發文字號:
法務部 103.10.21 法律字第10303512310號函
發文日期:
民國 103 年 10 月 21 日
要 旨:
個人資料保護法第 27、50 條規定參照,非公務機關代表人、管理人或其
他有代表權人所應盡之防止義務,應考量組織規模與保有個人資料數量或
內容,依比例原則建立技術上與組織上措施,並視具體個案情形判斷
主 旨:關於個人資料保護法第 50 條規定,非公務機關之代表人、管理人或其他
有代表權人如何證明已盡防止義務乙案,復如說明二、三,請查照參考。
說 明:一、復貴會 103 年 9 月 16 日通傳通訊字第 10341037470 號函。
二、按個人資料保護法(以下簡稱本法)第 50 條規定:「非公務機關之
代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受
罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處
罰。」上開規定係因非公務機關之代表人、管理人或其他有代表權人
,對於該非公務機關,本有指揮監督之責,因未善盡指揮監督職責,
其對於該非公務機關違反本法行為,應視為有未盡防止義務之疏失。
三、前開非公務機關之代表人、管理人或其他有代表權人,監督義務之範
圍,並不僅以訂定本法第 27 條第 2 項規定之個人資料檔案安全維
護計畫或業務終止後個人資料處理方法,即為已足。尚須就具體個案
,視非公務機關之規模大小與組織、所違反本法規定條文之內容與意
義、個人資料數量多寡、機敏性之風險程度、監督可能性等因素而定
。一般而言,必要之監督措施,例如:是否選任適當之人員、適當之
組織分工、訓練、說明、指示、查看、對於不當行為之糾正改進、依
法規改善設施……等,惟以客觀上有必要且有期待可能性者為限;如
有特殊情況(發現營運有不正常現象、選任之人員不能勝任……等)
亦當提高其要求標準。有關組織上之欠缺,包括分工未周而無人負責
、責任重疊致相互推諉、權責過度下放等,亦可能構成違反監督義務
。綜上所述,代表權人所應盡之防止義務,應考量組織規模與保有個
人資料之數量或內容,依比例原則建立技術上與組織上之措施,並視
具體個案情形判斷之。
正 本:國家通訊傳播委員會
副 本:本部資訊處(第 1 類公文)、本部法律事務司(4 份)