第十九條（非公務機關蒐集或處理個人資料之要件）
非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符 合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經 蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保 護之重大利益者，不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應 主動或依當事人之請求，刪除、停止處理或利用該個人資料。

第二十條（非公務機關利用個人資料之除外情形）
非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範 圍內為之。但有下列情形之一者，得為特定目的外之利用： 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者 處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人同意。 七、有利於當事人權益。 非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其 個人資料行銷。 非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

第七條（確認客戶身分程序及留存所得資料）
金融機構及指定之非金融事業或人員應進行確認客戶身分程序，並留存其確認客戶身分程序 所得資料；其確認客戶身分程序應以風險為基礎，並應包括實質受益人之審查。 前項確認客戶身分程序所得資料，應自業務關係終止時起至少保存五年；臨時性交易者，應 自臨時性交易終止時起至少保存五年。但法律另有較長保存期間規定者，從其規定。 金融機構及指定之非金融事業或人員對現任或曾任國內外政府或國際組織重要政治性職務之 客戶或受益人與其家庭成員及有密切關係之人，應以風險為基礎，執行加強客戶審查程序。 第一項確認客戶身分範圍、留存確認資料之範圍、程序、方式及前項加強客戶審查之範圍、 程序、方式之辦法，由中央目的事業主管機關會商法務部及相關機關定之；於訂定前應徵詢 相關公會之意見。前項重要政治性職務之人與其家庭成員及有密切關係之人之範圍，由法務 部定之。 違反第一項至第三項規定及前項所定辦法者，由中央目的事業主管機關處金融機構新臺幣五 十萬元以上一千萬元以下罰鍰、處指定之非金融事業或人員新臺幣五萬元以上一百萬元以下 罰鍰。