法務部 107.08.27 法律字第10703512270號書函

民國 107 年 08 月 27 日

非公務機關未採行適當安全措施違反個人資料保護法第 27 條第 1  項規
定，自得依第 48 條第 4  款規定處理，惟未採行適當安全措施進一步造
成特種個人資料洩漏，是否構成違反第 6  條第 1  項，而有第 47 條第
1 款規定適用，允宜一併審認

主    旨：有關非公務機關洩漏個人資料保護法第 6  條第 1  項之特種個人資料，
          依同法第 48 條規定裁處是否允當乙案，復如說明二至四，請查照參考。
說    明：一、復貴局 107  年 1  月 18 日工電字第 10700083180  號函。
          二、按個人資料保護法（下稱個資法）第 27 條第 1  項規定：「非公務
              機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被
              竊取、竄改、毀損、滅失或洩漏。」第 48 條第 4  款規定：「非公
              務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（
              市）政府限期改正，屆期未改正者，按次處新臺幣 2  萬元以上 20
              萬元以下罰鍰：…四、違反第 27 條第 1  項或…。」準此，非公務
              機關依中央目的事業主管機關訂定之安全維護標準辦法訂定其安全維
              護計畫或處理方法後，未依其計畫或方法所定事項履行者，其目的事
              業主管機關應依個案具體情形審酌該非公務機關有無違反個資法第
              27  條第 1  項規定，亦即其所違反之行為是否構成未採行適當安全
              措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏之情形；若是
              ，自可依個資法第 48 條第 4  款規定論處（本部 105  年 2  月 4
              日法律字第 10503502080  號函參照）。
          三、次按個資法第 6  條第 1  項第 2  款規定：「有關病歷、醫療、基
              因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利
              用。但有下列情形之一者，不在此限：…二、…非公務機關履行法定
              義務必要範圍內，且事前或事後有適當安全維護措施。…」第 47 條
              第 1  款規定：「非公務機關有下列情事之一者，由中央目的事業主
              管機關或直轄市、縣（市）政府處新臺幣 5  萬元以上 50 萬元以下
              罰鍰，並令限期改正，屆期未改正者，按次處罰之：一、違反第 6
              條第 1  項規定。…」準此，非公務機關蒐集、處理或利用特種個人
              資料，如有違反個資法第 6  條第 1  項規定者，應依個資法第 47
              條第 1  款規定處理。
          四、有關本件來函說明二所詢，若有非公務機關未採行適當之安全措施，
              致個資法第 6  條第 1  項之特種個人資料洩漏，貴局依個資法第
              48  條第 4  款規定命限期改正是否允當乙節，查非公務機關如違反
              個資法第 27 條第 1  項規定，亦即其所違反之行為構成未採行適當
              安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏之情形，
              自得依個資法第 48 條第 4  款規定處理；惟非公務機關未採行適當
              安全措施之行為，倘進一步造成特種個人資料洩漏，則是否構成「違
              反第 6  條第 1  項規定」（例如非公務機關就該特種個人資料之處
              理或利用是否逾越「履行法定義務必要範圍」），而有個資法第 47
              條第 1  款規定之適用，允宜一併審認。此因涉及具體個案中非公務
              機關所違反義務及違反該義務之處罰等事實認定，仍請貴局參酌前揭
              說明，本於權責審酌之。
正    本：經濟部工業局
副    本：本部資訊處（第 1、2 類）、本部法律事務司（4 份）