發文字號:
個人資料保護委員會籌備處 114.03.07 個資籌法字第1140000195號
發文日期:
民國 114 年 03 月 07 日
要 旨:
非公務機關以電子郵件辦理消費爭議,未以密件副本方式而揭露其他消費
者電子郵件地址資料之行為,是否違反個人資料保護法第 27 條第 1 項
規定所稱「應採行適當之安全措施」,應就具體個案事實審酌各項具體措
施之內容是否達到足以防止個人資料被竊取、竄改、毀損、滅失或洩漏之
程度而定
主 旨:有關民眾陳情○○○○○有限公司疑涉違反個人資料保護法一案,復如說
明二至三,請查照。
說 明:一、復貴局 114 年 2 月 14 日北市文化文創字第 11430084992 號函
。
二、按個人資料保護法(下稱個資法)第 27 條第 1 項規定:「非公務
機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被
竊取、竄改、毀損、滅失或洩漏。」所稱「適當之安全措施」,依同
法施行細則第 12 條規定,係指非公務機關為防止個人資料被竊取、
竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前開措施得
包括「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利
用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及
教育訓練」等事項,並以與所欲達成之個人資料保護目的間,具有適
當比例為原則。倘非公務機關違反個資法第 27 條第 1 項者,依個
資法第 48 條第 2 項規定,由中央目的事業主管機關或直轄市、縣
(市)政府處新臺幣 2 萬元以上 200 萬元以下罰鍰,並令其限期
改正,屆期未改正者,按次處新臺幣 15 萬元以上 1500 萬元以下罰
鍰。查本案電子郵件未以密件副本方式而揭露消費者電子郵件地址資
料之行為,是否違反個資法第 27 條第 1 項「應採行適當之安全措
施」一節,仍應視個案中就上開事項所採行各項具體措施之內容,綜
合判斷是否達到足以防止個人資料被竊取、竄改、毀損、滅失或洩漏
之程度,惟此屬於具體個案事實之認定,建請貴局賡續本於職權調查
釐清。
三、另按個資法第 41 條規定:「意圖為自己或第三人不法之利益或損害
他人之利益,而違反第 6 條第 1 項、第 15 條、第 16 條、第 1
9 條、第 20 條第 1 項規定,或中央目的事業主管機關依第 21 條
限制國際傳輸之命令或處分,足生損害於他人者,處 5 年以下有期
徒刑,得併科新臺幣 100 萬元以下罰金。」查本案是否違反個資法
第 27 條第 1 項之安全維護義務,與個資法第 41 條之構成要件無
涉,至於相關行為人是否構成個資法第 41 條規定之犯罪,應以偵審
結果為準。
正 本:臺北市政府文化局