共利益。 當事人明知應告知之內容。 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
處理、利用時應告知事項(一) 自第三人處蒐集之個人資料於處理或利用前應告知當事人下列事項 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、個人資料來源 告知得於首次對當事人為利用時併同為之,方式同前。
處理、利用時應告知事項(二) 例外--免告知 有第八條第二項所列各款情形之一。 當事人自行公開或其他已合法公開之個人資料。 不能向當事人或其法定代理人為告知。 基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
停止蒐集、處理及利用個人資料(一) 有以下情形之一時,應主動或依當事人之請求,刪除、停止蒐 集、處理或利用該個人資料: 蒐集之特定目的消失或期限屆滿時。(但因執行職務或業務 所必須或經當事人書面同意者,不在此限) 違反個資法規定所為之蒐集、處理或利用。 當事人表示拒絕接受行銷時。(於首次行銷時, 應提供當事 人表示拒絕接受行銷之方式,並支付所需費用。接受行銷後, 當事人日後仍得隨時以自己之費用表示拒絕接受行銷)
停止蒐集、處理及利用個人資料(二) 所稱特定目的消失,係指下列情形之一 1. 非公務機關歇業、解散而無承受機關,或所營事業營業項目 變更而與原蒐集目的不符者 2.特定目的已達成而無繼續利用之必要者 3.其他事由足認該特定目的已無法達成或不存在者 執行職務或業務所必須之範圍 1.有法令規定或契約約定之保存期限。 2.有理由足認刪除將侵害當事人值得保護之利益。 3.其他不能刪除之正當事由。
當事人之權利及限制 權利 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。以上權利不得預先拋棄或以特約限制之 限制:於下列情形得拒絕當事人查詢、閱覽或製給複本請求 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國 家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。
維護資料正確性義務 蒐集方就所蒐集之個人資料應: 主動或依當事人之請求更正或補充。 就有爭議之資料,除因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者外,應主動或依當事人之請求停止處理或利用。 因可歸責於蒐集方之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
委託第三人蒐集、處理、利用 委託他人(不限為法人、自然人或團體)代為蒐集、處理或利用個人資料時,受託人於執行上開事務時,視同委託機關,受託人須依委託機關應適用之規定為之。 當事人對於受託人辦理受託事務,行使個資法權利時,應向委託機關為之。 委託機關應對受託者盡監督義務。
個人資料安全維護及通知義務 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。如有違反,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。通知內容應包括個人資料被侵害之事實及已採取之因應措施。 中央目的事業主管機關得指定非公務機關依該主管機關訂定之辦法,訂定其機關個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
行政罰責(一) 違反事項 特種資料蒐集、處理、利用之限制。 蒐集、處理之限制。 利用之限制。 國際傳輸限制。 罰責 處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰。 違反事項 主管機關進行檢查時,無正當理由規避、妨礙或拒絕。 處新臺幣二萬元以上二十萬元以下罰鍰。
行政罰則(二) 違反事項 未履行告知義務。 當事人行使本法權利時,拒絕配合辦理,未盡維護資料正確性等義務及個人資料遭侵害之處理義務。 特定目的外利用之限制。 維護個資安全之義務。 罰責 命限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰。 兩罰規定:非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前述規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰
行政罰則(三) 除前述罰鍰外,並得在必要範圍內,為下列處分 禁止蒐集、處理或利用個人資料。 命令刪除經處理之個人資料檔案。 沒入或命銷燬違法蒐集之個人資料。 公布非公務機關之違法情形,及其姓名或名稱與負責人。
民事賠償責任 請求事由 違反本法規定,致個人資料遭不法蒐集、處理、利用或其他 侵害當事人權利者,負損害賠償責任(但能證明其無故意或 過失者,不在此限),賠償內容如下: 實際所受損害。 非財產上之損害;其名譽被侵害者,並得請求為回復名譽之 適當處分。 如被害人不易或不能證明其實際損害額時,得請求法院依侵 害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 但同一原因事實造成之損害總額逾新臺幣二億元時,被害人 所受賠償金額,不受每人每一事件最低賠償金額新臺幣五百 元之限制。
對於同一原因事實造成多數當事人權利受侵害,其合計最高 總額以新臺幣二億元為限。但因該原因事實所涉利益超過新 臺幣二億元者,以該所涉利益為限。 非財產上損害之損害賠償請求權,不得讓與或繼承。但以金 額賠償之請求權已依契約承諾或已起訴者,不在此限。 請求權時效:自知有損害及賠償義務人時起,二年;自損害 發生時起,五年。 損害賠償訴訟:專屬管轄。
刑事責任 一、違法蒐集處理利用個資(公訴罪) 需有為自己或第三人不法之利益或損害他人之利益之意圖。 需有違法蒐集、處理及利用個資,或違反國際傳輸限制,足生損害於他人。 罰則:處五年以下有期徒刑、得併科新臺幣一百萬元以下罰金。 二、妨害個資正確性(告訴乃論) 對個資檔案為非法變更、刪除或以其他非法方法,致妨害個資檔案之正確而足生損害於他人。 罰則:處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。