發文字號:
法務部 104.09.24 法律字第10403512200號書函
發文日期:
民國 104 年 09 月 24 日
要 旨:
非公務機關之團體其工作人員將前客戶個人資料交給無關第三人,須符合 個人資料保護法第 20 條規定;若該資料遭到竊取,主管機關可就個案事 實調查該團體是否符合同法第 27 條規定對該資料應採行適當安全措施, 且該團體應依同法第 12 條規定通知當事人,若違反前述第 12、27 條規 定主管機關可依同法第 48 條規定限期改善或追究責任
主 旨:貴署函詢有關非公務機關涉違反個人資料保護法第 20 條疑義乙案,復如
說明二至五,請查照參考。
說 明:一、復貴署 104 年 8 月 25 日移署移機潔字第 1040103436 號函。
二、按個人資料保護法(以下簡稱本法)第 19 條第 1 項第 2 款規定
:「非公務機關對個人資料之蒐集或處理,…,應有特定目的,並符
合下列情形之一者:…二、與當事人有契約或類似契約之關係。」又
非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之
。但有本法第 20 條第 1 項但書所列情形之一者,得為特定目的外
之利用。是以,本件來函所詢疑義,倘係 B 協會工作人員 C 君將
前客戶 D 君之個人資料交給與 D 君無關之第三人 C 君者,應屬
於個人資料之目的外利用,須符合本法第 20 條規定,始為適法。
三、次按本法第 27 條第 1 項規定:「非公務機關保有個人資料檔案者
,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失
或洩漏。」第 48 條規定:「非公務機關有下列情事之一者,由中央
目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者
,按次處新臺幣 2 萬元以上 20 萬元以下罰鍰:…二、違反第 10
條、第 11 條、第 12 條或第 13 條規定。…四、違反第 27 條第 1
項或…。」故本件來函所詢疑義,倘係 A 君翻閱 B 協會工作人員
C 君所保管收據明細時,趁 C 君不備而竊取 D 君之個人資料者,
則應就個案事實調查 B 協會對於所保有之個人資料檔案是否已採行
適當之安全措施,以及 C 君有無故意過失。
四、再按本法第 12 條規定:「公務機關或非公務機關違反本法規定,致
個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通
知當事人。」準此,依前開說明二、三所述,倘 A 君持有 D 君個
人資料不符本法規定者,B 協會應依上開規定通知 D 君;至於 D
君是否依本法第 29 條規定請求損害賠償,係屬另事。B 協會如有違
反本法第 12 條、第 27 條情事者,主管機關可依本法第 48 條規定
辦理。本件疑義之具體事實如何,請貴署本於職權調查審認之。
正 本:內政部移民署
副 本:本部資訊處(第 1 類)、本部法律事務司(4 份)