為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人 資料之合理利用，特制定本法。

本法之主管機關為個人資料保護委員會。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保 其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定， 共同建構安全可信賴之個人資料保護環境。 為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會 議；其運作方式及其他相關事項之辦法，由主管機關定之。

本法用詞，定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 九、當事人：指個人資料之本人。

當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約 限制之： 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。

受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用 範圍內，視同委託機關。

個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。 依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告 知本法所定應告知事項後，所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明 確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後， 單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時， 當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條 第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時，應明確告知當事人下列事項： 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。 有下列情形之一者，得免為前項之告知： 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之 個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項 第一款至第五款所列事項。 有下列情形之一者，得免為前項之告知： 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供 者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知，得於首次對當事人為利用時併同為之。

公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查 詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限： 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。

公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請 求更正或補充之。 個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不 在此限。 個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求， 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者，不在此限。 違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求， 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料， 應於更正或補充後，通知曾提供利用之對象。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失 或洩漏時，應通知當事人。 前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關： 一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情 形之機關通報。 二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的 事業主管機關。 第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事 故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄 ，以備主管機關查驗。 前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保 存及其他相關事項之辦法，由主管機關定之。

公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內， 為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其 原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日內 ，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將 其原因以書面通知請求人。

查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收 必要成本費用。