本法之主管機關為個人資料保護委員會。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保 其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定， 共同建構安全可信賴之個人資料保護環境。 為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會 議；其運作方式及其他相關事項之辦法，由主管機關定之。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失 或洩漏時，應通知當事人。 前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關： 一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情 形之機關通報。 二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的 事業主管機關。 第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事 故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄 ，以備主管機關查驗。 前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保 存及其他相關事項之辦法，由主管機關定之。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適 當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關 之個人資料保護相關事務。 公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊 取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及 其他相關事項之辦法，由主管機關定之。 公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或 管理措施。 主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個 人資料保護專業知能。 第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法 ，由主管機關定之。

非公務機關保有個人資料檔案者，應辦理安全維護事項，防止個人資料被 竊取、竄改、毀損、滅失或洩漏。 前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事 項之辦法，由主管機關定之。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制 之： 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞 。 四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情 形；無上級機關或監督機關者，依下列各款規定辦理： 一、總統府、國家安全會議及五院，向主管機關提出。 二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機 關提出。 三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市 政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提 出。 公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公 所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住 民區民代表會之個人資料保護管理事項實施情形。 依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核 機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送 交主管機關。 稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。 前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改 善報告之提出及其他相關事項之辦法，由主管機關定之。

主管機關應定期或不定期稽核公務機關之個人資料保護管理事項實施情形 ；必要時，得請求前條第二項所定稽核機關協助。 依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核 機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查 後，由該審查機關送交主管機關。 前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整 。 前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法 ，由主管機關定之。 依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負 保密義務。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明 ，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必 要者外，公務機關及其相關人員有配合之義務。 前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。 參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機 關應依限為適當之改正，並應將改正情形以書面答覆主管機關。 公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。 公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規 定予以懲戒、懲處或懲罰。

本節之規定，於情報機關不適用之。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而 認有必要時，得依下列方式進行檢查： 一、通知非公務機關或其相關人員陳述意見。 二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他 配合措施。 三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有 關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要 之說明、配合措施或提供相關證明資料。 前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的 事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關 事項之辦法，由主管機關定之。 主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案， 得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保 管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採 取對該非公務機關權益損害最少之方法強制為之。 對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相 關人員無正當理由不得規避、妨礙或拒絕。 主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人 員共同為之。 參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並 應注意被檢查者之名譽。 第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直 轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助 。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置 ；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者， 應發還之。但應沒入或為調查他案應留存者，不在此限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求 、強制、扣留或複製行為不服者，得向主管機關聲明異議。 前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為 無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由 製作紀錄交付之。 對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一 併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單 獨對第一項之行為逕行提起行政訴訟。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外 ，並得為下列處分： 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或令銷毀違法蒐集之個人資料。 四、公布違法情形，及其姓名或名稱與負責人。 主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取 對該非公務機關權益損害最少之方法為之。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經 該非公務機關同意後，得公布檢查結果。

（刪除）

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項 、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一 條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑 ，得併科新臺幣一百萬元以下罰金。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元 以下罰鍰，並令限期改正，屆期未改正者，按次處罰之： 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者 ，按次處新臺幣二萬元以上二十萬元以下罰鍰： 一、違反第八條或第九條規定。 二、違反第十條、第十一條或第十三條規定。 三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或 時限之規定。 四、違反第二十條第二項或第三項規定。 非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報 之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺 幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次 處罰。 非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元 以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上 一千五百萬元以下罰鍰： 一、違反第二十條之一第一項規定。 二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事 項、管理機制、應採取措施之規定。 三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終 止後個人資料處理方法。 四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之 內容、執行方式或基準之規定。 非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十 五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按 次處罰。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以 上二十萬元以下罰鍰。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十 七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日 起六年內，由主管機關報請行政院公告一定範圍之非公務機關，仍由中央 目的事業主管機關或直轄市、縣（市）政府管轄。 主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一 定範圍之非公務機關。 中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料 檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦 法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之 辦法定之；並得為更嚴格之規定。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十 三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其 他機關（構）、行政法人或公益團體辦理。 於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、 縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十 三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關 （構）、行政法人或公益團體辦理。 依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉 或持有之資料，負保密義務。 第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授 與訴訟實施權，以自己之名義提起損害賠償訴訟。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參 考使用。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。 於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的 事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向 主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立 機關所為者，直接適用行政訴訟程序。 對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行 政處分不服，於修正施行後提起訴願者，應向主管機關為之。 本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之 訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

本法施行細則，由主管機關定之。