發文字號:
法務部 102.10.17 法律字第10203511420號書函
發文日期:
民國 102 年 10 月 17 日
要 旨:
個人資料保護法第 22、25、27、48 條規定參照,非公務機關是否因採取
個人資料保護安全措施不足,導致發生個人資料外洩事件,而有違反該法
之虞,目的事業主管機關自得依法對於該非公務機關進行檢查,並得命相
關人員為必要說明、配合並提供相關資料,以查明措施是否符合相關規定
,並限期該非公務機關改正,屆期未改正,即得依法予以查處
主 旨:有關多層次傳銷事業於所定個人資料檔案安全維護計畫載有個資事故通報
機制相關疑義,復如說明二、三,請 查照參考。
說 明:一、復貴會 102 年 8 月 19 日公競字第 1021461246 號書函。
二、按「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止
個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關
得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人
資料處理方法。前項計畫及處理方法之標準等相關事項之辦法,由中
央目的事業主管機關定之。」個人資料保護法(下稱本法)第 27 條
定有明文。而貴會依本法第 27 條第 3 項所訂定之「多層次傳銷業
訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業
辦法」(下稱個資作業辦法)第 3 條第 4 款亦規定,貴會指定之
多層次傳銷事業就所保有之個人資料被竊取、竄改、毀損、滅失或洩
露等事故,應採取適當之應變措施,以控制事故對當事人之損害,並
通報有關單位及以適當方式通知當事人;於事後研議預防機制,避免
類似事故再度發生。其規範目的即在使有關單位得適時知悉並對發生
個人資料外洩事故之非公務機關採取適當之監督管理措施,以降低或
控制害之範圍,並避免再度發生相類事故。又貴會既為多層次傳銷事
業之目的事業主管機關,對多層次傳銷事業負有監督、管理之義務,
屬個資作業辦法中之有關單位,是多層次傳銷事業在其個人資料保護
事項中規定,個人資料遭他人惡意使用時,應採取通報目的事業主管
機關承辦人員,且將事後檢討並研議防免機制之結果通報目的事業主
管機關等措施,與貴會所訂定之個資作業辦法之規範目的相符。
三、又按「非公務機關有違反第 27 條第 1 項者,由中央目的事業主管
機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺
幣 2 萬元以上 20 萬元以下罰鍰...」 「中央目的事業主管機關或
直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理
方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法
規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關
人員為必要之說明、配合措施或提供相關證明資料。」本法第 48 條
第 4 款、第 22 條第 1 項分別定有明文。非公務機關是否因採取
之個人資料保護安全措施不足,導致發生個人資料外洩事件,而有違
反本法第 27 條第 1 項之虞,目的事業主管機關自得依本法第 22
條第 1 項之規定對於該非公務機關進行檢查,並得命相關人員為必
要之說明、配合並提供相關資料,以查明該非公務機關所採取之措施
是否符合本法、本法施行細則第 12 條及個資作業辦法之規定,並限
期該非公務機關改正,屆期未改正,即得依本法第 48 條及第 25 條
等規定予以查處。
正 本:公平交易委員會
副 本:本部資訊處(第 1 類)、本部法律事務司(4 份)