個人資料保護法面面觀 華誠聯合律師事務所 蔡其龍律師.

Presentation on theme: "個人資料保護法面面觀 華誠聯合律師事務所 蔡其龍律師."— Presentation transcript:

1 個人資料保護法面面觀 華誠聯合律師事務所 蔡其龍律師

2 個人簡歷 私立東海大學法律系法學士 國立中興大學科技法律研究所 96年專門職業及技術人員高等考試及格（律師） 專利代理人
法瑪國際律師事務所實習律師 群展國際法律事務所律師 德律專利商標法律事務所律師 財團法人法律扶助基金會台中分會扶助律師 財團法人法律扶助基金會彰化分會扶助律師 財團法人法律扶助基金會南投分會扶助律師 財團法人法律扶助基金會雲林分會扶助律師 台中律師公會公關組主任 現任職華誠聯合律師事務所律師

3 大綱 個資外洩案例 個人資料保護法修法進程 個資法概析 個資責任因子

4 個資外洩案例

5

6 國內新聞：處方箋外洩，醫院與回收商均有責任

7

8 個人資料保護法修法進程

9 個人資料保護法修法進程 1995年，立法院三讀通過「電腦處理個人資料保護法」草 案，同年總統公布施行 2005年，法務部研擬完成「電腦處理個人資料保護法」草 案，並將法規名稱改為「個人資料保護法」，並送請立法院 審議 2010年4月27日立法院三讀通過個人資料保護法 2010年5月26日總統府公布，施行日期尚待行政院訂之 法務部業於2011年10月27日公告施行細則草案 法務部業於2012年4月11日提出修正草案 新版個人資料保護法已在2012年10月1日開始實施

10 個資法概析

11 個資法概析 整體架構 新法案例思考脈絡 修正重點臚列 責任規定 確保符合個資法要求之方案 民事賠償規定、要件及責任性質 民事賠償金額之決定
刑事責任 非公務機關之行政責任 確保符合個資法要求之方案

12 個人資料保護法條文 共六章 56條 第一章 總則（第１條至第14條） 第二章 公務機關對個人資料之蒐集、處理及利用（第15條至第18條）
第三章 非公務機關對個人資料之蒐集、處理及利用（第19條至第27條） 第四章 損害賠償及團體訴訟（第28條至第40條） 第五章 罰則（第41條至第50條） 第六章 附則（第51條至第56條）

13

14

15 新舊法之區別 新法適用主體即規範之對象 修正後 修正前 說明 第二條 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。
第二條　 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 第三條　 六、公務機關：指依法行使公權力之中央或地方機關。 七、非公務機關：指前款以外之左列事業、團體或個人： (一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。 (二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 (三)其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。 修正前對於非公務機關是否適用個資法上，僅限於其所列舉之事業、團體或個人。 修正後則對於非公務機關不再侷限於特定行業別，只要是公務機關以外之自然人、法人或其他團體均有適用。

16 新法適用客體即受保護之範圍 修正後 修正前 說明 第二條
一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 第三條 一、個人資料：指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。 二、個人資料檔案：指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合。 三、電腦處理：指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。 一、修正後之條文另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料，以補充說明個人資料之性質。並將有些資料雖未直接指名道姓，但一經揭露仍足以識別為某一特定人，對個人隱私仍會造成侵害而修正為「其他得以直接或間接方式識別該個人之資料」。 二、修正後之條文將修正前之第三款予以刪除，並修正第二款之定義，即不再侷限於數位資料，一般人工資料亦包括在內。

17 新法將規範行為擴大 修正後 修正前 說明 第二條 三、蒐集：指以任何方式取得個人資料。
第二條　 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 第三條 三、電腦處理：指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。 四、蒐集：指為建立個人資料檔案而取得個人資料。 五、利用：指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。 一、修正後之規定對於蒐集，不再限定以何種方式取得，直接自當事人處蒐集或間接從當事人取得者均受規範。 二、修正前限於電腦處理，而修正後則將電腦二字刪除，即為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送均屬之，並增加跨國處理與利用之規範，只要該資料作跨國（境）之傳輸，不論是屬處理或利用行為，皆屬「國際傳輸」。 三、修正前對於直接對當事人本人使用其個人資料，滋生疑義。故修正後之規定予以精簡，係指將蒐集之個人資料為處理以外之使用均屬之。

18 個資法概析 修正重點臚列I 擴大保護客體： 非公務機關適用主體不再限於八大行業： 不再以經電腦處理之個資為限，含紙本個資
增訂§6特種個資蒐集限制 但自然人為單純個人或家庭活動目的、於公開場合/活動蒐集處理利用未與其他個人資料結合之影音資料→不適用 非公務機關適用主體不再限於八大行業： 所有蒐集個資之公務機關、非公務機關及個人均有適用 受委託蒐集、處理或利用個人資料者，視同委託機關。 舊法除現行個資法明定之八大行業外，加上法務部以行政命令僅有約二十種行業

19 個資法概析 修正重點臚列II 個資定義大幅擴張： 舊法→足資識別 新法→直接或間接（則§3）得以識別（類別新增：護照號
碼、醫療、基因、性生活、犯罪前科、聯絡方式幾項） 當事人自主原則及查閱更正原則： 當事人得行使之權利：查閱或閱覽、製給複製本、補充或 更正、停止蒐集處理利用、刪除 行使權利之程序及救濟：

20 個資法概析 修正重點臚列III

21 個資法概析 修正重點臚列IＶ

22 個資法概析 修正重點臚列Ｖ

23 個資法概析 修正重點臚列ＶI 強化行政監督： 促進民眾參與（建立公益團體團體訴訟機制）：
對非公務機關個資相關事項，中央目的事業主管機關或地方政府得強制檢查、處分或處罰鍰 促進民眾參與（建立公益團體團體訴訟機制）： 財團法人：登記財產總額達新台幣一千萬元、保護個資事項定於章程目的範圍內、許可設立三年以上 社團法人：社員人數達一百人、保護個資事項於章程所定目的範圍內、許可設立三年以上

24 個資法概析 責任規定 提高民事賠償責任、新增刑責及行政責任

25 民事責任 違反修正後個資法之民、刑事責任 修正後 修正前 說明 第二十八條
公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。 依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。 第二十七條　 公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 前二項損害賠償總額，以每人每一事件新臺幣二萬元以上十萬元以下計算。但能證明其所受之損害額高於該金額者，不在此限。 基於同一原因事實應對當事人負損害賠償責任者，其合計最高總額以新臺幣二千萬元為限。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。 一、公務機關負無過失損害賠償責任；非公務機關則負負過失責任，但舉證責任倒置，由非公務機關證明其無故意或過失。 二、將賠償總額新臺幣二千萬元之限制，提高為新臺幣二億元。但如其所涉利益超過新臺幣二億元者，則不受二億元之限制。 三、如無法證明實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

26 修正後 修正前 說明 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。 一、公務機關負無過失損害賠償責任；非公務機關則負負過失責任，但舉證責任倒置，由非公務機關證明其無故意或過失。 二、將賠償總額新臺幣二千萬元之限制，提高為新臺幣二億元。但如其所涉利益超過新臺幣二億元者，則不受二億元之限制。 三、如無法證明實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。 第二十九條 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。 依前項規定請求賠償者，適用前條第二項至第六項規定。 第二十八條 　 非公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。但能證明其無故意或過失者，不在此限。 依前項規定請求賠償者，適用前條第二項至第五項之規定。

27 個資法概析 責任規定—民事賠償規定I 第28條 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。 依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。

28 個資法概析 責任規定—民事賠償規定II 第29條
非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。 依前項規定請求賠償者，適用前條第二項至第六項規定。 第30條： 損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。 第31條： 損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。

29 個資法概析 責任規定—民事賠償要件及責任性質
要件： 「違反本法規定」、「致個人資料遭不法蒐集、處 理、利用或其他侵害權利」： 範圍不是只有個資外洩之情形，如違法蒐集，應告知未告知，應通知未通知，逾期保存或利用個資，當事人請求更正、刪除卻未更正、刪除....皆屬之 責任性質： 公務機關採無過失責任:公務機關侵害→有無過失均需賠償 非公務機關採舉證責任倒置：非公務機關侵害→由被告證明侵害權利並無過失 無損害即無賠償原則(民事訴訟法§222）： 原告仍需證明有損害發生及造成損害者為被告及因果關係

30 個資法概析 責任規定—民事賠償金額之決定 有損害即有賠償原則： 如能證明損害額→即無§28III法官以自由心證酌定賠償額之適用
「法院依自由心證酌定損害額時，就經濟分析之立場而言，係一種在無法確定損害額之狀況下，依據具體個案之週遭事實推估損害額之心智過程，自由心證形成之過程中必須以具體個案之事實作為推估損害額之依據，而不得以恣意推測之方式憑空猜測損害額...」(智慧財產權法院100年度民著訴字第9號民事判決)

31 刑事責任 修正後 修正前 說明 第四十一條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。 第三十三條 　意圖營利違反第七條、第八條、第十八條、第十九條第一項、第二項、第二十三條之規定或依第二十四條所發布之限制命令，致生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣四萬元以下罰金。 一、修正主觀構成要件，不具營利意圖者，亦構成犯罪。 二、違法蒐集、處理或利用特種個人資料）者，亦須處罰。 三、規定意圖營利犯前項之罪者，刑罰提高到五年以下有期徒刑，得併科新臺幣一百萬元以下罰金，期能遏阻盜賣個人資料之不法行為。

32 個資法概析 責任規定—刑事責任I 第41條： 第42條：
違反第六條第一項（違法蒐集處理利用特種資料）、第十五條（無特定目的/情形蒐集處理）、第十六條（利用逾越特定目的）、第十九條（無特定目的/情形蒐集處理）、第二十條第一項（利用逾越特定目的）規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分， 足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元 以下罰金。（新增規定！） 意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。（現行規定即有、2年→5年、刪除拘役、罰金4萬→100萬） 第42條： 意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。（現行規定即有、3年→5年、罰金5萬→100萬）

33 個資法概析 責任規定—刑事責任II 第43條： 第44條： 第45條： 第46條：
中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適用之。（新增規定） 第44條： 公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一。（前二條→本章） 第45條： 本章之罪，須告訴乃論。但犯第四十一條第二項之罪者，或對公務機關犯第四十二條之罪者，不在此限。（新增但書規定，對公務機關為資料擅改、刪除等，為非告乃論之罪） 第46條： 犯本章之罪，其他法律有較重處罰規定者，從其規定。（同現行規定）

34 個資法概析 責任規定—刑事責任III 第41條第1項之構成要件： 客觀構成要件：
主觀構成要件： 行為人認知其行為符合以上要件 Q：可否以制定個資保護安全維護計畫、購買資安設備或導入 ISO27001、TPIPAS（DPMARK）等國際管理規範，主張阻卻故意因而無罪？ 應經「個資查檢」才能確保遵法性！

35 個資法概析 責任規定—非公務機關之行政責任I
第25條（新增規定）： 中央目的事業主管機關或直轄市、縣（市）政府得處非公務機關： 禁止蒐集處理利用、命令刪除、沒入或命銷燬、公布 違法情形（姓名、名稱或負責人） 第47條（新增規定）： 違反§6I、§19、§20I、§21（與§41I同）→5萬-50萬元罰鍰、令限期改正、屆期未改正者按次處罰之

36 個資法概析 責任規定—非公務機關之行政責任II
第48條（新增規定）： 違反§8、§9、§10、§11、§12、§13、§20II或III、§27I或II→2萬-20萬元罰鍰、令限期改正、屆期未改正者按次處罰之 第49條（新增規定）： 無正當理由，違反§22IV →2萬-20萬元罰鍰 第50條（現行規定）： 非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。

37 個資法概析 確保符合個資法要求之方案I 個資法三大面向： 適法性、資安、管理缺一不可

38 個資法所規範之行為 蒐集：以任何方式取得個人資料。 一、直接向當事人蒐集。 二、間接從第三人取得，包括向他人購買名單。
處理：為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 內部傳送： 公務機關將資料傳送給國外辦事處， 校總區將資料傳送給分部， 總公司將資料傳送給分公司。

39 利用：將蒐集之個人資料為處理以外之使用。
直接向當事人使用其個人資料，例如對當事人從事行 銷。 將資料提供當事人以外之第三人。 國際傳輸：將個人資料作跨國（境）之處理或利 用。 一、向大陸地區傳輸個人資料。（法務部94年08月26日法律字第 號） 二、外國在臺分公司將客戶資料傳遞予外國總公司。（法務部90年04月27日法律決字第014746號）

40 個資法基本原則 應尊重當事人之權益。 應依誠實及信用方法為之。 不得逾越特定目的之必要範圍。 應與蒐集之目的具有正當合理之關聯。

41 合法蒐集及處理之要件 蒐集或處理： 應有特定目的。 應符合第15條（公務機關）或第19條（非公務機關）所定之情形。

42 特定目的外之利用 得為特定目的外之利用之情形： 公務機關：第16條。 非公務機關：第20條。
書面同意：當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。 避免特定目的外利用個人資料之同意與其他事項作不當聯結，或被列入定型化契約概括同意條款，特定目的外利用個人資料，應獨立作書面意思表示。

43 機關之義務 依當事人請求，答覆查詢、提供閱覽或製給複製本。 例外不答覆或提供之情形：
妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 妨害公務機關執行法定職務。 妨害該蒐集機關或第三人之重大利益（如：檔案資料自第三人取得，如應當事人之請求准予查詢、閱覽或製給複製本，將損及保有機關與第三人之協助或信賴關係者，或洩漏資料蒐集者之業務秘密等。）(§10)。 機關得酌收必要成本費用。(§14) 機關受理當事人請求答覆查詢、提供閱覽或製給複製本，應於15日內為准駁之決定；必要時，得延長15日，並應將原因以書面通知請求人。(§13) 機關拒絕或未於期間內決定時，當事人得提起訴願或訴訟。

44 維護個人資料之正確，並主動或依當事人之請求更正或補充之。(§11)
個人資料正確性有爭議者，停止處理或利用（但因執行職務或業務所必須，並註明其爭議或經當事人書面同意者，不在此限）。(§11) 因可歸責於機關之事由，未為更正或補充之個人資料，於更正或補充後，通知曾提供利用之對象。(§11)

45 個人資料蒐集之特定目的消失或期限屆滿時，刪除、停止處理或利用該個人資料（但因執行職務或業務所必須，或經當事人書面同意者，不在此限）。(§11)
違反本法規定蒐集、處理或利用個人資料，應刪除、停止蒐集、處理或利用該個人資料。(§11)

46 公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；有變更者亦同：
個人資料檔案名稱。 保有機關名稱及聯絡方式。 個人資料檔案保有之依據及特定目的。 個人資料之類別。(§17)

47 個資法概析 確保符合個資法要求之方案II 由個資法及施行細則規定所建構之個資責任因子，涵括三大面向要求，可創造民眾、企業法人、法院三贏局面！
對企業而言：可降低風險，因而勇於投資個資保護(問卷調查結果：82.1%的單位認如有具體標準可依循，將導入例如ISO27001, Dpmark或其他有助遵循個資法規定之制度) 對法院而言：判斷民事無過失及刑事無刑責標準更具體，可杜絕恐龍之譏 對民眾而言：數位時代個資外洩或被侵權，甚難維權，如企業能盡力遵循個資法，民眾之資訊隱私權將受保障、不再受個資外洩之苦 可符合個資法三大面向要求之隱私標章或個資稽核

48 公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毁損、滅失或洩漏。(§18)
非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毁損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。(§27)

49 機關受理當事人請求答覆查詢、提供閱覽或製給複製本，應於15日內為准駁之決定；必要時，得延長15日，並應將原因以書面通知請求人。(§13)
機關受理當事人請求更正、補充、請求刪除、停止蒐集、處理或利用其個人資料，應於30日內，為准駁之決定；必要時，得延長30日，並應將原因以書面通知請求人。 (§13) 機關拒絕或未於期間內決定時，當事人得提起訴願或訴訟。

50 合理使用範圍 第五十一條 有下列情形之一者，不適用本法規定： 一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。
　 有下列情形之一者，不適用本法規定： 一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。 一、有關自然人為單純個人（例如：社交活動等）或家庭活動（例如：建立親友通訊錄等）而蒐集、處理或利用個人資料，因係屬私生活目的所為，與其職業或業務職掌無關，則予以排除。 二、另外對於一般人在其個人社群網站上，如部落格或Facebook等張貼與朋友間一般日常生活或公共活動的合照或影音資料，亦加以排除。

51 個資責任因子

52 個資責任因子 管理組織及資源配置 個人資料範圍 風險評估機制 事故預防通報及應變機制 個資內部管理程序 資料安全管理及人員管理 設備安全管理
資料安全稽核機制及所有相關紀錄留存 個資安全維護計畫之整體持續改善 認知宣導及教育訓練 委外處理個資時之責任因子

53 個資責任因子 資料安全及人員管理I（§18、27、則§9II➄）
資料安全管理： 個人資料儲存媒體部分： 個資儲存媒體（如伺服器、磁片、隨身碟、攜帶式硬碟等）是否妥善保管訂定使用規範 個資之紙本或儲存媒體是否未置放於桌面或其他隨手可得之處、電腦是否設定螢幕保護程式予以鎖定、是否每日檢查環境周遭有未妥善保管之個人資料 儲存個資之「系統網路」是否進行網路區隔、限制連線，就公用程式應用（如遠端連線程式）或連線時間等，是否進行管制；「個人資料庫」是否建有連線管制、存取控制機制 於廢棄或移轉他人前，是否確實刪除個資，或是否以適當方式銷毀：如電腦磁片硬碟等使用格式化或其他整體破壞方式銷毀、欲廢棄或不再持有之紙本資料，是否使用碎紙機或其他破壞方式予以確實銷毀、是否委由專業廠商於專人監督下銷毀 刪除或銷毀是否留存相關紀錄

54 個資責任因子 資料安全及人員管理II (§18、§27、則§9II➄
資料安全管理： 蒐集處理利用個人資料部分： 如含機敏性資料（如身分證字號、信用卡卡號等資 訊）而有加密屏蔽之必要，是否採取適當之加密或 屏蔽機制（如身分證字號部分或全部屏蔽、網路傳輸以SSL機制加密等） 傳輸個人資料時是否確認資料收受者之正確性，如傳真號碼之正確，傳真前通知收受者於傳真機前等待，避免他人誤收而造成資料外傳等、電子郵件之寄送應確認信箱正確，最好附檔加上密碼控管等 是否據保有資料之重要性，採取適當之備份機制

55 個資責任因子 資料安全及人員管理III (§18、27、則§9II➄
資料安全管理： 電腦系統部分： 於測試蒐集處理利用個資之系統時，使用虛擬個資，或於使用真實個人資料時訂定使用程序 適當管制作業系統之升級或更新；程式碼是否僅可由授權管理人員方得存取，並於存取時留存相關紀錄 採取適當安全機制，因應惡意程式與系統漏洞所造成之威脅，定期檢查是否遭木馬程式植入、防火牆（如經由ICSA認證之SONICWALL或FORTIGATE等）及路由器規則設定、或裝設防毒軟體並定期更新等，定期確認蒐集處理利用個資之電腦、相關設備或系統具備必要之安全性，並留存紀錄 電腦系統及網路服務有足夠強度之帳號申請及管理規定、使用者或系統管理者帳號及權限須申請核准方得使用、離調職時是否確實取消帳號，且申請及取消帳號是否均留有紀錄

56 個資責任因子 設備安全管理（§18、§27、則§9II➇ ）
是否依據作業內容及環境之不同，實施必要安全環境管制，如門禁保全、裝設監視器、滅火器等 是否妥善維護並控管蒐集處理利用過程中所使用之實體設備，如個人電腦、儲存紙本個資之加鎖抽屜櫃等 針對不同作業環境，建置必要之防災設備，如機房恆溫系統、不斷電系統、異地備援系統等 蒐集處理利用過程中所使用之實體設備外送或淘汰前，是否進行安全措施，防止資訊外洩 存放個資檔案之主機、周邊設備、機敏抽屜櫃、保險箱或相關設施等，是否為內部至少第二層門禁管制之安全作業 區域或上鎖、建立完整管理監督程序、留存紀錄

57 個資責任因子 資料安全稽核機制及所有相關紀錄留存
資料安全稽核機制（§18、§27、則§9II➈）： 是否設定必要之存取權限控管機制，且定期確認控管機制之有效性，及權限內容設定之適當與必要性。就上開事項，是否留存相關紀錄 是否定期檢查蒐集處理檢查蒐集處理利用個人資料之電腦、相關設備或系統之使用及個人資料存取之情形，並留存相關紀錄 以個資查檢作為外稽、機關自行執行相同程序則為內稽 相關應留存之紀錄，是否均有保存（§18、§27、則§9II➉）

58 個資責任因子 個資安全維護計畫之整體持續改善 （§18、§27、則§9II⑪）
是否定期檢視各行業所應遵循之個資保護法令，並基此訂定或修訂個人資料檔案安全維護計畫 是否定期檢查計畫是否落實執行、留存紀錄 是否建立計畫之改善或變更程序，並留存計畫改善或變更之紀錄

59 個資責任因子 認知宣導及教育訓練（§18、§27、則§9II➆）
依單位特性訂定經負責人核可之下列維護管理政策應以教育訓練，確認所屬人員確已了解： 遵守我國個人資料保護法令規定 於特定目的範圍內，蒐集處理利用個人資料 以合理安全水準技術保護個人資料 設置供當事人行使關於個人資料之權利或提出相關之申訴與諮詢之聯絡窗口 規劃緊急應變程序 妥善監督委外蒐集處理利用個人資料之廠商 持續維運計畫 相關認知宣導及教育訓練之狀況，是否留存紀錄

60 委外處理個資時之責任因子 與委託單位vs.受託廠商之實力有關 施行細則§8所定應注意之責任因子：
挑選委外廠商或合作夥伴（受託人）時充分考量資安能力 確認所委託蒐集處理利用之個資範圍、類別、特定目的及其期間 確認受託人採取必要之個人資料檔案安全維護措施 有複委託者，確認其複委託之對象及確認複委託對象蒐集處理利用之個人資料之範圍、類別、特定目的及其期間 受託人或其受僱人違反個資保護法令或委託契約時，是否有向委託人通知之程序及確實通知 委託關係中止或解除時，是否要求受託人返還或銷毀因委託事項所交付之個資儲存媒體或紙本，及確認因委託事項所儲存於受託人處之個資確已刪除 以適當方式確認受託人具體執行前六點程序，並留存相關記錄以供查驗 受託人之事故通報程序是否建立且留存相關記錄

61 維護個資法十大要點 含有個人隱私資料的取得來源是否合法？(必要時取得當事人書面同意) 資料處理及利用範圍是否符合蒐集目的之必要範圍內？
組織成員是否能隨意取得、複製含有個人隱私資料？(由USB裝置攜出) 組織成員是否能隨意傳送含有個人隱私資料？( 寄出) 組織是否有適當的控制措施防範駭客入侵？(建置防火牆、防毒軟體) 個人資料之利用、修改、複製是否有留下稽核紀錄？(啟用Log機制) 組織是否有適當的控制措施防範未經授權人員進入取得資料或操作系統？(實體安全控管) 組織是否有持續進行資料安全認知訓練？ 個人隱私資料存放位置及取用限制是否已經識別與規範？ 個人隱私資料銷毁是否已建立適當的程序？

62 結論 此次修法中，已將修正前之個資法大多數不足之處予以修正，包括規範之主體不再有行業別之限制，規範之客體亦不再限於數位資料，將任何自當事人處蒐集或間接從當事人取得資料均加以限制，不再限定於電腦處理範圍內，亦將民事罰則由新台幣二千萬元提高至二億元，並將刑事責任及範圍擴大，加重處罰並且將不具營利意圖之行為亦納入規範當中，至於針對一般人所擔心之人肉搜索問題，即將自然人對他人的個人資料利用行為也包括在內，但如為個人日常生活中合理利用行為或是公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料，則予以排除。 惟因為新修正之個資法不再限制產業及一般人，為避免政府公務機關及一般私人企業或個人無法於時間內將所有相關因應措施予以完成，因此將正式施行日期於今年2012年10月始正式公告施行。

63 常見問題解析 一、平常基於社交禮儀，雙方交換名片，是否有個資法適用? 答：個資法所稱非公務機關雖包括自然人，惟有關自然人為單純個人社交活動而蒐集、處理或利用個人資料，係屬於單純個人活動之私生活目的行為，依個資法第51條第1項第1款規定，並不適用個資法。

64 二、民意代表基於問政需要，要求公務機關提供資料，公務機關可否提供？
答： 一、民意代表要求提供受公務機關補助之法人資料： 行政機關及其內部單位名稱等有關法人之資料，並非個資法所欲規範之個人資料，不適用個資法。另公務機關有關支付或接受補助之資料，屬於政府資訊公開法所定應主動公開之政府資訊，自應予以公開之。 二、民意代表或民意機關要求公務機關提供聘用人員名單： 公務機關將已聘用人員名單，提供民意代表作為審查公務機關預算使用時，雖屬特定目的外之利用，惟係為落實民意機關之監督，符合為增進公共利益之必要，公務機關並無違反個資法。 三、民意代表或民意機關要求公務機關提供懲處人員名單： 公務機關將其懲處人員名單，提供民意代表作為監督公務機關施政使用時，係為增進公共利益，屬於個人資料之合理利用，應符個資法。 四、惟民意機關或民意代表就所取得(蒐集)之上開個人資料，仍應在使用(處理、利用)手段、方式等層面，注意比例原則，避免無端外洩，以符個人資料保護目的。

65 三、個資法施行後，考生參加考試院舉辦之國家考試發生違規事件，一律不得公布違規考生姓名？
答：公務機關如係依特別法應公布之個人資料類別，尚無庸依個資法衡酌公布個人資料範圍。例如：依典試法第21條規定訂定之「試場規則」，應考人若有違反者，查該規則第8條第1項規定，由辦理試務機關在試區公告違規者之試場、姓名、座號、違規事實及處分。

66 四、個資法施行後，學校張貼榮譽榜，一律需匿學生姓名？ 答：學校為達成教育或訓練行政目的，於其必要範圍內所為獎勵學生行為，如張貼榮譽榜揭示姓名，符合個資法第16條、第20條利用規定，無需過度遮掩姓名，否則有違個資法第1條規定所稱「促進個人資料之合理利用」意旨。

67 五、個資法施行後，公務機關不得將個資提供予非公務機關（如廟宇），作為發放敬老金使用？
答：個資法並未規範公務機關一律不得利用個人資料，例如：縣市政府為使轄區內慈善團體（如廟宇）等發放敬老金，為增進公共利益，或有利於當事人權益時，例如單純係提供慈善團體按符合資格之老人名冊發放敬老金使用，即可認為屬於個資法第16條但書特定目的外之利用。又該廟宇或其他慈善團體取得上開之老人資料後，自不得非法移作他用，自不待言。

68 六、內政部警政署將司法機關公告通緝之部分內容，公開於該署網站提供不特定民眾查詢，是否違反個資之利用規定?
答：內政部警政署將司法機關公告通緝之部分內容，公開於該署網站，提供不特定民眾查詢，於個資法第6條特種資料未施行前，可認屬符合個資法第 16 條前段「於執行法定職務必要範圍內為之，並與蒐集之特定目的相符合」之目的內利用情形。

69 七、直轄市、縣(市)政府為辦理徵兵檢查，得否請衛生單位提供精神疾病役男病史資料?
答：個資法第6條特種資料(即醫療、基因、性生活、健康檢查及犯罪前科)規定，仍適用個資法有關一般個人資料之規定。依兵役法第4條及第31條規定，各直轄市、縣（市）政府辦理各該轄區兵役行政及其有關事務，故其於辦理徵兵檢查時，基於「兵役」之特定目的，執行法定職務必要範圍內，依個資法第15條規定，得蒐集個人資料。衛生主管機關提供個人資料予各直轄市、縣(市)政府執行徵兵檢查法定職務，避免入營服役影響軍中安全，就衛生主管機關而言，係符合個資法第16條規定條但書第2款「為維護國家安全或增進公共利益」及第4款「為防止他人權益之重大危害」規定，故得予提供。

70 學員問題回覆 一、對於專業人員在案主資料收集、處理、利用等資料時，當收集非個案本身之資料，比如監護人資料、前份工作經驗之資訊等，萬一資料外洩，而造成對方困擾而提告，但因非我們服務對象，請問也要承擔法律責任嗎？ 答：刑事責任§41 、42 民事責任§28、29 行政責任§47~50

71 二、服務過程中，若需向與個案曾經接觸之資源相關資料，專業人員可以拒絕提供嗎？還有若提供資料後產生觸法時，責任歸屬？
答：§3 、 5 、10 三、職業重建過程中，可能有不同專業人員提供協助，請問，當觸犯個資法時，是所有專業人員都要承擔嗎？抑或現階段服務提供者呢？ 答：刑事責任係依據何人觸犯即由何人負責 民事責任可能機關及個人視情況均須負責

72 四、建議在整個職業重建服務流程中，擬定個人資料收集、處理、利用之告知同意書，以能保障專業人員之權益。
答：是，§8。 五、關於我們做評估、評量時，個案資料如需傳閱借閱，該如何確保？ 答：建議有專責機關負責§18、27

73 六、做研究案時，有時必須要蒐集個案資料，該如何做處理？ 答： § 5、8 七、我們中心有自己的教學網站，請問網站上的會員資料要如何確保安全？ 答：採取適當安全機制，因應惡意程式與系統漏洞所造成之威脅，定期檢查是否遭木馬程式植入、防火牆（如經由ICSA認證之SONICWALL或FORTIGATE等）及路由器規則設定、或裝設防毒軟體並定期更新等，定期確認蒐集處理利用個資之電腦、相關設備或系統具備必要之安全性，並留存紀錄

74 八、關於日前新聞報導，因應個資法，報告只要遇到名字都是OOO，請問這樣是否又太過頭？要如何拿捏個資法的界線？
答： 政府資訊公開法 個資法§16、20

75 九、因要確認新進員工是否有法定傳染病,所以晉用時都會要求提供健檢資料(機構評鑑指標)
答：同前所述 十、機構評鑑指標有被要求要將健檢資料完整建檔存查，組織如何因應「員工健康檢查」 十一、機構服務對象也被要求每年要作健康檢查,並要存檔與追蹤處遇

76 十二、依照身心障礙福利機構疑似性侵害事件處理原則修正規定:第六條：
六、機構僱用之工作人員，應遵守機構之工作守則，包括不得對服務對象有性侵害或有其他相關情事等之約定。 機構僱用專職、兼職人員或召募志願服務人員應向目的事業主管機關申請核轉所在地直轄市、縣（市）主管機關查閱應徵者或應從事服務者有無性侵害犯罪加害人登記資料，或要求應徵者應向警察機關申請刑事紀錄證明。並得送教育主管機關查閱是否有疑似性侵害或其他相關事件所致之不適任教師之情形。 機構辦理第二項情形，應納入機構評鑑項目。 以上是否符合個資法第六條第四款 答：個資法第六條第一款

77 一、對於有毒癮、更生人等特殊服務對象，案主已表明不想告訴雇主，請問就服員應如何處理？
答：就業服務法§5：「為保障國民就業機會平等，雇主對求職人或所僱用員工，不得以種族、階 級、語言、思想、宗教、黨派、籍貫、出生地、性別、性傾向、年齡、婚 姻、容貌、五官、身心障礙或以往工會會員身分為由，予以歧視；其他法 律有明文規定者，從其規定。 雇主招募或僱用員工，不得有下列情事： 一、為不實之廣告或揭示。 二、違反求職人或員工之意思，留置其國民身分證、工作憑證或其他證明 文件。 三、扣留求職人或員工財物或收取保證金。 四、指派求職人或員工從事違背公共秩序或善良風俗之工作。 五、辦理聘僱外國人之申請許可、招募、引進或管理事項，提供不實資料 或健康檢查檢體。 」 就業服務法§ 9 ：「就業服務機構及其人員，對雇主與求職人之資料，除推介就業之必要外， 不得對外公開。 」

78 二、服務過程中，因為案主可能有些病情隱瞞（如癲癇），致在職場發生意外，若遇家長提告，請問雇主、就服員、相關專業人員在法律責任分攤比例或應如何處理？ 答：需視實際情況而定

79 FIN～