- 個人資料保護法(民國 104 年 12 月 30 日)
-
第 1 條為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人 資料之合理利用,特制定本法。
-
第 2 條本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。
-
第 3 條當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約 限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。
-
第 4 條受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用 範圍內,視同委託機關。
-
第 5 條個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法 為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之 關聯。
-
第 6 條有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得 蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者 ,不在此限。 依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中 前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以 書面為之。
-
第 7 條第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告 知本法所定應告知事項後,所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明 確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後, 單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時, 當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條 第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
-
第 8 條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
-
第 9 條公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之 個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項 第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供 者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。
-
第 10 條公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查 詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。
-
第 11 條公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請 求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不 在此限。 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求, 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求, 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料, 應於更正或補充後,通知曾提供利用之對象。
-
第 12 條公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或 其他侵害者,應查明後以適當方式通知當事人。
-
第 13 條公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內, 為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其 原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內 ,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將 其原因以書面通知請求人。
-
第 14 條查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收 必要成本費用。
-
第 15 條公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有 特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。
-
第 16 條公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法 定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、有利於當事人權益。 七、經當事人同意。
-
第 17 條公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱; 其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。
-
第 18 條公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人 資料被竊取、竄改、毀損、滅失或洩漏。
-
第 19 條非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應 有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用,顯有更值得保護之重大利益者,不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人 資料。
-
第 20 條非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集 之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利 用: 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、經當事人同意。 七、有利於當事人權益。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時 ,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支 付所需費用。
-
第 21 條非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主 管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞 。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
-
第 22 條中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護 、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必 要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查, 並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒 入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製 之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提 出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方 法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同 資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得 規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
-
第 23 條對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置 ;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者, 應發還之。但應沒入或為調查他案應留存者,不在此限。
-
第 24 條非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求 、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、 縣(市)政府聲明異議。 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理 由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明 異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅 得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得 對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴 訟。
-
第 25 條非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、 縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制 違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方 法為之。
-
第 26 條中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後 ,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查 結果。
-
第 27 條非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料 被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關 定之。
-
第 28 條公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害 當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所 致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者, 並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依 侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害 賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者,不在此限。
-
第 29 條非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此 限。 依前項規定請求賠償者,適用前條第二項至第六項規定。
-
第 30 條損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行 使而消滅;自損害發生時起,逾五年者,亦同。
-
第 31 條損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機 關適用民法之規定。
-
第 32 條依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達 一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。
-
第 33 條依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方 法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地 之地方法院管轄。 前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其 在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國 最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法 院管轄。 第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無 主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地 之地方法院管轄。
-
第 34 條對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社 團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自 己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴 訟實施權之授與,並通知法院。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害 之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴 訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張 應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者, 亦得於法院公告曉示之一定期間內起訴,由法院併案審理。 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為 必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國 庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺 幣六十萬元者,超過部分暫免徵裁判費。
-
第 35 條當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然 停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟 。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施 權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
-
第 36 條各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別 計算。
-
第 37 條財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟 行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制,其效力不及於其他當事人。 第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法 院。
-
第 38 條當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人 上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。 財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人 ,並應於七日內將是否提起上訴之意旨以書面通知當事人。
-
第 39 條財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟 必要費用後,分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬 。
-
第 40 條依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。
-
第 41 條意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項 、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事 業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者 ,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
-
第 42 條意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案 為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生 損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以 下罰金。
-
第 43 條中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用 之。
-
第 44 條公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分 之一。
-
第 45 條本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十 二條之罪者,不在此限。
-
第 46 條犯本章之罪,其他法律有較重處罰規定者,從其規定。
-
第 47 條非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣( 市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未 改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或 處分。
-
第 48 條非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣( 市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以 下罰鍰: 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。
-
第 49 條非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主 管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。
-
第 50 條非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三 條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰 之處罰。
-
第 51 條有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料 。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結 合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集 、處理或利用者,亦適用本法。
-
第 52 條第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市 )政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其 成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施 權,以自己之名義提起損害賠償訴訟。
-
第 53 條法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供 公務機關及非公務機關參考使用。
-
第 54 條本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人 提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處 理或利用者,應於處理或利用前,依第九條規定向當事人告知。 前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行 後首次利用時併同為之。 未依前二項規定告知而利用者,以違反第九條規定論處。
-
第 55 條本法施行細則,由法務部定之。
-
第 56 條本法施行日期,由行政院定之。 現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。 前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指 定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個 人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。 已辦理完成者,亦得申請退費。 前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之 日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計 利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起, 至目的事業主管機關核准申請之日止,亦同。
- 臺北市大安區健康服務中心個人資料保護管理要點(民國 111 年 03 月 30 日)
-
一、臺北市大安區健康服務中心(以下簡稱本中心)為落實個人資料蒐集 、處理或利用法令、尊重當事人資訊自決權、促進個人資料合理利用 及避免人格權受侵害,特依個人資料保護法(以下簡稱個資法)、個 人資料保護法施行細則(以下簡稱個資法施行細則)及其他相關法令 規定,訂定本中心個人資料保護管理要點(以下簡稱本要點)。
-
二、本要點適用於本中心及受本中心委託或與本中心共同蒐集、處理或利 用個人資料之其他公務機關或非公務機關。但其他法令另有規定者, 從其規定。
-
三、為落實個人資料之保護及管理,特設置本中心個人資料保護管理執行 小組(以下簡稱本小組)。
-
四、本小組之任務如下: (一)本中心個人資料保護政策之擬議。 (二)本中心個人資料管理制度之推展。 (三)本中心個人資料隱私風險之評估及管理。 (四)本中心各單位(以下簡稱各單位)專人與職員工之個人資料保護意 識提升及教育訓練計畫之擬議。 (五)本中心個人資料管理制度基礎設施之評估。 (六)本中心個人資料管理制度適法性與合宜性之檢視、審議及評估。 (七)其他本中心個人資料保護、管理之規劃及執行事項。
-
五、本小組置委員五至七人;其中召集人及執行秘書各一人,由主任指定 之;其餘委員由各單位指派專人擔任。 本小組幕僚工作由資訊人員所屬單位之單位主管辦理,並請各單位指 派人員參與幕僚作業。
-
六、本小組會議視業務推動之需要,不定期召開,由召集人主持;召集人 因故不能主持會議時,得指定委員代理之。 本小組會議開會時,得邀請有關業務單位、相關機關代表或學者專家 出(列)席。
-
七、各單位應指定專人辦理單位內之下列事項: (一)辦理當事人依個資法第十條及第十一條第一項至第四項所定請求事 項之考核。 (二)辦理個資法第十一條第五項及第十二條所定通知事項之考核。 (三)個資法第十七條所定公開或供公眾查閱。 (四)個資法第十八條所定個人資料檔案安全維護。 (五)依第四點第四款所為擬議之執行。 (六)個人資料保護法令之諮詢。 (七)個人資料保護事項之協調聯繫。 (八)單位內個人資料損害預防及危機處理應變之通報。 (九)個人資料保護之自行查核及本中心個人資料保護政策之執行。 (十)其他單位內個人資料保護管理之規劃及執行。
-
八、本中心應設置個人資料保護聯絡窗口,辦理下列事項: (一)公務機關間個人資料保護業務之協調聯繫及緊急應變通報。 (二)個人資料被竊取、洩漏、竄改或其他侵害事件(以下簡稱個資事件 )之民眾聯繫單一窗口。 (三)本中心個人資料專人名冊之製作及更新。 (四)本中心個人資料專人與職員工教育訓練名單及紀錄之彙整。
-
九、各單位蒐集、處理或利用個人資料,其類別、數量及接觸人員,應符 合個資法第五條比例原則,以處理法定職務必要範圍內為限,儘量以 蒐集最少且不含個資法第六條所定個人資料為原則。 各單位蒐集、處理或利用個人資料之特定目的,以本中心已依適當方 式公開者為限。有變更者,亦同。
-
十、各單位蒐集當事人個人資料時,應明確告知當事人個資法第八條第一 項所列事項。但符合個資法第八條第二項規定情形之一者,不在此限 。 各單位蒐集非由當事人提供之個人資料,應於處理或利用前,向當事 人告知個人資料來源及個資法第八條第一項第一款至第五款所列事項 。但符合個資法第九條第二項第一款至第四款規定情形之一者,不在 此限。 依前二項規定為告知,其告知事項內容應使用通俗、簡淺易懂之語文 ,避免使用艱深費解之詞彙。 依第一項及第二項規定為告知,如有委託或共同蒐集、處理或利用個 人資料,應同時告知委託或共同利用情形。 依第一項及第二項規定為告知,得以言詞、書面、電話、簡訊、電子 郵件、傳真、電子文件、明顯或適當處所之公告或其他足以使當事人 知悉或可得知悉之方式為之。
-
十一、各單位依個資法第六條第一項第六款、第十一條第二項但書或第三 項但書規定,經當事人書面同意者,應取得當事人同意之書面文件 ;該書面文件作成之方式,依電子簽章法之規定,得以電子文件為 之。 各單位依個資法第十五條第二款或第十六條但書第七款規定經當事 人同意者,應符合個資法第七條及個資法施行細則第十五條所定之 方式。
-
十二、各單位蒐集或處理個人資料應符合下列情形之一,並於蒐集時註明 蒐集之特定目的項目及代號: (一)依本中心組織規程或個資法第十五條第一款及個資法施行細則第 十條所稱執行法定職務。 (二)經當事人同意。 (三)依法受委託執行職務。
-
十三、對滿七歲之未成年人蒐集或處理其個人資料,有下列情形之一者, 得經未成年人本人同意為之,其他情形應得其法定代理人同意: (一)依其年齡及身分、日常生活所必需。 (二)純獲法律上利益。 (三)法定代理人事前允許處分財產或營業。 對未滿七歲之未成年人及受監護或輔助宣告之人蒐集其個人資料, 應得其法定代理人同意。 法定代理人基於保護未成年人及受監護或輔助宣告之人之利益,得 行使個資法第十條或第十一條第一項至第四項規定之權利。 本點關於未成年人保障之未盡事宜,依民法及兒童及少年福利與權 益保障法等相關規定辦理。
-
十四、各單位應優先考慮以去識別化或經遮蔽之個人資料為處理或利用。
-
十五、任何非原蒐集目的之特定目的外之利用,各單位應確認符合個資法 第十六條但書規定後始得為之,並將利用歷程作成紀錄。 前項情形,宜審酌個案狀況,規劃當事人選擇不同意或退出同意之 機制。
-
十六、個人資料檔案屬檔案法所稱檔案者,其申請閱覽、抄錄或複製,應 依檔案法、檔案法施行細則及臺北市政府(以下簡稱本府)檔案應 用相關規定辦理。 依政府資訊公開法申請公開或提供前項規定以外之政府資訊,如涉 及個人資料之特定目的外利用,應審酌是否具有個資法第十六條但 書及政府資訊公開法第十八條第一項第六款所定情形。
-
十七、各單位對於個人資料之利用,不得為資料庫之恣意連結,且不得濫 用。
-
十八、本中心保有之個人資料有誤或缺漏時,應由資料蒐集單位簽奉核定 後,移由資料保有單位更正或補充之。 因可歸責於本中心之事由,未為更正或補充之個人資料,應於更正 或補充後,由資料蒐集單位以通知書通知曾提供利用之對象。
-
十九、本中心保有之個人資料正確性有爭議者,應由資料蒐集單位簽奉核 定後,移由資料保有單位,視個人資料載體性質為適當之停止處理 或利用該個人資料,並註明原因。但符合個資法第十一條第二項但 書情形者,不在此限。
-
二十、各單位應定期查明蒐集或處理個人資料適用法令所訂定之保存期間 ;其未明定者,視執行業務必要性及合理性,於本中心年度檔案分 類及保存年限表明定,或訂定經告知當事人之合理保存期間。 本中心保有個人資料蒐集之特定目的消失或期限屆滿時,應由資料 蒐集單位簽奉核定後,移由資料保有單位,視個人資料載體性質為 適當之停止處理或利用。但符合個資法第十一條第三項但書情形者 ,不在此限。
-
二十一、各單位依個資法第十一條第四項規定停止蒐集、處理或利用個人 資料者,應簽奉核定後移由資料保有單位,視個人資料載體性質 適當為之。
-
二十二、個人資料有補充、更正、停止處理或利用、刪除時,應通知曾利 用之其他機關或單位;或與其他機關或單位事先協調及規劃個人 資料定期更新機制。 個人資料依規定刪除或停止處理、利用前,應對相關系統或服務 作影響評估並妥為因應。
-
二十三、個人資料之刪除,應檢查是否達到資料無法還原或再組合之程度 ,並得參考機關檔案保存年限及銷毀辦法及臺北市政府公務機密 維護作業等相關規定辦理。
-
二十四、各單位將個人資料作國際傳輸前,應確認法令限制及他國(境) 對個人資料保護法令要求,並為適當保護措施。
-
二十五、本中心與臺北市政府所屬機關(以下簡稱本府其他機關)交換運 用個人資料,依本章規定辦理;本章未規定者,適用本要點其他 規定。
-
二十六、本章所稱交換運用,指本中心為與本府其他機關共同執行法定職 務,或協助本府其他機關執行法定職務,而以本府名義蒐集個人 資料,並將所蒐集之個人資料提供予各該本府其他機關。
-
二十七、本中心為辦理交換運用,應於蒐集個人資料前,確認所涉本府其 他機關之法定職務依據、特定目的、需提供之個人資料類別、利 用之期間、地區、對象及方式,經簽會本府法務局並簽報本府同 意後,始得為之。 前項所定應確認事項,應於蒐集個人資料前,以本府名義明確告 知當事人。但有第十點第一項但書或第二項但書所定情形者,不 在此限。 依前二項規定辦理之交換運用,視為個資法第二條第四款及個資 法施行細則第六條第二項所定內部傳送。
-
二十八、當事人依個資法第三條、第十條或第十一條第一項至第四項規定 向本中心請求答覆查詢、提供閱覽、製給複製本、更正、補充、 停止蒐集、處理、利用或刪除個人資料時,應經身分確認程序, 本中心並得視情形請當事人檢附相關證明文件或為適當之釋明。 第三十八點所定紀錄或證據,視為前項個人資料。 第一項證明文件內容如有遺漏、欠缺或釋明不完整,應通知限期 補正。 申請案件有下列情形之一者,應以書面或電子文件駁回其申請: (一)申請文件內容有遺漏、欠缺、虛偽不實或釋明不完整,經通知 限期補正,逾期仍未補正或無法補正。 (二)有個資法第十條但書各款情形之一。 (三)有個資法第十一條第二項但書或第三項但書所定情形之一。 (四)與法令規定不符。 第一項請求之處理期限及延長,依個資法第十三條規定辦理。
-
二十九、當事人請求閱覽、抄錄或複製個人資料,得依檔案閱覽抄錄複製 收費標準收取費用。 前項情形,由承辦單位派員陪同為之。
-
三十、各單位提供當事人閱覽、抄錄或複製個人資料前,應確認未同時揭 露他人個人資料。
-
三十一、本中心保有個人資料檔案以公開於機關網站之個人資料保護專區 為原則,並應於建立個人資料檔案後一個月內為之;更新檔案時 ,亦同。 為確保當事人有充分表達意見機會及申訴管道,本中心網站之個 人資料保護專區,應設有個人資料客訴聯絡方式。
-
三十二、各單位研擬業務委外招標文件時,應就委外範圍擬定投標廠商須 具備個人資料保護管理能力,於招標文件訂定評選項目或於採購 契約訂定監督事項及罰則條款,並將本要點列入採購契約文件中 供廠商遵循。
-
三十三、契約終止、解除或屆滿時,廠商應返還或刪除所保有之個人資料 ,或交接本中心指定之其他單位,刪除存取權限,並切結未以任 何形式保留備份或影本;續約廠商不在此限。 履約期間廠商員工離職或留職停薪,應說明所負責系統之存取權 限及完成鎖定帳號或停止系統權限之時點,並應更換離職或留職 停薪員工曾接觸之密碼。
-
三十四、各單位於履約期間應定期確認廠商執行個人資料保護措施並予以 記錄。
-
三十五、電子處理之個人資料安全維護,應遵守資通安全管理法、資通安 全管理法施行細則、檔案法、檔案法施行細則、臺北市政府資通 安全管理規定、臺北市政府員工使用資通訊裝置應注意事項、臺 北市政府及所屬各機關辦理資訊使用管理稽核作業規定、臺北市 政府文書處理實施要點等相關法令規定,並得參考行政院國家資 通安全會報技術服務中心所訂各項資訊安全參考指引辦理。 非電子處理之個人資料安全維護,應依檔案法、檔案法施行細則 、臺北市政府文書處理實施要點、臺北市政府公務機密維護作業 等規定辦理。 本中心得因應最新技術發展或資訊安全問題訂定技術指引。 各單位得因應負責業務特性自訂內部安全控制措施或管理細則。
-
三十六、本中心應規劃並定期執行個人資料盤點作業,作業項目依序如下 : (一)清查各作業流程中所使用之表單、紀錄,並辨識其中與個人資 料有關者,歸納整理成個人資料檔案。 (二)使用個人資料盤點表或其他具相同效用之技術、軟體或表單, 檢視其保有之個人資料檔案,確認個人資料檔案名稱、保有之 依據及特定目的、個人資料種類。 (三)使用個人資料盤點表或其他具相同效用之技術、軟體或表單, 檢視其保有之個人資料檔案之生命週期,包含蒐集、處理、利 用之內容。 (四)依第一款至前款之檢視結果,建立個人資料檔案清冊。 前項個人資料盤點表及個人資料檔案清冊,包括以下個人資料相 關欄位: (一)所涉主要業務、職掌內容及辦理流程。 (二)個人資料檔案名稱。 (三)業務主管單位。 (四)保存管理單位。 (五)保管方式。 (六)檔案型態,包括紙本類、電子類、可攜式媒體內之電子檔,及 系統資料庫。 (七)個人資料來源。 (八)法令或契約上之保有依據。 (九)是否須履行個資法上之告知義務。 (十)特定目的。 (十一)個人資料類別。 (十二)個人資料項目。 (十三)個資法第六條所定個人資料項目。 (十四)個人資料數量。 (十五)內部進行蒐集、處理或利用之單位。 (十六)外部進行蒐集、處理或利用者。 (十七)委外及受委託對象接觸情形。 (十八)法定或自訂之保存期限。 (十九)銷毀方式。 (二十)是否依個資法第十七條規定對外公告。 (二十一)備註。
-
三十七、本中心應依前點所定盤點作業結果,規劃並定期執行個人資料風 險評估作業,其評估之必要項目如下: (一)個人資料可識別程度。 (二)個人資料檔案型態及數。 (三)個人資料類別敏感性及風險性。 (四)蒐集、處理、利用過程及環境。 (五)個人資料存取頻率及存放位置。 (六)蒐集、處理、利用及保有之適法性。 (七)個人資料保護意識及相關知能。 本中心應依前項所定風險評估結果,規劃並採取必要之風險控管 及精進措施。
-
三十八、各單位應視業務性質保存下列紀錄或證據: (一)當事人書面同意。 (二)告知或通知當事人。 (三)當事人或法定代理人依個資法第十條或第十一條第一項至第四 項定主張權利。 (四)蒐集、處理、利用個人資料所生之軌跡紀錄。 (五)依第十五點第一項規定作成之紀錄。 (六)本中心或各單位之檢查或稽核。 (七)依第三十四點規定作成之監督紀錄。 (八)個人資料正確性有爭議。 (九)個資事件。 依前項規定保存之紀錄或證據,除其他法令另有規定或契約另有 約定外,應至少保存五年。
-
三十九、為妥善因應個資事件,各單位平時應建立通報及支援聯絡網人員 名冊,掌握個人資料處理或利用流程,透過監測資料注意異常狀 況之潛在問題。
-
四十、負責蒐集、處理或利用個人資料之職員工,應定期參加資訊安全或 個人資料保護教育訓練。 新進職員工或參與本中心招標第一次得標廠商員工,應詳閱本要點 、相關契約內容,得標廠商亦應提供必要之教育訓練。 專人應適時通知個人資料保護注意事項,並應視需要轉知業務往來 之其他機關或單位。
-
四十一、本中心每年應依臺北市政府資通安全管理規定、臺北市政府及所 屬各機關辦理資訊使用管理稽核作業規定辦理相關稽核作業。
-
四十二、個資事件發生時,各單位應依指示及視事件性質,儘速採取包含 下列內容之應變措施: (一)中斷入侵或洩漏途徑。 (二)緊急儲存尚未被破壞資料。 (三)啟動備援程序或替代方案。 (四)事件原因初步分析。 (五)評估受侵害個人資料類別及數量。 (六)檢視防護及監測設施功能。 (七)記錄事件經過。 (八)行政內部調查完成前保存相關證據。 (九)解決或修復方案。 (十)通知保有相同資料組室或其他單位。 (十一)洽商專業人員協助或進駐處理。 (十二)涉及刑事責任者,移請檢警鑑識或調查。 (十三)發布新聞稿、網站公告。
-
四十三、個資事件發生後,本中心應依個資法第十二條通知當事人,內容 包括侵害事實及因應措施說明、建議當事人處理事項、提供查詢 及協助管道、賠(補)償當事人處理事務相關費用等補救措施。 前項通知,指以言詞、書面、電話、簡訊、電子郵件、傳真、電 子文件或其他足以使當事人知悉或可得知悉之方式為之。
-
四十四、個資事件發生後,各單位應儘速完成通報作業。通報對象包括本 中心主任、秘書、該單位主管;通報內容至少應包括通報人身分 、資料外洩或侵害方式、時間、地點、初估外洩或侵害個人資料 類別及數量、避免損害擴大處置等資訊;通報方式以電話或簡訊 為主,電子郵件為輔。 重大資通安全事件通報及應變作業,應依資通安全事件通報及應 變辦法、臺北市政府資通安全事件通報及應變管理程序辦理。
-
四十五、本中心為因應法令修訂、技術發展或強化人格權保障,應為必要 之補充及調整,並適時修正本要點。