行政行為，應依下列原則為之： 一、採取之方法應有助於目的之達成。 二、有多種同樣能達成目的之方法時，應選擇對人民權益損害最少者。 三、採取之方法所造成之損害不得與欲達成目的之利益顯失均衡。

本法用詞，定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 九、當事人：指個人資料之本人。

個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。 依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有 特定目的，並符合下列情形之一者： 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。

公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法 定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者 ，得為特定目的外之利用： 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、有利於當事人權益。 七、經當事人同意。

本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務 機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能 識別該特定之個人。

本法第六條第一項但書第二款及第五款、第八條第二項第二款及第三款、 第十條但書第二款、第十五條第一款、第十六條所稱法定職務，指於下列 法規中所定公務機關之職務： 一、法律、法律授權之命令。 二、自治條例。 三、法律或自治條例授權之自治規則。 四、法律或中央法規授權之委辦規則。