個人資料特定目的處理

§16,§20

控制項

B.6.1.1 特定目的 處理準則

個人資料僅於特定目的下處理與使用 §15,§19

§16,§20 B.6.1.2 新特定目

的同意

個人資料用於新增特定目的應取得當事人 書面同意

§16,§20 B.6.1.3

§16,§20

控制項

A.13.2.1 A.13.2.2 A.13.2.3

§15,§19

§16,§20

B.6.2.2

A.13.2.1 A.13.2.3

§15,§19

§16,§20 B.6.2.3

(建議)

開放資料 當個人資料以「開放資料」的動機公開 時，個人資料應去識別化。

控制目標 B.6.3 資料比對 §15,§19

控制項 B.6.3.1 資料比對

透過資料比對而產出的個人資料，應確保 其比對作業及使用，符合特定目的或法律 要求。

§15,§19

實作指引

一、蒐集與處理特定目的（B.6.1）

（一）特定目的處理準則（B.6.1.1）

施行單位宜訂定特定目的審查流程，以達成以下要求：

1.審查個人資料處理與利用情形，確保於處理個人資料的過程 中，不會產生違反或潛在違反任何法定義務情況，包含法令 條文、一般法律或契約條款等。

2.確保為特定目的所蒐集之個人資料不會用於其他目的，除非 符合個人資料保護法第十六條或第二十條第一項特定目的外 利用要件。

（二）新特定目的同意（B.6.1.2）

擬將個人資料用於新特定目的並須取得當事人書面同意 時，應確保：

1.新特定目的的同意，是出於自由意識的執行與告知。

2.取得並保存當事人獨立意思表示之書面同意記錄。

（三）處理未成年人資訊(B.6.1.3)（建議）

當處理未成年人相關個人資料時，特別是用以建立個人資 料基本資訊與/或用於行銷目的時，PIMS 應包含取得法定監護 人同意的機制，除非其用於輔導或預防性服務提供。

二、資料分享與揭露(B.6.2)

（一）資料分享規劃與協議(B.6.2.1)

將個人資料分享予第三方前，應規劃並執行以下作業：

1.資料分享前應與其分享個人資料之單位簽訂正式協議書或契 約等正式文件，以：

(1)記載雙方於個人資料管理的責任。

(2)於書面協議或契約中說明個人資料使用的目的，並限制 或禁止為其他目的進一步使用該個人資料。

2.審查任何涉及將資料分享予第三方之新處理程序，於涉及新 增的分享對象時，考量調整個人資料蒐集告知內容的必要 性。

3.確認資料分享不違反法律規範及契約義務，必要時於分享前 取得當事人的書面同意。

4.當資料分享符合個人資料保護法要求而不需取得當事人同意 時，應考量留存可稽核的文件化紀錄。

（二）資料揭露程序(B.6.2.2)

施行單位應拒絕揭露所蒐集、處理與保存的個人資料之無 關第三人請求。而基於法令規定，施行單位應於合法且必要的 情境下(如：接獲法院命令)，向經驗證符合身分的有合法權限 的機關或對象，揭露最小化的個人資料。

施行單位應訂定資料揭露處理相關程序，以達成：

1.針對要求資料揭露的第三方，驗證其所宣稱的身分、存取個 人資料權利及法源依據的真實性；

2.於可行時，僅揭露最少數量的個人資料予第三方；

3.留存資料揭露的作業紀錄，以追蹤個人資料揭露之軌跡，且 應包含其合法證明。

當個人資料以「開放資料」的動機公開時，個人資料應去 識別化，俾便個人資料不具識別性、除非其具有個人資料公開 的理由。

當去識別化加以使用時，應考慮可能用於重新識別自然人 的一切合理手段。

三、資料比對(B.6.3)

（一）資料比對(B.6.3.1)

將不同來源或特定目的取得的個人資料，進行比對而產出 的個人資料，如透過多筆間接識別個人資料比對以產生的直接 識別個人資料，其使用應符合特定目的或遵循相關法律要求。