發文字號:
國家發展委員會 110.09.01 發法字第1100016400號
發文日期:
民國 110 年 09 月 01 日
要 旨:
公務機關在我國領域外蒐集我國人民之個人資料,亦有個人資料保護法之 適用。於個人資料蒐集之特定目的消失或期限屆滿時,如經當事人書面同 意,個人資料雖得予以保留,惟倘不論特定目的為何,一律請當事人同意 蒐集機關得無限期留存其個資,似與個人資料保護法第 5 條規定之比例 原則不符
主 旨:有關貴會為執行業務所需而蒐集、處理或利用全球僑胞及海外友我外國人
士之個人資料一事,復如說明,請查照。
說 明:一、復貴會 110 年 8 月 13 日僑資規字第 1101600289 號書函。
二、有關旨揭個人資料於跨境傳輸時,是否需符合當事人之本國法或提供
時所在地國法令一節,由於各國法令不同,原則上宜先諮詢當地法律
服務諮詢機構為宜。在歐盟境內之資料控制實體蒐集、處理或利用位
於歐盟境內自然人個資,再彙送回歐盟境外予國內貴會保存或利用,
除非有外交特權豁免適用外,則應依歐盟一般資料保護規則(下稱 G
DPR )第 5 章個資跨境傳輸相關規定辦理(詳附件-歐洲個人資料
保護委員會(EDPB)2019 年 11 月 12 日發布「關於 GDPR (第 3
條)地域範圍之指引 3/2018 」參照),惟因本會並非 GDPR 之有權
解釋機關,是有關 GDPR 之適用問題,仍請貴會洽歐盟當地個資保護
主管機關之意見。
三、另依我國個人資料保護法(下稱個資法)第 51 條第 2 項規定,公
務機關在我國領域外蒐集我國人民之個人資料,亦有該法適用(107
年 3 月 12 日法律字第 10703502240 號函參照),爰有關貴會所
詢「是否得取得當事人同意而永久保存、利用其個人資料」、「受委
託廠商可否將貴會蒐集之個人資料置於外商雲端服務平台及如何規劃
委託契約」之個資法適法性,分述如下:
(一)按個資法第 11 條第 3 項規定「個人資料蒐集之特定目的消失或
期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該
個人資料。但因執行職務或業務所必須或經當事人書面同意者,不
在此限。」及同法第 5 條規定「個人資料之蒐集、處理或利用,
應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的
之必要範圍,並應與蒐集之目的具有正當合理之關聯。」,是以,
貴會於個資蒐集之特定目的消失或期限屆滿時,經當事人書面同意
,雖得予以保留,惟倘不論特定目的為何,一律請當事人同意蒐集
機關得無限期留存其個資,似與上開個資法第 5 條規定之比例原
則不符。
(二)次按個資法第 4 條規定「受公務機關…委託蒐集、處理或利用個
人資料者,於本法適用範圍內,視同委託機關。」、同法施行細則
第 7 條規定「受委託蒐集、處理或利用個人資料之法人、團體或
自然人,依委託機關應適用之規定為之。」及第 8 條規定「委託
他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之
監督。(第 1 項)前項監督至少應包含下列事項:…(第 2 項
)第一項之監督,委託機關應定期確認受託者執行之狀況,並將確
認結果記錄之。(第 3 項)受託者僅得於委託機關指示之範圍內
,蒐集、處理或利用個人資料。…(第 4 項)」,是以,受託者
對於個人資料之蒐集、處理及利用,應依委託機關之指示辦理,並
於受託範圍內視同委託機關之行為,而以委託機關為權責機關,委
託機關並應對受託者為適當之監督。爰有關貴會委託廠商蒐集、處
理或利用個人資料,建請依權責參照上開規定辦理,至如何及時保
全與追究相關法律責任及確保我國之司法管轄權,事涉委託契約當
事人間之約定,非屬個資法所轄範圍,併此敘明。