法務部 105.01.27 法律字第10503501810號函

民國 105 年 01 月 27 日

中央目的事業主管機關於訂定個人資料檔案安全維護計畫時，宜審酌非公
務機關之規模、特性、保有個人資料性質及數量等訂定，於非公務機關通
報主管機關機制規定，如為及早瞭解、應變及控制個人資料外洩事故，且
無裁罰規定時，尚無違個人資料保護法第 27 條第 3  項規定

主    旨：有關各中央目的事業主管機關依個人資料保護法第 27 條研訂（修）相關
          規範一案，本部意見如說明二、三，請查照參考。
說    明：一、復貴秘書長 104  年 12 月 15 日院臺消保字第 1040154939 號函。
          二、按個人資料保護法（以下簡稱本法）第 12 條規定：「公務機關或非
              公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害
              者，應查明後以適當方式通知當事人。」本法施行細則第 22 條規定
              ：「本法第 12 條所稱適當方式通知，指即時以言詞、書面、電話、
              簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知
              悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之
              保護，以網際網路、新聞媒體或其他適當公開方式為之。（第 1  項
              ）依本法第 12 條規定通知當事人，其內容應包括個人資料被侵害之
              事實及已採取之因應措施。（第 2  項）」上開規定已明定非公務機
              關所蒐集之個人資料被竊取、洩漏、竄改或其他侵害時，應立即查明
              事實通知當事人之法定義務。又本法第 27 條第 2  項及第 3  項規
              定：「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安
              全維護計畫或業務終止後個人資料處理方法。（第 2  項）前項計畫
              及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之
              。（第 3  項）」該條第 3  項之立法目的係為使同條第 2  項非公
              務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方
              法，具有相關規範，以為依循，爰授權由中央目的事業主管機關訂定
              辦法。又中央目的事業主管機關在指定應訂定個人資料檔案安全維護
              計畫等之非公務機關並訂定相關規範時，宜審酌「非公務機關之規模
              、特性」及「非公務機關保有個人資料之性質及數量」等事項，本於
              權責依實際需要訂定之（本部「中央目的事業主管機關依個人資料保
              護法第二十七條第三項規定訂定辦法之參考事項」第一點參照）。合
              先敘明。
          三、本件來函所附內政部等 8  個中央目的事業主管機關所訂（修）共
              16  種個人資料檔案安全維護計畫或業務終止後個人資料處理方法之
              標準等相關事項之辦法，其中涉及非公務機關發生個人資料被竊取、
              洩漏、竄改或其他侵害之事故，應查明事實通知當事人之規定部分，
              係為執行本法第 12 條所定法定義務；其中涉及非公務機關通報主管
              機關機制之規定部分，係各該目的事業主管機關為及早瞭解個人資料
              外洩事故，適時協助非公務機關採取適當之應變措施，以控制事故對
              當事人之損害，屬執行個人資料保護之細節性事項，且並無未為通報
              即逕予裁罰之規定（本部 104  年 3  月 30 日法律字第 104035035
              90  號函參照），故渠等研訂內容經檢視尚無違本法第 27 條第 3
              項規定及其立法意旨。
正    本：行政院秘書長
副    本：本部資訊處（第 1  類）、本部法律事務司（4 份）