跳到主要內容
-
中央目的事業主管機關於訂定個人資料檔案安全維護計畫時,宜審酌非公務機關之規模、特
性、保有個人資料性質及數量等訂定,於非公務機關通報主管機關機制規定,如為及早瞭解
、應變及控制個人資料外洩事故,且無裁罰規定時,尚無違個人資料保護法第27條第 3項規
定
發文機關:法務部
發文字號:法務部 105.01.27. 法律字第10503501810號
發文日期:民國105年1月27日
主旨:有關各中央目的事業主管機關依個人資料保護法第27條研訂(修)相關規範一案,本
部意見如說明二、三,請查照參考。
說明:
一、復貴秘書長 104年12月15日院臺消保字第1040154939號函。
二、按個人資料保護法(以下簡稱本法)第12條規定:「公務機關或非公務機關違反本法
規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事
人。」本法施行細則第22條規定:「本法第12條所稱適當方式通知,指即時以言詞、
書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉
之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路
、新聞媒體或其他適當公開方式為之。(第 1項)依本法第12條規定通知當事人,其
內容應包括個人資料被侵害之事實及已採取之因應措施。(第 2項)」上開規定已明
定非公務機關所蒐集之個人資料被竊取、洩漏、竄改或其他侵害時,應立即查明事實
通知當事人之法定義務。又本法第27條第 2項及第 3項規定:「中央目的事業主管機
關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法
。(第 2項)前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機
關定之。(第 3項)」該條第 3項之立法目的係為使同條第 2項非公務機關訂定個人
資料檔案安全維護計畫或業務終止後個人資料處理方法,具有相關規範,以為依循,
爰授權由中央目的事業主管機關訂定辦法。又中央目的事業主管機關在指定應訂定個
人資料檔案安全維護計畫等之非公務機關並訂定相關規範時,宜審酌「非公務機關之
規模、特性」及「非公務機關保有個人資料之性質及數量」等事項,本於權責依實際
需要訂定之(本部「中央目的事業主管機關依個人資料保護法第二十七條第三項規定
訂定辦法之參考事項」第一點參照)。合先敘明。
三、本件來函所附內政部等 8個中央目的事業主管機關所訂(修)共16種個人資料檔案安
全維護計畫或業務終止後個人資料處理方法之標準等相關事項之辦法,其中涉及非公
務機關發生個人資料被竊取、洩漏、竄改或其他侵害之事故,應查明事實通知當事人
之規定部分,係為執行本法第12條所定法定義務;其中涉及非公務機關通報主管機關
機制之規定部分,係各該目的事業主管機關為及早瞭解個人資料外洩事故,適時協助
非公務機關採取適當之應變措施,以控制事故對當事人之損害,屬執行個人資料保護
之細節性事項,且並無未為通報即逕予裁罰之規定(本部 104年 3月30日法律字第10
403503590 號函參照),故渠等研訂內容經檢視尚無違本法第27條第 3項規定及其立
法意旨。
正本:行政院秘書長
副本:本部資訊處(第 1類)、本部法律事務司( 4份)
:::
-
本月造訪人次
-
本月頁面瀏覽人次
-
總造訪人次(自93.07.26起)
-
頁面總瀏覽人次(自105.7.15起)
快速回到頁首按鈕