「個人資料保護法部分條文修正草案」,請審議案。
- 提案人
-
李貴敏 
陳鎮湘 
陳碧涵 
廖正井 
王育敏 
江惠貞 
紀國棟 
蔡錦隆 - 連署人
-
詹凱臣 
羅明才 
陳淑慧 
吳育仁 
蔣乃辛 
邱文彥 
潘維剛 
林正二 
張慶忠 
蘇清泉 
呂學樟 
孔文吉 
羅淑蕾 
王進士 
林德福 
徐少萍 
林鴻池 
李鴻鈞 
呂玉玲 - 議案狀態
- 審查完畢
- 提案委員
- 原始資料
- misq
個人資料保護法部分條文修正草案對照表
| 修正條文 | 現行條文 |
|---|---|
| 第六條 有關病歷、醫療、基因、性生活、健康檢查之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務、非公務機關履行法定義務所必要或應公務機關協助執行法定職務之要求,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且該資料業經提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人書面同意且在其限定之範圍內。 有關犯罪前科之個人資料,除有前項所列各款情形之一或為維護社會秩序或增進公共利益所必要者外,不得蒐集、處理或利用。 依第一項但書及前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中第一項第五款之書面同意,準用第七條規定以書面為之。 | 第六條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。 |
一、病歷乃屬醫療個人資料內涵之一,未免爭議,爰增列如第一項本文。
二、依現行法之規定,非公務機關不得應公務機關因執行法定職務之要求而協助蒐集、處理或利用敏感性個資。可能致公務機關無法有效執行法定職務,爰修正第一項第二款。
三、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究必要,經常有蒐集、處理或利用特種資料之需求,如當事人資料經過匿名化處理,或其公布揭露方式無從再識別特定當事人者,較無侵害個人隱私權益之虞。基於資料之合理利用,促進學術研究發展,自得允許之,爰修正第一項第四款。
四、又該款蒐集、處理或利用特種個人資料之程序如已無從識別當事人,則公務機關得以行政規則訂定之。至於學術研究機構則得由其中央目的事業主管機關依本法第二十七條第二項規定,指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法辦理,而無另行訂定一定程序之授權辦法之必要,爰刪除現行公布條文第二項規定。
五、為保障個人資料當事人之「個人自主控制個人資料之資訊隱私權」(司法院釋字六○三號解釋參照),使當事人對其個人資料之蒐集、處理或利用有同意權,爰參酌歐盟2012年「一般資料保護規則」草案第九條規定,增訂第一項第五款規定。另相對於一般個資,特種個資之性質更具敏感性,故規定當事人對於其特種個資之蒐集、處理或利用之同意須以書面為之,以求慎重。
六、「犯罪前科」雖亦為敏感性個人資料,而與個人隱私權益相關,惟犯罪前科與公共利益及社會治安具有高度關聯性,於符合憲法第二十三條規定之限度內,得以法律或法律明確授權之命令加以限制(司法院釋字第五八四號解釋參照)。現行條文未設有得基於「維護社會秩序或公共利益所必要」之蒐集、處理或利用「犯罪前科」之規定,則無論在查證公職選舉候選人是否受消極資格限制,或企業為人事行政管理及評估應徵者所應徵職位之合適性時,將無從獲得上開資料,而使公共利益及整體社會治安受到影響。爰參酌歐盟2012年「一般資料保護規則」草案第九條規定,增訂第二項規定。
七、為免誤解依第一項但書及第二項規定蒐集特種資料時無需向當事人告知,爰增訂第二項明定特種資料關於告知之規定,應準用本法第八條、第九條規定。另第一項但書第五款之書面同意,應準用第七條規定並以書面為之,以免爭議。 |
|
| 第七條 第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。 蒐集者就本法所稱經當事人同意之事實,負舉證責任。 非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十九條第一項第五款之規定表示同意。 | 第七條 第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。 |
一、配合第十九條第一項第五款對於當事人「同意」方式之放寬,爰予修正。
二、為保障當事人權利,並配合修正放寬非公務機關之強制書面同意要求。於當事人是否同意之事實認定發生爭執時,均應明文由蒐集、處理或利用之公務機關或非公務機關負擔舉證責任,爰仿歐盟2012年「一般資料保護規則(General
Data Protection Regulation)」草案第七條第一點之規定,而新增第三項之規定。
三、若蒐集或處理者明確告知當事人法定告知事項,當事人如未明示拒絕蒐集其個人資料,惟仍提供其個人資料之行為,應認為當事人已同意蒐集或處理其個人資料,亦能減輕現行實務上非公務機關仍須另行取得當事人同意之行政作業,爰增訂第四項。 |
|
| 第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定免為告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的對當事人有利或無不利之影響。 | 第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。 |
一、新增第二項第六款。
二、由於個人資料保護範圍甚廣,而蒐集目的各異,除有為公務機關或非公務機關自身利益而為蒐集之目的外,尚有公務機關或非公務機關為當事人之利益,所為福利措施或單純好意施惠行為。例如:機關要求填寫緊急聯絡人以因應當事人緊急狀況之發生;為提供員工免費通勤接駁車,而要求提供住址及聯絡方式等資訊;蒐集員工生日或到職日等資訊,為其舉辦慶祝活動。若此時加諸於蒐集者過多義務,則勢將增加蒐集者提供福利措施之成本,並降低提供的意願,於當事人反而不利。有鑑於此種非基於營利目的但對當事人有利或無不利影響之情形,爰增訂第二項第六款規定。 |
|
| 第十五條 公務機關對個人資料之蒐集或處理,除第六條第一項或第二項所規定資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。 | 第十五條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。 |
一、配合第六條將有關犯罪前科之蒐集、處理或利用規定移列至第二項而酌為文字修正。
二、配合第七條之修正,而放寬「同意」之方式。 |
|
| 第十六條 公務機關對個人資料之利用,除第六條第一項或第二項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人同意。 | 第十六條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。 |
一、配合第六條將有關犯罪前科之蒐集、處理或利用規定移列至第二項而酌為文字修正。
二、配合第七條之修正,而放寬「同意」之方式。 |
|
| 第十九條 非公務機關對個人資料之蒐集或處理,除第六條第一項或第二項所規定資料外,應有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意者。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 八、對當事人權益無侵害。 九、內部非營利活動之用。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 | 第十九條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 |
一、配合第六條將有關犯罪前科之蒐集、處理或利用規定移列至第二項而酌為文字修正。
二、配合第七條之修正,而放寬「同意」之方式。
三、為公益之目的而有處理或利用個人資料時,應限於必要之範圍,爰酌為文字修正。
四、查現行公務機關依第十五條第三款規定於「蒐集」當事人之個人資料時,得於特定目的及「對當事人權益無侵害」之情形下,合法蒐集當事人之個人資料。惟非公務機關卻無相同規定可資適用,致實務上非公務機關於特定情形下欲蒐集個人資料反成窒礙難行,例如:要求受雇者提供前雇主之資料以供錄取考量;要求員工填寫於同公司任職親友相關個資,以落實員工間利益迴避政策等情。上述於當事人權益無侵害,甚至有利之情形,目前實務往往須另行取得當事人書面同意,不僅造成當事人困擾,亦造成各機關沈重之行政作業負擔,爰增訂第一項第八款規定,以解決此一問題。
五、非公務機關與自然人相同,皆有為了單純機關內非營利業務(如:員工通勤接駁車、緊急聯絡人、寄送年節賀卡予客戶等)、內部活動(如:辦理員工旅遊報名、製作通訊錄)等目的而蒐集、處理或利用個人資料之需求。若此些目的不具營利性質,卻加以限制,實已造成目前公務機關及非公務機關行政運作諸多困難,爰增列第一項第九款之規定。 |
|
| 第二十條 非公務機關對個人資料之利用,除第六條第一項或第二項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人同意。 七、有利於當事人權益。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 | 第二十條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 |
一、配合第六條將有關犯罪前科之蒐集、處理或利用規定移列至第二項而酌為文字修正。
二、為公益之目的而為特定目的外之利用時,應限於必要之範圍,爰酌為文字修正。
三、若特定目的外利用有利於當事人權益者,應可為特定目的以外之利用。 |
|
| 第四十一條 意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第二項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 | 第四十一條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 |
一、無不法意圖而違反本法相關規定,原則以民事損害賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法之利益或損害他人之利益而違反本法相關規定,仍有以刑罰處罰之必要。
二、配合第六條將有關犯罪前科之蒐集、處理或利用規定移列至第二項,酌為文字修正。 |
|
| 第四十七條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第六條第一項或第二項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。 | 第四十七條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。 |
配合修正條文將有關犯罪前科之蒐集、處理或利用規定移列至第六條第二項,酌為文字修正。 |
|
| 第五十三條 法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。 | 第五十三條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。 |
一、現行條文規定「由法務部會同中事業主管機關指定之」,依其文義似要求公務機關及非公務機關必須依照法務部所訂定之特定目的及個人資料類別進行選擇。
二、以特定目的而言,法務部雖有訂定182項,但除無法涵蓋所有的業務活動外,各項目間是否有重覆之意義存在恐亦有疑問,因此,在實務作業上即產生要如何選擇特定目的之問題,而已影響到正常之社會、商業活動進行。而公務機關或非公務機關對其為何蒐集個人資料之目的本應自知最深,只要可以表明其蒐集的目的,實無必要要求公務機關或非公務機關必須依法務部所訂的特定目的進行選擇。
三、依法務部2012/12/26於立法院司法及法制委員會中解釋,其所訂之特定目的及個人資料類別係供公務機關及非公務機關參考使用,爰修正本條條文,以茲明確。 |
|
| 第五十四條 中華民國一百零一年十月一日修正公布之條文施行前,非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,得於首次利用時併同為之,但最遲應於本法○年○月○日修正之條文施行之日起三年內完成告知或刪除尚未依法告知之個人資料。 未依前項規定告知而利用者,以違反第九條規定論處。 未依第一項規定期限內完成告知且未刪除尚未依法告知之個人資料者,以違反第十一條第四項規定論處。 | 第五十四條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。 |
一、現行條文規定蒐集者限期告知個人資料當事人本法所定事項,係為使當事人瞭解其個人資料被掌握之情形。目前通訊科技發達,蒐集者得透過電話、簡訊或電子郵件等方式進行告知,其成本已較過往大幅降低。但為避免增加民眾過重之負擔,爰參照第九條之規定,放寬於首次利用時併同告知,以適度減輕蒐集者執行告知義務之負擔。惟為避免蒐集者長期持有非由當事人提供之個資卻未為告知,以致當事人無從得知其個人資料已遭蒐集,爰規定蒐集者至遲仍應於三年內完成告知,否則應將個資逕予刪除。
二、配合第一項之修正,爰增訂第二項明定未於期限內完成告知且未依法刪除者,依違反第十一條第四項規定論處。 |
|