個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。 依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應 有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人 資料。

本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當 事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付 或向其為給付之行為。 本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者： 一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交 易之目的，所進行之接觸或磋商行為。 二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與 當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之 連繫行為。