「個人資料保護法部分條文修正草案」,請審議案。

提案人
林昶佐
林昶佐
連署人
高潞.以用.巴魕剌Kawlo.Iyun.Pacidal
高潞.以用.巴魕剌Kawlo.Iyun.Pacidal
鄭寶清
鄭寶清
陳明文
陳明文
鍾佳濱
鍾佳濱
蔡易餘
蔡易餘
劉建國
劉建國
許智傑
許智傑
蕭美琴
蕭美琴
施義芳
施義芳
吳思瑤
吳思瑤
呂孫綾
呂孫綾
林淑芬
林淑芬
吳琪銘
吳琪銘
徐永明
徐永明
鍾孔炤
鍾孔炤
議案狀態
交付審查
提案委員
原始資料
misq

個人資料保護法部分條文修正草案對照表

修正條文 現行條文
第二條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、線上識別碼及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。 第二條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。
網際網路相關科技發展迅速,為加強對於個人資料的保護,參酌歐盟一般資料保護規範(General Data Protection Regulation,GDPR),將線上辨識資料(Online identifier)納入個人資料定義。所謂線上識別碼依照GDPR的說明,指透過設備、應用程式、工具及通訊協定,諸如網際網路協定位址、瀏覽歷程記錄識別碼或其他識別工具,諸如無線射頻識別系統標籤,當事人可被連結到網路上識別碼。
第十四條之一 公務機關或非公務機關使個人資料儲存於雲端資料庫者,應公開揭露包含複本之儲存國別或地區於主管機關指定之網站及產品或服務之使用說明。 非公務機關於境外或大陸地區或港澳地區,有銷售貨品或提供服務者,適用前項規定。
一、本條新增。 二、基於公開透明的原則,公務機關或非公務機關,應主動揭露雲端儲存位置之國別或地區。
第十四條之二 當事人有權以有結構的、通常使用的、機器可讀的形式,接收其提供予公務機關或非公務機關之資料,並有權將之傳輸給其他公務機關或非公務機關者,而不受其提供個人資料之公務機關或非公務機關之限制: 一、以自動化方式處理者。 二、依本法合法蒐集、處理者。 前項符合公共利益執行職務或行使公權力而有必要為之處理者,不適用之。
一、本條新增。 二、為加強當事人對於個人資料的掌控,讓當事人可以自由移動其個人資料於不同服務提供者間。參酌歐盟GDPR的規定,納入資料可攜權(Right to data portability)。
第二十一條 非公務機關為國際傳輸個人資料至我國領域外,須符合下列情形之一者,方得為之: 一、擬傳輸地區經評估具備適當保護水平。 二、已提供適當保護措施。 三、當事人書面同意。 四、履行契約或依當事人要求,為締約前之必要措施。 五、基於重要公共利益之維護,或基於保護當事人之重要利益所必要。 六、行使或防禦法律上之請求權所必要。 七、依法辦理之登記作業,而向公眾提供資訊。 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。 符合前項之情形,該非公務機關應主動告知當事人,並說明該國或地區個人資料保護之評估及可能風險。 第二十一條 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、個人資料一旦透過國際傳輸至境外,對於當事人而言,境外資料處理之方式將可能成為風險,且主張權利將變得困難。參考歐盟GDPR的規定,資料管理者除有「告知國際傳輸之義務」外,需符合相關規定方允許國際傳輸。但目前台灣採取的方式卻是「原則允許、例外限制」,未主動要求非公務機關建立國際傳輸之相關保障。故參酌GDPR的規定,增訂本條文。 二、第一項第二款所謂「已提供適當保護措施」,按歐盟GDPR的規定,是指資料管理者訂有具拘束力之企業守則,或採用標準契約條款,或訂有經核准之行為守則取得資料保護認證,或取得資料保護標章及標誌。