個資法上路 -

校園資安防護

個資法上路 - ^{您準備好了嗎 ?}

By 臺中市教育網路中心 劉育彰

Agenda

個資法簡要說明 　 法務部函釋　 　　 情境式分析　　 　 學校的因應方向 　

個資法簡要說明 　 法務部函釋　 　　 情境式分析　　 　 學校的因應方向 　

個資法已悄悄地影響我們的生活



以往的傳單

收件人：真實姓名



現在的傳單

收件人：貴住戶、貴家長…

為什麼有這樣的改變 ?

個人資料保護法



共六章 56 條



第一章 總則（第１條至第 14 條）



第二章 公務機關對個人資料之蒐集、處理及利用

（第 15 條至第 18 條）



第三章 非公務機關對個人資料之蒐集、處理及利用

（第 19 條至第 27 條）



第四章 損害賠償及團體訴訟（第 28 條至第 40 條）



第五章 罰則（第 41 條至第 50 條）



第六章 附則（第 51 條至第 56 條）

立法精神 行為規範

立法目的與精神



第一條：



為規範個人資料之蒐集、處理及利用，以避免人格權 受侵害，並促進個人資料之合理利用，特制定本法。

個資法之立法目的：

尋求個人資料隱私權 與資料合理使用間之 平衡。

法令比較 – 第一條

電腦處理個人資料保護法

第一條

個人資料保護法

第一條

為規範電腦處理個人資 料，以避免人格權受侵 害，並促進個人資料之 合理利用，特制定本法

。

為規範個人資料之蒐集

、處理及利用，以避免 人格權受侵害，並促進 個人資料之合理利用，

特制定本法。

個人資料保護法所規範的個人資 料並不限於電子資料。

新法修正重點

- 1



擴大適用主體：

現行法：公務機關（依法行使公權力之中央或地方機關）

　　　　　非公機關（醫院、學校、電信業、金融業、證券業、保 　　　　　險業、大眾傳播業、徵信業等八類行業）

新　法：打破行業別限制，包括各行各業及個人。

受委託蒐集、處理或利用個人資料者，視同委託機關。



擴大保護客體：

現行法：使用電腦或類似設備處理之個人資料檔案。

　蒐　集：為建立個人資料檔案而取得個人資料。

新　法：以任何方式（包括紙本）留存的資料。

　蒐　集：以任何方式取得個人資料。

個　人：生存之特定或得特定之自然人。

新法修正重點

- 2



增訂告知義務：

直接蒐集及間接蒐集之告知義務。

本法修正施行前非由當事人提供之個人資料，應自本法修正 施行之日起１年內完成告知，逾期未告知而處理或利用者，

以違反第９條規定論處。

當事人拒絕行銷之權利。

資料違法（個資法）外洩之通知義務。

新法修正重點

- 3



調整賠償義務及罰則：

民事賠償：新臺幣２千萬→２億元。

刑事處罰：新臺幣５萬元→ 100 萬元。

有期徒刑：３年以下→５年以下。

意圖營利犯罪者，非告訴乃論。

行政處罰：新臺幣 10 萬元→ 50 萬元。

主管機關並為下列處分：

禁止蒐集、處理或利用個人資料。

命令刪除經處理之個人資料檔案。

沒入或命令銷毁違法蒐集之個人資料。

公布違法情形及其姓名或名稱與負責人。

其他法律－民法（人格權）



第 18 條：「人格權受侵害時，得請求法院除去其侵害

；有受侵害之虞時，得請求防止之。前項情形，以法律 有特別規定者為限，得請求損害賠償或慰撫金。」



第 195 條第１項：「不法侵害他人之身體、健康、名譽

、自由、信用、隱私、貞操，或不法侵害其他人格法益 而情節重大者，被害人雖非財產上之損害，亦得請求賠 償相當之金額，其名譽被侵害者，並得請求回復名譽之 適當處分。」



被告因人員業務處理疏失，將原告個人之姓名、地址、

電話、手機、電子信箱無端附加於購票確認系統回覆之 電子郵件，公開揭示於與原告購買套票目的無關之第三 人，對原告之隱私權自屬侵害無誤。 ( 臺北地院 97 年度 訴字第 1683 號判決 )

其他法律－刑法（妨害秘密罪）



第 315 條：「無故開拆或隱匿他人之封緘信函、文書或 圖畫者，處拘役或三千元以下罰金。無故以開拆以外之 方法，窺視其內容者，亦同。」



第 315-1 條：「無故利用工具或設備窺視、竊聽他人非 公開之活動、言論、談話或身體隱私部位，或無故以錄 音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言 論、談話或身體隱私部位者，處三年以下有期徒刑、拘 役或三萬元以下罰金。」



第 318-1 條：「無故洩漏因利用電腦或其他相關設備知 悉或持他人之秘密者，處二年以下有期徒刑、拘役或五 千元以下罰金。」

其他法律－通訊保障及監察法（秘密通訊自由）



第 19 條第１項：「違反本法或其他法律之規定監察他 人通訊或洩漏、提供、使用監察通訊所得之資料者，負 損害賠償責任。」



第 24 條第１項：「違法監察他人通訊者，處五年以下 有期徒刑。」



第 25 條第１項：「明知為違法監察通訊所得之資料，

而無故洩漏或交付之者，處三年以下有期徒刑。」



第 13 條第１項規定：「通訊監察以截收、監聽、錄音

、錄影、攝影、開拆、檢查、影印或其他類似之必要方 法為之。但不得於私人住宅裝置竊聽器、錄影設備或其 他監察器材。」

個人資料之定義

- 1



現行法：自然人之姓名、出生年月日、身分證統一編號

、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷

、財務情況、社會活動及其他足資識別該個人之資料。



新　法：自然人之姓名、出生年月日、國民身分證統一 編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職 業、病歷、醫療、基因、性生活、健康檢查、犯罪前科

、聯絡方式、財務情況、社會活動及其他得以直接或間 接方式識別該個人之資料。

前面是舉例，重點是「得以直接或

間接方式識別該個人之資料」。

個人資料之定義

- 2



將護照號碼、醫療、基因、性生活、健康檢查、

犯罪前科、聯絡方式等列入個人資料範圍。



特種個人資料，包括醫療、基因、性生活、健康 檢查、犯罪前科：

　除第６條所定情形外，不得蒐集、處理或利用。

個人資料之定義

- 3



將個人資料的判斷標準改為「得以直接或間接方 式識別該個人之資料」：

　即便未指名道姓，只要揭露，即足以識別為某一 特定人之資料，即有本法之適用。

個人資料之定義 – 電子郵件



公務機關將收集他人電子郵遞住址（ EMAIL ） 資料提供他人查詢服務，如其並未與自然人之姓 名等相結合，尚不足以識別該個人者，則該資料 即非上開規定所稱之個人資料，並無電腦處理個 人資料保護法規定之適用。

　（法務部 94 年 05 月 06 日法律決字第 0940017397 號）

個人資料之定義 – 電話號碼



電話門號如未與申請人或使用人之姓名作連結，

該門號僅係電話通訊線路之識別代碼，尚不足資 識別該自然人為何人時，自不屬本法所稱之個人 資料。



另如該電話門號係由公司或法人名義申請，由於 非屬自然人之個人資料，則根本與本法無涉。



如電信公司僅提供電話門號資料，並未揭露該門 號申請人或使用人之姓名，由於未達足資識別特 定當事人之程度，自無本法之適用問題。

　（法務部 96 年 06 月 21 日法律字第 0960023899 號）

個人資料之定義 – 車牌號碼



車輛之車牌號碼，並無法識別該車輛所屬之個人 資料，非屬於本法所稱之個人資料。

　（法務部 96 年 07 月 03 日法律字第 0960019333 號）

蒐集、處理及利用行為

- 1



蒐集：以任何方式取得個人資料。

直接向當事人蒐集。

間接從第三人取得，包括向他人購買名單。



處理：為建立或利用個人資料檔案所為資料之記 錄、輸入、儲存、編輯、更正、複製、檢索、刪 除、輸出、連結或內部傳送。

內部傳送：

　公務機關將資料傳送給國外辦事處，

　校總區將資料傳送給分部，

　總公司將資料傳送給分公司。

蒐集、處理及利用行為

- 2



利用：將蒐集之個人資料為處理以外之使用。

直接向當事人使用其個人資料，例如對當事人從事行 銷。

將資料提供當事人以外之第三人。



國際傳輸：將個人資料作跨國（境）之處理或利 用。

向大陸地區傳輸個人資料。

　（法務部 94 年 08 月 26 日法律字第 0940029553 號）

外國在臺分公司將客戶資料傳遞予外國總公司。

　（法務部 90 年 04 月 27 日法律決字第 014746 號）

基本原則



應尊重當事人之權益。



應依誠實及信用方法為之。



不得逾越特定目的之必要範圍。



應與蒐集之目的具有正當合理之關聯。

立法理由：避免資料蒐集者巧立名目或理 由，任意蒐集、處理或利用個人資料，明 定個人資料之蒐集、處理或利用，應與蒐 集目的有正當合理關聯，不得與其他目的 作不當聯結。

合法蒐集及處理之要件



蒐集或處理：

應有特定目的。

應符合第 15 條（公務機關）或第 19 條（非公務機 關）所定之情形。

違法蒐集或處理之效果



刑事責任：

足生損害於他人者，處２年以下有期徒刑、拘役或科 或併科新臺幣 20 萬元以下罰金。



非公務機關另有行政處罰：

新臺幣５萬元～ 50 萬元罰鍰，限期改正。

屆期未改正，按次處罰。

蒐集者告知與免為告知之情形



直接蒐集：第８條。



間接蒐集：第９條。

違反告知義務之效果



行政處罰：

限期改正。

屆期未改正，按次處新臺幣２萬元～ 20 萬元罰鍰。

合法利用之要件



公務機關利用個人資料，應於執行法定職務必要 範圍內為之，並與蒐集之特定目的相符^。



非公務機關利用個人資料，應於蒐集之特定目的 必要範圍內為之。

特定目的外之利用



得為特定目的外之利用之情形：

公務機關：第 16 條。

非公務機關：第 20 條。

書面同意：當事人經蒐集者明確告知特定目的外之其 他利用目的、範圍及同意與否對其權益之影響後，單 獨所為之書面意思表示。

避免特定目的外利用個人資料之同意與其他事項作不 當聯結，或被列入定型化契約概括同意條款，特定目 的外利用個人資料，應獨立作書面意思表示。

違法利用之效果



刑事責任：

　足生損害於他人者，處２年以下有期徒刑、拘役 或科或併科新臺幣 20 萬元以下罰金。



非公務機關另有行政處罰：

　新臺幣５萬元～ 50 萬元罰鍰，限期改正。

　屆期未改正，按次處罰。

特種個人資料之限制



醫療、基因、性生活、檢康檢查及犯罪前科之個 人資料，除有下列情形外，不得蒐集、處理或利 用：

法律明文規定。

公務機關執行法定職務或非公務機關履行法定義務所 必要，且有適當安全維護措施。

當事人自行公開或其他已合法公開之個人資料。

公務機關或學術研究機關基於醫療、衛生或犯罪預防 之目的，為統計或學術研究而有必要，且經一定程序 所為蒐集、處理或利用之個人資料。 (§6)

違法蒐集處理或利用特種個人資料之效果



刑事責任：

　足生損害於他人者，處２年以下有期徒刑、拘役 或科或併科新臺幣 20 萬以下罰金。



非公務機關另有行政處罰：

　新臺幣５萬元～ 50 萬元罰鍰，限期改正。

　屆期未改正，按次處罰。

機關之義務

- 1



依當事人請求，答覆查詢、提供閱覽或製給複製本。

例外不答覆或提供之情形：

妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利 益。

妨害公務機關執行法定職務。

妨害該蒐集機關或第三人之重大利益（如：檔案資料自第三人取得

，如應當事人之請求准予查詢、閱覽或製給複製本，將損及保有機 關與第三人之協助或信賴關係者，或洩漏資料蒐集者之業務秘密 等。） (§10) 。

機關得酌收必要成本費用。 (§14)

機關受理當事人請求答覆查詢、提供閱覽或製給複製本，應於 15 日內為准駁之決定；必要時，得延長 15 日，並應將原因以 書面通知請求人。 (§13)

機關拒絕或未於期間內決定時，當事人得提起訴願或訴訟。

機關之義務

- 2



維護個人資料之正確，並主動或依當事人之請求 更正或補充之。 (§11)



個人資料正確性有爭議者，停止處理或利用（但 因執行職務或業務所必須，並註明其爭議或經當 事人書面同意者，不在此限）。 (§11)



因可歸責於機關之事由，未為更正或補充之個人 資料，於更正或補充後，通知曾提供利用之對象。

(§11)

機關之義務

- 3



個人資料蒐集之特定目的消失或期限屆滿時，刪 除、停止處理或利用該個人資料（但因執行職務 或業務所必須，或經當事人書面同意者，不在此 限）。 (§11)



違反本法規定蒐集、處理或利用個人資料，應刪 除、停止蒐集、處理或利用該個人資料。 (§11)

機關之義務 –

4



公務機關應將下列事項公開於電腦網站，或以其 他適當方式供公眾查閱；有變更者亦同：

個人資料檔案名稱。

保有機關名稱及聯絡方式。

個人資料檔案保有之依據及特定目的。

個人資料之類別。 (§17)

機關之義務 –

5



公務機關保有個人資料檔案者，應指定專人辦理 安全維護事項，防止個人資料被竊取、竄改、毁 損、滅失或洩漏。 (§18)



非公務機關保有個人資料檔案者，應採行適當之 安全措施，防止個人資料被竊取、竄改、毁損、

滅失或洩漏。中央目的事業主管機關得指定非公 務機關訂定個人資料檔案安全維護計畫或業務終 止後個人資料處理方法。前項計畫及處理方法之 標準等相關事項之辦法，由中央目的事業主管機 關定之。 (§27)

機關之義務

- 6



機關受理當事人請求答覆查詢、提供閱覽或製給 複製本，應於 15 日內為准駁之決定；必要時，

得延長 15 日，並應將原因以書面通知請求人。

(§13)



機關受理當事人請求更正、補充、請求刪除、停 止蒐集、處理或利用其個人資料，應於 30 日內

，為准駁之決定；必要時，得延長 30 日，並應 將原因以書面通知請求人。 (§13)



機關拒絕或未於期間內決定時，當事人得提起訴 願或訴訟。

非公務機關違反第

10~13

、

27

條之效果



行政處罰：

　限期改正。

　屆期未改正，按次處新臺幣２萬元～ 20 萬元罰 鍰。

損害賠償責任 –

1



損害賠償，除依本法規定外，公務機關適用國家 賠償法之規定，非公務機關適用民法之規定。

(§31)

公務機關違反本法致個人資料遭不法蒐集、處理、利 用或其他侵害當事人權利者，負損害賠償責任。但損 害因天災、事變或其他不可抗力所致者，不在此限。

(§28)

非公務機關違反本法致個人資料遭不法蒐集、處理、

利用或其他侵害當事人權利者，負損害賠償責任。但 能證明其無故事或過失者，不在此限。 (§29)

損害賠償責任 –

2



如被害人不易或不能證明其實際損害額時，得請 求法院依侵害情節，以每人每一事件新臺幣 500 元以上２萬元以下計算。



對於同一原因事實造成多數當事人權利受侵害之 事件，經當事人請求損害賠償者，合計最高總額 以新臺幣２億元為限。但因該原因事實所涉利益 超過新臺幣２億元者，以該所涉利益為限。同一 原因事實造成之損害總額逾前項金額時，被害人 所受賠償金額，不受前述每人每一事件最低賠償 金額新臺幣 500 元之限制。

損害賠償責任 –

3



非財產上之損害，亦得請求賠償相當之金額。



名譽被侵害者，得請求為回復名譽之適當處分。

損害賠償責任 –

4



請求權時效：

　損害賠償請求權，自請求權人知有損害及賠償義 務人時起，因２年間不行使而消滅；自損害發生 時起，逾５年者，亦同。 (§30)



團體訴訟：

　對於同一原因事實造成多數當事人權利受侵害之 事件，財團法人或公益社團法人經受有損害之當 事人 20 人以上以書面授與訴訟實施權者，得以 自己之名義，提起損害賠償訴訟。當事人得於言 詞辯論終結前以書面撤回訴訟實施權之授與，並 通知法院。 (§34)

個資法簡要說明 　 法務部函釋　 　　 情境式分析　　 　 學校的因應方向 　

案例一



設置全國不適用教師通報系統網路，供學校在網 路查詢，防制具教育人員任用條例第 31 條不得 聘任之教師應聘，是否合於電腦處理個人資料保 護法第７條第１款「在法令規定職掌必要範圍 內」規定？

案例一



「教育或訓練行政」係屬蒐集或電腦處理個人資 料之特定目的項目之一（代號 053 ），另教育 人員任用條例第 31 條定有教育人員任用之消極 資格，同條例第 30 條復規定教師任用資格審查 為法定必經程序且貴部為審查機關之一，故貴部 基於教育人員任用條例主管機關立場，為執行該 條例相關規定，對於具有該條例第 31 條所定教 育人員任用消極資格之個人資料為蒐集、電腦處 理及提供相關學校、機關審查之用，應可認係符 合上開本法第７條第８條規定。

案例一



本法第６條、第 17 條規定：「個人資料之蒐集 或利用，應尊重當事人之權益，依誠實及信用方 法為之，不得逾越特定目的之必要範圍。」「公 務機關保有個人資料檔案者，應指定專人依相關 法令辦理安全維護事項，防止個人資料被竊取、

竄改、毁損、滅失或洩漏。」故貴部為建置本件 全國不適任教師通報系統網路，於從事個人資料 之蒐集與利用時，宜請注意上開比例原則與資訊 安全等規定，就相關技術性事項妥為規劃，併此 敘明供參。

　（法務部 96 年 10 月 26 日法律字第 0960035274 號）

案例二



隨紙本公文函送之機關同仁名冊，如包含個人資 料，是否違反個人資料保護法？

案例二



本法第８條規定：「公務機關對個人資料之利用

，應於法令職掌必要範圍內為之，並與蒐集之特 定目的相符。但有左列情形之一者，得為特定目 的外之利用：一、法令明文規定者。二、有正當 理由而僅供內部使用者。三、為維護國家安全者。

四、為增進公共利益者。五、為免除當事人之生 命、身體、自由或財產上之急迫危險者。六、為 防止他人權益之重大危害而有必要者。七、為學 術研究而有必要且無害於當事人之重大利益者。

八、有利用當事人權益者。九、當事人書面同意 者。」

案例二



本件交通部臺中港務局函送之機關同仁名冊如確 有包含個人資料者，需於其法令職掌必要範圍內 為之，並與蒐集之特定目的相符；或有上述所揭 ９款情形之一，而為特定目的外之利用，始為合 法，此宜由該利用個人資料之機關（臺中港務 局）本於職權依法審認之。

案例二



本法第６條規定，個人資料之蒐集或利用，應尊 重當事人之權益，依誠實信用方法為之，不得逾 越特定目的之必要範圍。準此，本件所提供之人 員名冊含有出生年月日及身分證統一編號等重要 個人資料，是否逾越必要範圍？有無必要性？應 視提供該人員名冊之目的而定，如不提供出生年 月日及身分證字號等資料亦能達到目的時，依上 開規定，自不宜提供該等資料，以保護當事人隱 私權益。

　（法務部 97 年 02 月 18 日法律字第 0970005327 號）

案例三



學校蒐集本校或他校畢業紀念冊，並利用畢業紀 念冊內所載學生資料寄發升學資訊等疑義：

案例三



本法第 18 條規定：「非公務機關對個人資料之 蒐集或電腦處理，非有特定目的，並符合左列情 形之一者，不得為之：一、經當事人書面同者。

二、與當事人有契約或類似契約之關係而對當事 人權益無侵害之虞者。三、已公開之資料且無害 於當事人之重大利益者。四、為學術研究而有必 要且無害於當事人之重大利益者。五、依本法第 ３條第７款第２目有關之法規及其他法律有特別 規定者。」

案例三



準此，本件學校蒐集或利用本校畢業紀念冊所載 學生資料，如有本部會同貴部所定之特定目的之 一（例如代號 079 學生資料管理）必要範圍內

，且符合上開規定五種情形之一者，自非不得為 之。



如屬他校畢業紀念冊之學生資料或用於寄發升學 資訊者，則其特定目的係屬何種項目？不無待酌 之處。

案例三



依本法施行細則第 32 條第３項規定：「本法第 18 條第３款所稱已公開之資料，指不特定之第 三人得合法取得或知悉之個人資料。」係為平衡 個人權利的保護及促進資料的合理利用，並鑑於 合法公開的資料原則上對隱私權的影響極微。來 函所載明個人資料之畢業紀念冊如僅發送或售予 該校畢業生，是否該當以公開之資料乙節，則屬 事實認定，請參酌上開說明本於職權自行審酌。

　（法務部 97 年 02 月 18 日法律字第 0970005327 號）

案例四



公所發布在案之職員考績、獎懲等個人資料，宜 否冊列附於代表會定期會之工作報告內，是否有 侵害個人隱私之嫌或牴觸該法？

案例四



本案所涉職員考績、獎懲等個人資料，如經電腦 處理，核屬上開本法所稱「個人資料」；至於公 所已發布在案之職員考績獎懲等個人資料，宜否 依代表會決議冊列於代表會定期會之工作報告內 乙節，公所應依個案事實認定究屬「人事行政管 理」之特定目的內利用或特定目的外利用，本於 職權審認適用上開規定。



惟公所決定檢附上開個人資料時，應尊重當事人 之權益，依誠實及信用方法為之，不得逾越特定 目的之必要範圍（本法第６條規定參照）。

　（法務部 97 年 02 月 18 日法律字第 0970005327 號）

案例五



學校或學術研究機構等以學術研究名義申請提供 民眾戶籍資料，所涉及電腦處理個人資料保護法 第８條規定之適用疑義：

案例五



行政資訊公開辦法第５條第１項第５款規定，行 政資訊之公開或提供有侵犯營業或職業上秘密、

個人穩私者，應限制公開或提供；但法令另有規 定、對公益有必要或經當事人同意者，不在此限

。

案例五



本件台灣大學心理系曹老師為國科會專題研究計 畫向台北市民政局請求提供新生兒資料乙節，就 該局利用個人資料性質觀之，應屬特定目的（戶 政及戶口管理）外利用之情形，是否符合個資法 首開規定第７款所稱之「為學術研究而有必要且 無害於當事人之重大利益」，宜由該局本於權責 審認之，其審酌事項宜包括例如：蒐集資料者是 否簽有保密義務，保證不洩漏當事人資料？當事 人資料有無作匿名化處理，致研究報告公布或揭 露時，不會識別特定當事人？提供之資料是否僅 屬一般基本資料，未涉及當事人較敏感之資料等

。

案例五



如認符合前揭個資法第８條第７款所稱「為學術研究而 有必要且無害於當事人之重大利益」而得為目的外利用 者，仍應依行政資訊公開辦法判斷有無限制公開或提供 之情事。因該新生兒個人資料屬於個人隱私之一部分，

依該辦法前揭條款規定，除有法令規定或經當事人同意 者外，須「對公益有必要者」始得公開或提供之。至於 上開所稱之「公益」及「有必要」，均屬不確定法律概 念，宜由受理請求提供資訊之機關，就「公開個人資料 所欲增進之公共利益」與「不公開個人資料所保護之隱 私權益」間比較衡量判斷之。是以，如該局經衡量判斷 認為本件符合「公開個人資料所欲增進之公共利益」，

而對於提供個人資料所侵害之隱私權益較為輕微者，自 得提供之。

案例五



另個資法第６條規定：「個人資料之蒐集或利用

，應尊重當事人之權益，依誠實及信用方法為之

，不得逾越特定目的之必要範圍」。本件於提供 該新生兒之個人資料時，應注意所提供之資料，

應以該學術研究有必要者為限，與該學術研究無 關之資料，則不得提供，併予敘明。

　（法務部 94 年 11 月 01 日法律字第 0940033446 號）

案例六



議員服務處函請行政機關提供學生名冊之適法性 疑義：

案例六



貴局基於管理學校所搜集之學生名冊等個人資料 檔案，如提供議員或其服務處作為問政使用或民 調使用，係屬於對個人資料之特定目的（ 079 學生資料管理）外利用，故貴局提供上開學生名 冊資料，應符合個資法第８條但書「公務機關對 個人資料之利用，應於法令職掌必要範圍內為之

，並與蒐集之特定目的相符。但有左列情形之一 者，得為特定目的外之利用：一、法令明文規定 者。…四、為增進公共利益者。…八、有利於當 事人權益者。九、當事人書面同意者。」所列各 款情形之一，始符為特定目的外之利用。

案例六



本件議員服務處函請提供學生名冊，作為問政使 用或公費營養午餐專業民調使用，是否符合上開 個資料第８條但書規定任一款情形，宜由貴局本 諸權責判斷。

　（法務部 97 年 10 月 13 日法律決字第 0970037059 號）

個資法簡要說明 　 法務部函釋　 　　 情境式分析　　 　 學校的因應方向 　

身分證第一碼

VS

戶籍地址

姓名 性別 身分證字號 戶籍地址

陳小明 男

^XXX3456789 臺北市 XXXXXXX

王小英 女

^XXX0688371 臺中市 XXXXXXX

吳小華 男

^XXX8477148 基隆市 XXXXXXX

資料隱蔽是否有效？

客戶姓名：陳小明 (04-12345678) 會員編號： A12345

收件住址：臺中市豐原區陽明街 　　　　　 36 號

商名名稱：數位相機 ( 金色 ) 發票號碼： SE36874325 付款方式：花旗銀行○○卡

　　　　　 XXXX-XX71-2761-8848

信用卡種類

VS

信用卡前置碼

姓名 信用卡類別 信用卡號

陳小明 花旗銀行○○卡 XXXX-XX71-2761-8848

王小英 富國銀行○○卡 XXXX-XX20-1852-7383

吳小華 美國運通○○卡 XXXX-X20466-35613

資料是否無法反推？

止不了的好康－抽獎活動

當獎抽完了，您的資料被…

巨細靡遺的物管服務



某前大眾運輸購票系統要填中文姓名、英文姓名

、身分證號、住家地址、手機、住家電話、公司 電話、電子郵件、出生年月日…

哪些資料的收集是合理收集？

永無止盡的客戶服務



信用卡停用後仍然接到服務電話？

您好，我們是 XX 貸款

…

XX 白金卡

xxxx-xxxx-xxxx-xxxx

特定目的或期限屆滿時，應主動 依當事人要求刪除個人資料。

公司權益

VS

員工隱私



求職時調查犯罪紀錄、健康紀錄…

特種個人資料，除第六條所定情 形外，不得蒐集、處理或利用。

我的身高…

體重…三圍…

我沒有犯罪紀錄…

個資法簡要說明 　 法務部函釋　 　　 情境式分析　　 　 學校的因應方向 　

如何進行個人資料保護暨實施

評估可行之個人資料管理 及保護之技術方案

推動個人資料保護及管理制度

實施個人資料管理及

保護教育訓練 滿足基本

個人資料保護

確認組織個資保護達成狀況的十大問題



含有個人隱私資料的取得來源是否合法？ ( 必要時取得當事人書面同 意 )



資料處理及利用範圍是否符合蒐集目的之必要範圍內？



組織成員是否能隨意取得、複製含有個人隱私資料？ ( 由 USB 裝置攜 出 )



組織成員是否能隨意傳送含有個人隱私資料？ (email 寄出 )



組織是否有適當的控制措施防範駭客入侵？ ( 建置防火牆、防毒軟體 )



個人資料之利用、修改、複製是否有留下稽核紀錄？ ( 啟用 Log 機制 )



組織是否有適當的控制措施防範未經授權人員進入取得資料或操作系 統？ ( 實體安全控管 )



組織是否有持續進行資料安全認知訓練？



個人隱私資料存放位置及取用限制是否已經識別與規範？



個人隱私資料銷毁是否已建立適當的程序？

資料蒐集、處理、利用之自我檢查五步驟

步驟一：清點所有個人資料

步驟二：清查蒐集個人資料之途徑與方式

步驟四：確認蒐集、處理、利用之特定目的 步驟三：確認是否須履行告知義務並建立告知機制

步驟五：檢視利用的範圍與方式

個資法的十大挑戰



Ｗ hat – 瞭解個資料內容



Who & When – 個資保護推動組織及責任分工



Why – 個資及隱私保護原則 ( 參考規範 )



How – 認知與訓練



How – 全面清查個資檔案及其歷經流程



How – 確認個資料處理過程符合風險管理及安全需求



How – 舉證管理



How – 事件因應



How – 委外管理



How – 確保遵循性