法務部 103.10.21 法律字第10303512310號函

民國 103 年 10 月 21 日

個人資料保護法第 27、50 條規定參照，非公務機關代表人、管理人或其
他有代表權人所應盡之防止義務，應考量組織規模與保有個人資料數量或
內容，依比例原則建立技術上與組織上措施，並視具體個案情形判斷

主    旨：關於個人資料保護法第 50 條規定，非公務機關之代表人、管理人或其他
          有代表權人如何證明已盡防止義務乙案，復如說明二、三，請查照參考。
說    明：一、復貴會 103  年 9  月 16 日通傳通訊字第 10341037470  號函。
          二、按個人資料保護法（以下簡稱本法）第 50 條規定：「非公務機關之
              代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受
              罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處
              罰。」上開規定係因非公務機關之代表人、管理人或其他有代表權人
              ，對於該非公務機關，本有指揮監督之責，因未善盡指揮監督職責，
              其對於該非公務機關違反本法行為，應視為有未盡防止義務之疏失。
          三、前開非公務機關之代表人、管理人或其他有代表權人，監督義務之範
              圍，並不僅以訂定本法第 27 條第 2  項規定之個人資料檔案安全維
              護計畫或業務終止後個人資料處理方法，即為已足。尚須就具體個案
              ，視非公務機關之規模大小與組織、所違反本法規定條文之內容與意
              義、個人資料數量多寡、機敏性之風險程度、監督可能性等因素而定
              。一般而言，必要之監督措施，例如：是否選任適當之人員、適當之
              組織分工、訓練、說明、指示、查看、對於不當行為之糾正改進、依
              法規改善設施……等，惟以客觀上有必要且有期待可能性者為限；如
              有特殊情況（發現營運有不正常現象、選任之人員不能勝任……等）
              亦當提高其要求標準。有關組織上之欠缺，包括分工未周而無人負責
              、責任重疊致相互推諉、權責過度下放等，亦可能構成違反監督義務
              。綜上所述，代表權人所應盡之防止義務，應考量組織規模與保有個
              人資料之數量或內容，依比例原則建立技術上與組織上之措施，並視
              具體個案情形判斷之。
正    本：國家通訊傳播委員會
副    本：本部資訊處（第 1  類公文）、本部法律事務司（4 份）