發文字號:
法務部 106.01.26 法律字第10503517710號函
發文日期:
民國 106 年 01 月 26 日
要 旨:
個人資料保護法第 12 條與第 18 條二者規範事項及目的並不相同,故公
務機關縱已依第 18 條規定辦理安全維護事項,惟仍因違反該法規定,致
個人資料遭竊取、洩漏、竄改或其他侵害情事,應依第 12 條規定,立即
查明事實並採取適當措施通知當事人
主 旨:有關個人資料保護法第 12 條之適用疑義一案,復如說明二、三,請查照
參考。
說 明:一、復貴部 105 年 11 月 18 日勞動發就字第 1050515640 號函。
二、按個人資料保護法(下稱本法)第 18 條規定,公務機關保有個人資
料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄
改、毀損、滅失或洩漏。上開所稱「安全維護事項」係指公務機關或
非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取
技術上及組織上之措施,該措施得包括下列事項,並以與所欲達成之
個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及
相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管
理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處
理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知
宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、
使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持
續改善(本法施行細則第 12 條規定參照)。
三、次按本法第 12 條規定:「公務機關或非公務機關違反本法規定,致
個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通
知當事人。」揆其立法理由略以:當事人之個人資料遭受違法侵害,
往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或
非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵
害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話
、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等
),迅速通知當事人,讓其知曉。另同法施行細則第 22 條規定:「
本法第 12 條所稱適當方式通知,指即時以言詞、書面、電話、簡訊
、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之
方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護
,以網際網路、新聞媒體或其他適當公開方式為之。(第 1 項)依
本法第 12 條規定通知當事人,其內容應包括個人資料被侵害之事實
及已採取之因應措施。(第 2 項)」係課予公務機關或非公務機關
於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時,應
於查明後負有通知之義務;此與本法第 18 條之規範目的,在於指定
專人辦理個人資料之安全維護事項,二者之規範事項及目的並不相同
。是以,公務機關縱已依本法第 18 條規定辦理安全維護事項,惟仍
因違反本法規定,致個人資料遭竊取、洩漏、竄改或其他侵害之情事
者,應依本法第 12 條規定,立即查明事實並採取適當措施通知當事
人。
正 本:勞動部
副 本:本部資訊處(第 1 類)、本部法律事務司(4 份)