第二條（用詞定義）
本法用詞，定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指 紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯 絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人 資料之集合。 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製 、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 九、當事人：指個人資料之本人。

第四條（視同委託機關）
受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託 機關。

第十五條（公務機關蒐集或處理個人資料之要件）
公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合 下列情形之一者： 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。

第十六條（公務機關不得逾越執行法定職務之必要範圍）
公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內 為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用： 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者 處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人同意。

第二十八條（公務機關違法之損害賠償）
公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負 損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名 譽之適當處分。 依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人 每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最 高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益 為限。 同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每 一事件最低賠償金額新臺幣五百元之限制。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此 限。

第二十九條（非公務機關違法之損害賠償）
非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者， 負損害賠償責任。但能證明其無故意或過失者，不在此限。 依前項規定請求賠償者，適用前條第二項至第六項規定。

第三十一條（公務、非公務機關損害賠償之適用法）
損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定 。

第三條
本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不 能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

第八條
委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。 前項監督至少應包含下列事項： 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、受託者就第十二條第二項採取之措施。 三、有複委託者，其約定之受託者。 四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通 知之事項及採行之補救措施。 五、委託機關如對受託者有保留指示者，其保留指示之事項。 六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持 有之個人資料之刪除。 第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。 受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指 示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。