個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應 有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人 資料。

本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當 事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付 或向其為給付之行為。 本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者： 一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交 易之目的，所進行之接觸或磋商行為。 二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與 當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之 連繫行為。