個人資料保護法規及參考資料彙編

(1)

(2)

(3)

個人資料保護法規及參考資料彙編

國家發展委員會編印

中華民國 109 年 11 月

(4)

(5)

例言

個人資料保護法(以下簡稱個資法)及其施行細則於 108 年 1 月 10 日公告變更管轄機關為本會。本彙編於本次(第 3 版)之修訂

，除承襲法務部第 2 版之內容外，新增本會於 108 年重新英譯之個資法及其施行細則全文、收錄本會挑選截至 109 年 11 月本會因應外界詢問作出相關函釋計 18 則，以及就個資法問答酌為調整、刪除修法過渡時期相關問答等，以供各界人士參考。

國家發展委員會謹誌

109 年 11 月

(6)

(7)

壹、個人資料保護法 ... 1

貳、個人資料保護法修正條文對照表 ... 16

參、個人資料保護法英譯 ... 128

肆、個人資料保護法施行細則 ... 149

伍、個人資料保護法施行細則修正條文對照表 ... 156

陸、個人資料保護法施行細則英譯 ... 206

柒、個人資料保護法及同法施行細則相關條文對照表 ... 215

捌、本會發布之函釋 ... 239

玖、個人資料保護法之特定目的及個人資料之類別 ... 261

拾、個人資料保護法問答 ... 273

(8)

(9)

1

壹、個人資料保護法

中華民國 99 年 5 月 26 日總統華總一義字第 09900125121 號令修正公布名稱及全文 56 條；施行日期，由行政院定之，但現行條文第 19～22、43 條之刪除，自公布日施行（原名稱：電腦處理個人資料保護法）

中華民國 101 年 9 月 21 日行政院院臺法字第 1010056845 號令發布除第 6

、54 條條文外，其餘條文定自 101 年 10 月 1 日施行

中華民國 104 年 12 月 30 日總統華總一義字第 10400152861 號令修正公布第 6～8、11、15、16、19、20、41、45、53、54 條條文；施行日期，由行政院定之

中華民國 105 年 2 月 25 日行政院院臺法字第 1050154280 號令發布定自 105 年 3 月 15 日施行

中華民國 108 年 1 月 10 日法務部法律字第 10803500010 號、國家發展委員會發法字第 1080080004A 號會銜公告第 53 條、第 55 條所列屬「法務部

」之權責事項，改由「國家發展委員會」管轄

第一章總則第 1 條(立法目的)

為規範個人資料之蒐集、處理及利用，以避免人格權受侵害

，並促進個人資料之合理利用，特制定本法。

第 2 條(用詞定義)

本法用詞，定義如下：

一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、

病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

三、蒐集：指以任何方式取得個人資料。

四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入

、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

五、利用：指將蒐集之個人資料為處理以外之使用。

六、國際傳輸：指將個人資料作跨國（境）之處理或利用。

(10)

七、公務機關：指依法行使公權力之中央或地方機關或行政法人。

八、非公務機關：指前款以外之自然人、法人或其他團體。

九、當事人：指個人資料之本人。

第 3 條(個人資料當事人之權利)

當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：

一、查詢或請求閱覽。

二、請求製給複製本。

三、請求補充或更正。

四、請求停止蒐集、處理或利用。

五、請求刪除。

第 4 條(視同委託機關)

受公務機關或非公務機關委託蒐集、處理或利用個人資料者

，於本法適用範圍內，視同委託機關。

第 5 條(蒐集、處理及利用之原則)

個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

第 6 條(特種個人資料之蒐集、處理及利用)

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務必要範圍

內，且事前或事後有適當安全維護措施。

(11)

3

另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。

依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。

第 7 條(當事人同意)

第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。

第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之意思表示。

公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。

蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

第 8 條(直接蒐集個人資料之告知義務)

公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：

一、公務機關或非公務機關名稱。

二、蒐集之目的。

三、個人資料之類別。

四、個人資料利用之期間、地區、對象及方式。

五、當事人依第三條規定得行使之權利及方式。

六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

有下列情形之一者，得免為前項之告知：

一、依法律規定得免告知。

二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。

三、告知將妨害公務機關執行法定職務。

四、告知將妨害公共利益。

五、當事人明知應告知之內容。

六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之

(12)

影響。

第 9 條(間接蒐集個人資料之告知義務)

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。

有下列情形之一者，得免為前項之告知：

一、有前條第二項所列各款情形之一。

二、當事人自行公開或其他已合法公開之個人資料。

三、不能向當事人或其法定代理人為告知。

四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。

五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

第一項之告知，得於首次對當事人為利用時併同為之。

第 10 條(個人資料之答覆查詢、提供閱覽或製給複製本)

公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。但有下列情形之一者

，不在此限：

一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。

二、妨害公務機關執行法定職務。

三、妨害該蒐集機關或第三人之重大利益。

第 11 條(個人資料更正、補充刪除、停止處理或利用)

公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。

個人資料正確性有爭議者，應主動或依當事人之請求停止處

理或利用。但因執行職務或業務所必須

(13)

5

之個人資料，應於更正或補充後，通知曾提供利用之對象。

第 12 條(個人資料遭違法侵害之通知)

公務機關或非公務機關違反本法規定，致個人資料被竊取、

洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

第 13 條(受理當事人請求之處理期間)

公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內，為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其原因以書面通知請求人。

公務機關或非公務機關受理當事人依第十一條規定之請求，

應於三十日內，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將其原因以書面通知請求人。

第 14 條(使用者付費)

查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收必要成本費用。

第二章公務機關對個人資料之蒐集、處理及利用

第 15 條(公務機關蒐集或處理個人資料之要件)

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、執行法定職務必要範圍內。

二、經當事人同意。

三、對當事人權益無侵害。

第 16 條(公務機關利用個人資料之要件)

公務機關對個人資料之利用，除第六條第一項所規定資料外

，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：

一、法律明文規定。

二、為維護國家安全或增進公共利益所必要。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而

有必要，且資料經過提供者處理後或經蒐集者依其揭露方式

無從識別特定之當事人。

(14)

六、有利於當事人權益。

七、經當事人同意。

第 17 條(公務機關公開供查閱事項)

公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

第 18 條(公務機關個人資料檔案之安全維護)

公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

第三章非公務機關對個人資料之蒐集、處理及利用

第 19 條(非公務機關蒐集或處理個人資料之要件)

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、法律明文規定。

二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人同意。

六、為增進公共利益所必要。

(15)

7

非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者

，得為特定目的外之利用：

一、法律明文規定。

二、為增進公共利益所必要。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

六、經當事人同意。

七、有利於當事人權益。

非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。

非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

第 21 條(非公務機關為國際傳輸個人資料之限制)

非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

第 22 條(行政監督之權責及保密義務)

中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、

配合措施或提供相關證明資料。

中央目的事業主管機關或直轄市、縣（市）政府為前項檢查

時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製

之。對於應扣留或複製之物，得要求其所有人、持有人或保管人

提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，

(16)

得採取對該非公務機關權益損害最少之方法強制為之。

中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同資訊、電信或法律等專業人員共同為之。

對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得規避、妨礙或拒絕。

參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

第 23 條(扣留物或複製物之標示、保管及發還)

對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

第 24 條(不服聲明異議之救濟)

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、縣（市）政府聲明異議。

前項聲明異議，中央目的事業主管機關或直轄市、縣（市）

政府認為有理由者，應立即停止或變更其行為；認為無理由者，

得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。

但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

第 25 條(違反本法規定之處分)

(17)

9

時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

第 26 條(公布檢查結果)

中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

第 27 條(非公務機關個人資料檔案之安全維護)

非公務機關保有個人資料檔案者，應採行適當之安全措施，

防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

第四章損害賠償及團體訴訟

第 28 條(公務機關違法之損害賠償)

公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、

事變或其他不可抗力所致者，不在此限。

被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。

依前二項情形，如被害人不易或不能證明其實際損害額時，

得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。

同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。

第 29 條(非公務機關違法之損害賠償)

(18)

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、

利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

依前項規定請求賠償者，適用前條第二項至第六項規定。

第 30 條(損害賠償請求權時效)

損害賠償請求權，自請求權人知有損害及賠償義務人時起，

因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。

第 31 條(損害賠償之適用規定)

損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。

第 32 條(團體訴訟要件)

依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：

一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。

二、保護個人資料事項於其章程所定目的範圍內。

三、許可設立三年以上。

第 33 條(損害賠償訴訟之管轄權)

依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地方法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住所地之地方法院管轄。

前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以其在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華民國最後之住所，視為其住所；無最後住所者

，專屬中央政府所在地之地方法院管轄。

第一項非公務機關為自然人以外之法人或其他團體，而其在

(19)

11

前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前，擴張應受判決事項之聲明。

其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者，亦得於法院公告曉示之一定期間內起訴，由法院併案審理。

其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。

前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認為必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用由國庫墊付。

依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新臺幣六十萬元者，超過部分暫免徵裁判費。

第 35 條(訴訟程序當然停止及繼續進行)

當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當然停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受訴訟。

財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實施權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟。

第 36 條(損害賠償請求權時效之分別計算)

各當事人於第三十四條第一項及第二項之損害賠償請求權，

其時效應分別計算。

第 37 條(受授與訴訟實施權者之權限)

財團法人或公益社團法人就當事人授與訴訟實施權之事件，

有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。

前項當事人中一人所為之限制，其效力不及於其他當事人。

第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於法院。

第 38 條(當事人自行提起上訴)

當事人對於第三十四條訴訟之判決不服者，得於財團法人或

公益社團法人上訴期間屆滿前，撤回訴訟實施權之授與，依法提

(20)

起上訴。

財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事人，並應於七日內將是否提起上訴之意旨以書面通知當事人。

第 39 條(賠償金之交付及請求報酬之禁止)

財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴訟必要費用後，分別交付授與訴訟實施權之當事人。

提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報酬。

第 40 條(訴訟代理人之委任)

依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟。

第五章罰則

第 41 條(刑事責任(一))

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

第 42 條(刑事責任(二))

意圖為自己或第三人不法之利益或損害他人之利益，而對於

個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人

資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘

役或科或併科新臺幣一百萬元以下罰金。

(21)

13

本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十二條之罪者，不在此限。

第 46 條(重法優於輕法原則)

犯本章之罪，其他法律有較重處罰規定者，從其規定。

第 47 條(行政罰(一))

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，

並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。

第 48 條(行政罰(二))

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條、第十二條或第十三條規定。

三、違反第二十條第二項或第三項規定。

四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全

維護計畫或業務終止後個人資料處理方法。

第 49 條(行政罰(三))

非公務機關無正當理由違反第二十二條第四項規定者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二十萬元以下罰鍰。

第 50 條(非公務機關有代表權人之併同處罰)

非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外

，應並受同一額度罰鍰之處罰。

第六章附則

第 51 條(不適用本法之情形)

(22)

有下列情形之一者，不適用本法規定：

一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。

二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。

公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。

第 52 條(行政監督權限之委任、委託)

第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣（市）政府執行之權限，得委任所屬機關、委託其他機關或公益團體辦理；其成員因執行委任或委託事務所知悉之資訊

，負保密義務。

前項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

第 53 條(特定目的及個人資料類別)

法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

第 54 條(本法修正施行前間接蒐集個人資料之告知義務)

本法中華民國九十九年五月二十六日修正公布之條文施行前

，非由當事人提供之個人資料，於本法一百零四年十二月十五日修正之條文施行後為處理或利用者，應於處理或利用前，依第九條規定向當事人告知。

前項之告知，得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。

未依前二項規定告知而利用者，以違反第九條規定論處。

第 55 條(施行細則)

(23)

15

指定之事業、團體或個人得申請終止辦理，目的事業主管機關於終止辦理時，應退還已繳規費。已辦理完成者，亦得申請退費。

前項退費，應自繳費義務人繳納之日起，至目的事業主管機關終止辦理之日止，按退費額，依繳費之日郵政儲金之一年期定期存款利率，按日加計利息，一併退還。已辦理完成者，其退費

，應自繳費義務人繳納之日起，至目的事業主管機關核准申請之

日止，亦同。

(24)

16

文對照表

101年10月1日施行 99年5月26日修正公布個人資料保護法電腦處理個人資料保護法說明 (法務部依行政院提案、立法院協商結論、復議條文理由等資料整理 )

個人資料保護法電腦處理個人資料保護法名稱105.03.15未修正〈101.10.01施行修正條文說明〉為貫徹對個人資料之保護，本法保護客體，不再以經電腦處理之個人資料為限，爰將本法名稱修正為「個人資料保護法」。第一章總則第一章總則章名未修正。第一條為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

第一條為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

本條105.03.15未修正〈101.10.01施行修正條文說明〉鑒於本法保護客體不再限於經電腦處理之個人資料，且本法規範行為除個人資料之處理外，將擴及至包括蒐集及利用行為，爰將本條修正為「為規範個人資料之蒐集、處理

(25)

17

105年3月15日施行 104年12月30日修正公布個人資料保護法

101年10月1日施行 99年5月26日修正公布個人資料保護法電腦處理個人資料保護法說明 (法務部依行政院提案、立法院協商結論、復議條文理由等資料整理

)

及利用」，以資明確。刪除第二條個人資料之保護，依本法之規定。但其他法律另有規定者，依其規定。

〈101.10.01施行修正條文說明〉一、本條刪除。二、按中央法規標準法第十六條第一項前段規定：「法規對其他法規所規定之同一事項而為特別之規定者，應優先適用之。」本法之性質應為普通法，其他特別法有關個人資料蒐集或利用之規定，依特別法優於普通法之法理，自應優先適用各該特別規定。惟若無特別規定，當然仍應適用本法，毋庸贅述。且本法修正草案亦有相關例外條款包含「法律明文規定」，足資適用，例如：第六條第一款、第十六條第一款、第十九條第一款或第二十條第一項第一款規定。是以，為避免所謂「特別規定」令人誤解為全面

(26)

18

)

排除本法適用，爰刪除本條規定第二條本法用詞，定義如下：一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。二、個人資料檔案：指依系統建立而得以自

第三條本法用詞定義如左：一、個人資料：指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。二、個人資料檔案：指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合。三、電腦處理：指使用電

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、條次變更。二、將序文「如左」修正為「如下」，以符合法制用語。三、本法所保障之法益為人格權，惟個人資料種類繁多，第一款關於「個人資料之定義」，除現行條文例示之日常生活中經常被蒐集、處理及利用之個人資料外，另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料，以補充說明個人資料之性質。此外，因社會態樣複雜，有些資料雖未直接指名道姓，但一經揭露仍足以識別為某一特定人，對個人隱私仍會造成侵害，爰參考一九九五年

(27)

19

)

動化機器或其他非自動化方式檢索、整理之個人資料之集合。三、蒐集：指以任何方式取得個人資料。四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。五、利用：指將蒐集之個人資料為處理以外之使用。六、國際傳輸：指將個人資料作跨國(境)之處理或利用。七、公務機關：指依法行

腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。四、蒐集：指為建立個人資料檔案而取得個人資料。五、利用：指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。六、公務機關：指依法行使公權力之中央或地方機關。七、非公務機關：指前款以外之左列事業、團體或個人：

歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條，將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」，以期周全。四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨，爰修正第二款關於「個人資料檔案」之定義。五、由於蒐集個人資料之行為態樣繁多，有直接向當事人蒐集者；有間接從第三人取得者，為落實保護個人資料隱私權益，爰參考德國聯邦個人資料保護法第三條規定，修正第四款「蒐集」之定義。六、配合本法保護客體放寬之修正意旨，爰將現行條文第三款「電腦處理」中「電腦」二字刪除，

(28)

20

)

使公權力之中央或地方機關或行政法人。八、非公務機關：指前款以外之自然人、法人或其他團體。九、當事人：指個人資料之本人。

(一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。 (二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 (三)其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。八、當事人：指個人資料之本人。九、特定目的：指由法務部會同中央目的事業主管機關定之者。

並將款次移列至第四款。另現行條文「電腦處理」之定義包括資料之傳遞，易遭誤解為傳遞給外部之第三人，而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」，以資明確。七、現行條文第五款對於「利用」之定義，係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為)，是否屬本法所稱之利用行為，滋生疑義。準此，爰參考德國聯邦個人資料保護法第一條規定，並將文字予以精簡，修正「利用」之定義。八、現行條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」？抑或為「提供當事人以外第三人之利用」？

(29)

21

)

易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」，並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理)，例如：總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等；或將資料提供當事人以外第三人(屬資料利用)，例如：母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關，只要該資料作跨國(境) 之傳輸，不論是屬處理或利用行為，皆屬本法所稱之「國際傳輸」。九、由於執行公務爾後將不限中央或地方機關，行政法人之組織型態亦將成為其中之一，爰將現行條文第六款公務機關之定義，納入行政法人，以期周全，並改列

(30)

22

)

款次為第七款。十、為配合本法放寬規範主體之修正意旨，爰修正現行條文第七款非公務機關之定義，並改列款次為第八款。十一、本條係定義規定，而「特定目的」及「資料類別」之指定，並非屬定義事項，爰將現行條文第九款之「特定目的」及現行條文第十條第二項之「資料類別」予以合併規定，並移列至第六章附則第五十三條規定。第三條當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。

第四條當事人就其個人資料依本法規定行使之左列權利，不得預先拋棄或以特約限制之：一、查詢及請求閱覽。二、請求製給複製本。三、請求補充或更正。

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、條次變更。二、將序文所定「左列」修正為「下列」，以符合法制用語。三、當事人查詢其個人資料與請求閱覽得分別為之，是以將第一款

(31)

23

)

四、請求停止蒐集、處理或利用。五、請求刪除。

四、請求停止電腦處理及利用。五、請求刪除。

之「及」字，修正為「或」字。四、配合第二條第四款「處理」之定義規定，爰將第四款「電腦處理」中「電腦」二字予以刪除，並將「蒐集」亦列為得請求停止之事項，另「及利用」修正為「或利用」，以資明確。第四條受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。

第五條受公務機關或非公務機關委託處理資料之團體或個人，於本法適用範圍內，其處理資料之人，視同委託機關之人。

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、條次變更。二、受公務機關或非公務機關委託之事項，並不只限於處理資料，蒐集或利用資料均有可能，爰將「委託處理」修正為「委託蒐集、處理或利用」。另為期簡潔明確，將現行條文之「資料」修正為「個人資料」；「團體或個人」，修正為「者」；「委託機關之人」，修正為「委託機關」。

(32)

24

)

第五條個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

第六條個人資料之蒐集或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍。

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、條次變更。二、將個人資料之處理行為，亦納入本條之適用範圍，以期周延。三、為避免資料蒐集者巧立名目或理由，任意的蒐集、處理或利用個人資料，爰明定個人資料之蒐集、處理或利用，應與蒐集之目的有正當合理之關聯，不得與其他目的作不當之聯結。第六條有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職

〈105.03.15施行修正條文說明〉一、按「醫療」係現行條文所列舉五種特種個人資料之一，惟第二條例示之個人資料包含「病歷」及「醫療」，病歷乃屬醫療個人資料內涵之一，為免爭議，爰增列如第一項本文。二、第一項但書第二款配合同項但

(33)

25

)

務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事

務或非公務機關履行法定義務所必要，且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之

書第五款規定，酌作文字修正。三、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究必要，常有蒐集、處理或利用本條所定特種個人資料之情形，如依其統計或研究計畫，當事人資料經過提供者匿名化處理，或由蒐集者依其公布揭露方式無從再識別特定當事人者，應無侵害個人隱私權益之虞，基於資料之合理利用，促進統計及學術研究發展，自得允許之，爰修正第一項但書第四款規定。又該款蒐集、處理或利用特種個人資料之程序，公務機關得以行政規則訂定之；學術研究機構得由其中央目的事業主管機關依第二十七條第二項規定

(34)

26

)

。，指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，故無另行授權訂定規範蒐集、處理、利用該等資料之範圍及程序等辦法之必要，爰刪除現行條文第二項。四、公務機關於執行法定職務時常須請求其他機關協助提供個人資料(行政程序法第十九條第二項第四款參照)，而他機關提供個人資料行為係個人資料之利用行為，然往往並非該提供機關之法定職務，故無法依本條第一項但書第二款規定提供之，為使他機關提供個人資料有所依據，俾協助請求機關執行法定職務；又協助公務機關執行法定職務或非公務機關履行法定義務應於必要範圍內為之

(35)

27

)

，以符比例原則，乃理所當然，爰增列第一項第五款前段規定。公務機關或非公務機關蒐集、處理或利用個人資料本即應依第十八條或第二十七條第一項規定於事前或事後有適當安全維護措施，惟為明確計，爰於本條但書第五款後段再為提示性規定。五、按司法院釋字第六○三號解釋揭示憲法保障「個人自主控制個人資料之資訊隱私權」，無論一般或特種個人資料，個人資料當事人同意權本屬憲法所保障之基本權。若完全摒除經當事人同意之情形，係嚴重限制憲法所保障之基本權，恐不符憲法第二十三條之比例原則，故增列為蒐集、處理或利用特種個人資料要件之一；且相

(36)

28

)

對於一般個人資料，特種個人資料之性質更具敏感性，故規定當事人對於其特種個人資料蒐集、處理及利用之同意，須以書面為之，以求慎重。惟超過當事人書面同意範圍之蒐集、處理及利用，或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用者，或違反其意願者，例如公務機關或非公務機關利用權勢、強暴、脅迫等違反其意願之方法取得當事人書面同意，不在此限，爰於第一項但書增列第六款。六、又依第一項但書規定而得蒐集、處理或利用特種個人資料時，雖第八條、第九條規定未區別一般個人資料與特種個人資料而僅明列第十五條及第十九條規定，惟為免誤解蒐集特種

(37)

29

)

個人資料時無須向當事人告知，爰增訂第二項定明特種個人資料關於告知之規定，應準用第八條、第九條規定。另第一項但書第六款之書面同意，應準用第七條第一項、第二項及第四項規定，並以書面為之，以免爭議。〈101.10.01施行修正條文說明〉一、本條新增。二、按個人資料中有部分資料性質較為特殊或具敏感性，如任意蒐集、處理或利用，恐會造成社會不安或對當事人造成難以彌補之傷害。是以，一九九五年歐盟資料保護指令(95/46/EC)、德國聯邦個人資料保護法第十三條及奧地利聯邦個人資料保護法等外國立法例，均有特種(敏感)資料不

(38)

30

)

得任意蒐集、處理或利用之規定。經審酌我國國情與民眾之認知，爰規定有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料，其蒐集、處理或利用應較一般個人資料更為嚴格，須符合所列要件，始得為之，以加強保護個人之隱私權益。又所稱「性生活」包括性取向等相關事項，併予敘明。三、有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料，原則上不得任意蒐集、處理或利用，惟如有法律明文規定者，自不在此限，爰為第一款之規定。四、蒐集、處理或利用前述之特種資料，係屬公務機關執行法定職務或非公務機關履行法定義務，例如：檢警機關偵辦犯罪，蒐集

(39)

31

)

或利用涉嫌人之犯罪前科資料；醫生發現疑似法定傳染病，蒐集相關醫療資料通報主管機關等，公務機關或非公務機關自得依法為之，且依相關法令規定提供適當安全維護措施，爰仿一九九五年歐盟資料保護指令第八條 (95/46/EC)及德國聯邦個人資料保護法第二十八條等外國立法例，而為第二款之規定。五、當事人已自行公開或其他合法公開之個人資料，隱私已無被侵害之虞，爰為第三款之規定。六、基於統計或學術研究之目的，經常會蒐集、處理或利用前述之特種資料，惟為避免寬濫，並加強保護特種或敏感個人資料，特規定適用本款限於為基於醫療、衛生或犯罪預防等特定目的，且於統計或學術研究而有必要之範

(40)

32

)

圍內，並經一定程序而為蒐集、處理或利用之個人資料，始得蒐集、處理或利用，爰為第四款之規定。七、為確保依本條第一項第四款規定所為因醫療、衛生或犯罪預防等目的而提供之個人資料，其提供者在合法必要範圍內提供，而蒐集者所蒐集之個人資料能獲得適當之安全維護，特種資料之提供者於其利用前，應特別審酌資料之提供範圍，以及提供時應經一定程序為之。由於前開範圍、程序及其他應遵行事項，涉及個人資料是否經匿名化處理或依其揭露方式無從識別特定當事人，或者是否應得當事人明示之書面同意等之慎重考量，故授權由法務部會同特種資料之中央目的事業主管機關訂定相關特種資料蒐

(41)

33

)

集、處理或利用之範圍、程序及其他應遵行事項之辦法，以保障當事人之特種個人資料，爰為第二項規定。第七條第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之意思表示。公務機關或非公務機關明確告知當事人第八條

第七條第十五條第二款及第十九條第五款所稱書面同意，指當事人經蒐集者告知本法所定應告知事項後，所為允許之書面意思表示。第十六條第七款、第二十條第一項第六款所稱書面同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。

〈105.03.15施行修正條文說明〉一、配合第十五條第二款、第十九條第一項第五款、第十六條但書第七款、第二十條第一項但書第六款對於當事人「同意」之方式放寬，不限於書面同意，爰予修正第一項及第二項規定，並酌作項次文字修正。二、公務機關或非公務機關倘已明確告知當事人法定應告知事項，而當事人未明示拒絕蒐集其個人資料，並已提供其個人資料予該公務機關或非公務機關時，應推定當事人已依第十五條第二款、第十九條第一項第

(42)

34

)

五款之規定表示同意，爰增訂第三項。三、為保障當事人權利，並配合當事人「同意」之方式放寬不限於書面同意，於當事人是否同意之事實認定發生爭執時，應由蒐集、處理或利用之公務機關或非公務機關負擔舉證責任，始符公平，爰增訂第四項。〈101.10.01施行修正條文說明〉一、本條新增。二、本法第十五條第二款及第十九條第五款所定「經當事人書面同意」，係資料蒐集者合法蒐集、處理或利用個人資料要件之一。書面同意既對當事人之權益有重大影響，自應經明確告知應告知之事項，使當事人充分瞭解後審慎為之，爰增訂第一項規定。

(43)

35

)

三、本法第十六條第七款、第二十條第一項第六款所定「經當事人書面同意」，係當事人同意資料蒐集者，將其個人資料作與蒐集目的不同之其他目的使用，因不符原先蒐集資料之特定目的，該書面同意自應特別審慎，除應特別明確告知該其他利用目的為何及其利用範圍外，同時亦應讓當事人明瞭，特定目的外利用之同意與否，對其權益是否會發生任何影響。另為避免該特定目的外利用個人資料之同意與其他事項作不當聯結，或被列入定型化契約之約定條款中被概括同意，而不利於當事人，特規定關於特定目的外利用其個人資料之書面同意，應獨立作書面意思表示，以保護當事人之權益，爰增訂第二項規定。

(44)

36

)

四、參考一九九五年歐盟資料保護指令(95/46/EC)第二條h款、德國聯邦個人資料保護法第四a條等。第八條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提

〈105.03.15施行修正條文說明〉一、修正第二項第四款得免為告知之情形為「告知將妨害公共利益」，以符公益。二、由於個人資料範圍甚廣，公務機關或非公務機關合法蒐集當事人之個人資料時，若其蒐集非基於營利之目的，且對當事人顯無不利之影響，此時應得免除蒐集者之告知義務，爰增訂第二項第六款得免為告知之規定。〈101.10.01施行修正條文說明〉一、本條新增。二、個人資料之蒐集，事涉當事人之隱私權益。為使當事人明知其

(45)

37

)

供個人資料時，不提供將對其權益之影響。有下列情形之一者，得免為前項之告知：一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害公共利益。五、當事人明知應告知之內容。六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影

供個人資料時，不提供將對其權益之影響。有下列情形之一者，得免為前項之告知：一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。

個人資料被何人蒐集及其資料類別、蒐集目的等，爰於第一項規定蒐集時應告知當事人之事項，俾使當事人能知悉其個人資料被他人蒐集之情形。三、原則上向當事人蒐集個人資料時，應告知當事人第一項所列事項，惟在部分特別情形下，或已有法律規定，或當事人已明知，履行第一項告知義務恐有礙職務之執行或無必要，爰於第二項規定得免告知之情形，其各款修正理由如次： (一)法律規定得免告知者，自毋庸再告知當事人第一項所列事項，爰為第一款之規定。 (二)資料之蒐集係公務機關執行其法定職務，例如：稅捐機關蒐集民眾收入所得資料；戶政機關蒐集民眾戶籍相關資料等，或非公

(46)

38

)

務機關履行法律規定之義務，例如：醫生發現疑似法定傳染病患者，應報告主管機關(傳染病防治法第二十九條)；各投保單位應備置蒐集僱用員工或會員名冊(勞工保險條例第十條第一項)；金融機構對於達一定金額以上之通貨交易，應確認客戶身分及留存交易紀錄憑證(洗錢防制法第七條)等，為提高行政效率，或避免執行上發生困擾，爰為第二款之規定。 (三)蒐集個人資料雖非屬公務機關之法定職掌，但公務機關執行其法定職務時，往往會涉及蒐集民眾之個人資料，例如：警察執行臨檢勤務；檢察機關偵辦刑事案件；行政執行機關辦理強制執行等，如依第一項規定告知當事人將發生妨害公務之執行時，自不

(47)

39

)

宜告知當事人，爰為第三款之規定。 (四)履行第一項告知義務，如將妨害第三人之重大利益時，自得免為告知，爰為第四款之規定。 (五)第一項規定之告知義務，其意旨在於讓當事人能充分瞭解資料蒐集之目的及用途。如當事人已明知應告知之內容者，自無必要再重複告知，爰為第五款之規定。四、如當事人不認同蒐集機關適用本條第二項之規定而免為告知時，仍得依本法第三條規定請求查詢或閱覽；被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由，請求補為告知，或依第十一條第四項規定，請求蒐集機關刪除、停止處理或利用該個人資料，併予敘

(48)

40

)

明。五、參考一九九五年歐盟資料保護指令(95/46/EC)第十條、第十三條、德國聯邦個人資料保護法第三十三條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第十八條等。第九條公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。有下列情形之一者，得免為前項之告知：一、有前條第二項所列各款情形之一。

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、本條新增。二、蒐集個人資料除向當事人直接蒐集外，亦得自第三人取得之，此等間接蒐集個人資料，尤需告知當事人資料來源及其相關事項，俾使當事人明瞭其個人資料被蒐集情形，並得以判斷提供該個人資料之來源是否合法，並及早採取救濟措施，避免其個人資料遭不法濫用而損害其權益。是以

(49)

41

)

二、當事人自行公開或其他已合法公開之個人資料。三、不能向當事人或其法定代理人為告知。四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。第一項之告知，得於首次對當事人為利用時併同為之。

，第一項明定間接蒐集個人資料者(因屬間接蒐集，自無從於蒐集時併為告知)，應於該資料處理或利用前，告知當事人資料來源及前條第一項第一款至第五款所列事項(第六款情形係屬當事人直接提供資料，於間接蒐集行為，無從適用)。三、間接蒐集當事人之個人資料時，原則上應於處理該資料或利用前，告知當事人第一項所列事項。惟在部分特別情況下，告知恐有不宜或無必要，爰於第二項規定間接蒐集得免告知當事人之情形，其各款立法理由如次： (一)第一款規定於直接蒐集個人資料時，得免告知義務，在間接蒐集時，亦得免為告知，理由詳如前條說明。 (二)間接蒐集之個人資料，如係當

(50)

42

)

事人自行公開揭露或其他合法公開之資料，對其隱私權應無侵害之虞，自得免為告知，爰為第二款之規定。 (三)為保護當事人之權益，第一項規定間接蒐集個人資料時，應告知當事人相關事項。惟客觀上顯然不能向當事人告知時，例如：當事人失蹤不知去向、昏迷不醒，亦無法得知其法定代理人為何人時，自無從告知。另基於各款項內容之體系性安排，爰移列為第三款規定。 (四)基於統計或學術研究目的，經常會以間接蒐集方式蒐集個人資料，如依其統計或研究計畫，當事人資料經過匿名化處理，或其公布揭露方式無從再識別特定當事人者，應無侵害個人隱私權益之虞，應可免除告知當事人之義

(51)

43

)

務。另為避免以特定身分作為排除告知義務之規範對象，刪除原修正條文學術研究機構等文字，以符合基於公共利益為統計或學術研究之目的而有必要，且該資料須經處理後或依其揭露方式，無從識別特定當事人之客觀要件作為判斷依據，爰為第四款之規定。 (五)大眾傳播業者基於報導新聞之目的，經常以間接方式蒐集特定人之個人資料，如需依第一項規定告知當事人資料來源等相關事項，恐會造成新聞報導之困擾。另揆諸一九九五年歐盟資料保護指令(95/46/EC)及部分外國立法例，亦有將新聞業者低度或排除適用之規定。又依中華民國報業道德規範之宗旨，自由報業為自由社會之重要支柱，其主要責任

(52)

44

)

在提高國民生活水準，服務民主政治，保障人民權利，增進公共利益與維護世界和平；新聞自由為自由報業之靈魂，惟報紙新聞和意見之傳播速度太快，影響太廣，故應慎重運用此項權利。準此，新聞報導之目的應與上開宗旨相契合，以促進公共利益為其最終目的。是以，為尊重新聞自由及增進公共利益，爰為第五款規定。四、如當事人不認同蒐集機關適用本條第二項之規定而免為告知時，得依本法第三條規定請求查詢或閱覽，被請求之蒐集機關則應依第十三條規定辦理。當事人亦得以其蒐集不合法為由，請求補為告知，或依第十一條第四項規定，請求蒐集機關刪除、停止處理或利用該個人資料，併予敘明

(53)

45

)

。五、在間接蒐集個人資料之情形，原則上應於處理或利用前，向當事人告知個人資料來源等事項，但如能於首次對當事人為利用時( 例如：對當事人進行商品行銷)，併同告知，不但能提高效率，亦可減少勞費，且無損於當事人之權益，爰為第三項規定。六、參考一九九五年歐盟資料保護指令(95/46/EC)第九條、第十一條、第十三條、德國聯邦個人資料保護法第十九a條、奧地利聯邦個人資料保護法第二十四條、日本個人資訊保護法第五十條等。第十條公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給

第十二條公務機關應依當事人之請求，就其保有之個人資料檔案，答覆查詢、提供閱覽或製給複製本

本條105.03.15未修正〈101.10.01施行修正條文說明〉一、條次變更。二、當事人得請求答覆查詢、提供

個人資料保護法規及參考資料彙編