發文字號:
法務部 104.03.30 法律字第10403503590號函
發文日期:
民國 104 年 03 月 30 日
要 旨:
個人資料保護法第 27、48 條規定參照,如非公務機關發生個人資料外洩 事件時,目的事業主管機關仍應就該非公務機關有無違反上述相關規定, 依個案具體情形審酌是否符合處罰構成要件,不得僅因非公務機關未依通 報機制向目的事業主管機關為通報,即逕予裁罰
主 旨:有關鈞院檢送「消費者個資外洩事件處理機制」研商會議紀錄乙案,本部
意見如說明二、三,請查照。
說 明:一、依鈞院 104 年 2 月 16 日院臺消保字第 1040125073 號函送旨揭
會議紀錄之結論事項辦理。
二、有關旨揭會議結論一涉及中央目的事業主管機關將通報機制納入個人
資料檔案安全維護計畫或辦法規範,有無違反法律保留原則之疑義乙
節:
(一)按中央目的事業主管機關就所管非公務機關所定個人資料檔案安全
維護計畫或業務終止後個人資料處理方法之標準等相關事項之辦法
(以下簡稱安全維護標準辦法),倘規範非公務機關就個人資料外
洩事件通報目的事業主管機關之機制,因其係促使目的事業主管機
關及早瞭解個人資料外洩事件,適時協助非公務機關採取適當之應
變措施,以控制事故對當事人之損害,屬執行個人資料保護之細節
性事項,雖因而對非公務機關產生不便或輕微影響,惟未限制其自
由權利,非屬法律保留範圍(司法院釋字第 443 號解釋理由書意
旨;吳庚著,行政法之理論與實用,101 年 9 月增訂 12 版,第
103 頁至第 104 頁參照),並無違反法律保留原則之問題。
(二)次按中央目的事業主管機關訂定安全維護標準辦法如規定非公務機
關就個人資料外洩應予通報,因該通報並非法定義務,非公務機關
如發生個人資料外洩事件時,其目的事業主管機關仍應就該非公務
機關有無違反個人資料保護法(以下簡稱個資法)第 27 條第 1
項或未依第 27 條第 2 項訂定安全維護計畫或處理方法,依個案
具體情形審酌是否符合個資法第 48 條第 4 款之處罰構成要件,
目的事業主管機關不得僅因非公務機關未依安全維護標準辦法所定
通報機制向目的事業主管機關為通報,即逕予裁罰。
三、旨揭會議紀錄有關本部發言摘要部分,因文字較為簡略,建議酌予補
充修正如下:本部發言摘要(二)「如有違反,則可依個資法第 48
條規定處理。」之文字,為免誤解,建請刪除;又本部發言摘要(四
)「……非公務機關違反相關安全維護管理計畫辦法者,……」建請
修正為「……非公務機關未依個資法第 27 條第 1 項規定,採行適
當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏者,
……」,以資明確。
正 本:行政院秘書長
副 本:本部資訊處(第 1 類)、本部法律事務司(4 份)