「個人資料保護法修正草案」,請審議案。

提案人
鄭麗文
鄭麗文
連署人
葉毓蘭
葉毓蘭
林文瑞
林文瑞
謝衣鳯
謝衣鳯
溫玉霞
溫玉霞
鄭正鈐
鄭正鈐
吳斯懷
吳斯懷
洪孟楷
洪孟楷
鄭天財 Sra Kacaw
鄭天財 Sra Kacaw
陳雪生
陳雪生
萬美玲
萬美玲
曾銘宗
曾銘宗
林思銘
林思銘
李德維
李德維
吳怡玎
吳怡玎
呂玉玲
呂玉玲
議案狀態
交付審查
提案委員
原始資料
misq

個人資料保護法修正草案對照表

修正條文 現行條文
第一章 總 則 第一章 總 則
本章章名未修正
第一條 為保障個人隱私權及資料自主權,規範個人資料之蒐集、處理、自由流通及促進合理利用,特制定本法。 第一條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
一、本條條文修正。 二、敘明保障個人隱私權及資料自主權為立法目的。 三、參考歐盟(General Data Protection Regulation, GDPR)關於保護個人資料處理與資料自由流通之規範。
第二條 為有效辦理個人資料保護之管理事項,政府應設立二級獨立機關,依法獨立行使職權。 個人資料保護整體資源之規劃及產業之輔導、獎勵,由行政院所屬機關依法辦理之。
一、本條條文新增。 二、參考歐盟GDPR第五十一條、第五十六條,設立獨立公務機關,專職處理個人資料保護法保護當事人個人資料基本權與自由之相關事宜。
第三條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、交易紀錄、生物特徵識別資訊、行為特徵、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、傳輸或以其他方式使之得以調整或組合、限制、刪除或銷毀,以及對個人資料任何形式之自動化處理,包括使用個人資料來評估與該當事人有關之個人特徵。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之本國或外國自然人、法人或其他團體。 九、當事人:指個人資料之本人。 十、資料控管者:單獨或與他人共同決定個人資料處理之目的與方法之公務機關及非公務機關。 十一、資料處理者:指受資料控管者委託處理個人資料之公務機關及非公務機關。 十二、資料接收者:指將個人資料向其揭露之公務機關及非公務機關。 十三、第三人:指當事人、資料控管者、資料處理者及在資料控管者或資料處理者直接授權下被授權處理個人資料之人以外之公務機關及非公務機關。 十四、主管機關:指依本法規定成立之獨立公務機關。 第二條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。
一、條次變更。 二、條文內容修正。 三、參考歐盟(GDPR第四條)。 四、「個人資料」係指有關識別或可得識別自然人(「資料主體」)之任何資訊;可得識別自然人係指得以直接或間接地識別該自然人,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別工具。「生物特徵識別資訊」係指透過特定技術處理所得關於當事人身體、生理或行為特徵而允許或確認其特定識別性之個人資料,例如臉部圖像或診斷資料。 五、「處理」係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀。另參酌GDPR對於「處理」之定義,其已涵蓋本法所定義之「利用」,故刪除「利用」。 六、有關「非公務機關」之範圍,明定包括本國及外國。 七、參考歐盟(GDPR第四條) 八、針對資料控管者、資料處理者、資料接收者、第三人、監理機關等加以定義,俾利符合歐盟適足性。 九、「控管者」係指單獨或與他人共同決定個人資料處理之目的與方法之自然人或法人、公務機關、局處或其他機構;依照歐盟法或會員國法決定處理之目的及方法,由歐盟法或會員國法律規定控管者或其認定之具體標的。 十、「處理者」係指代控管者處理個人資料之自然人或法人、公務機關、局處或其他機關。 十一、「接收者」係指個人資料被向其揭露之自然人或法人、公務機關、局處或其他機構,不問其是否為第三人。但依據歐盟法或會員國法律,在特定調查框架內可能接收個人資料之公務機關不應視為接收者;該等公務機關所為資料之處理,應依照其處理目的,遵守其所適用之資料保護規則。 十二、「第三人」係指資料主體、控管者、處理者及在控管者或處理者直接授權下被授權處理個人資料之人以外之自然人或法人、公務機關、局處或其他機構。 十三、「主管機關」係指會員國依第五十一條規定成立之獨立公務機關。
第四條 資料控制者於第八條、第十五條至第十六條及第十九條至第二十條下之義務,於委託資料處理者辦理之範圍內,由資料處理者負責。惟資料控制者如有蒐集或處理個人資料之行為者,於該部分行為範圍內,仍應符合本法第八條、第十五條至第十六條及第十九條至第二十條之規定。 資料控制者應於委託範圍內對資料處理者為適當之監督。
一、本條條文新增。 二、調整原第四條條文,因應定義之修正,調整文字架構。
第五條 公用事業、金融、電信及醫療等特許行業應優先完成個人資料開放予資料接收者,以促進資料流通與運用,並於本法修正施行後一年內完成之。 資料開放施行辦法及其他應遵行事項,由中央主管機關另定之。
一、本條條文新增。 二、參考澳洲消費者數據權利規則Consumer Data Right Rules,先由金融、電信、能源及醫療等重點產業分階段試行資料開放,並授權主管機關訂定執行準則。
第二章 資料處理原則 第二章 公務機關對個人資料之蒐集、處理及利用
新增本章章名。
第六條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,並提供適當及具體之保護措施,且應符合資料最少蒐集原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。 第三條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。
一、條次變更。 二、條文內容修正。 三、原第三條條文移至第七條、第八條、第九條、第十一條。 四、本條條文為原第五條內容之修正並挪至此。 五、參考歐盟(GDPR第五條)個人資料應: 甲、為資料主體為合法、公正及透明之處理(「合法性、公正性及透明度」); 乙、蒐集目的須特定、明確及合法,且不得為該等目的以外之進階處理;依照第八十九條第一項規定,為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理,不應視為不符合原始目的(「目的限制」);資料最少蒐集原則,是指資料蒐集應適當、相關且限於處理目的所必要者。
第三章 當事人之個人資料權利 第三章 非公務機關對個人資料之蒐集、處理及利用
修正本章章名。
第七條 (使用權) 當事人有權向資料控管者確認其個人資料之下列處理情形,並有權請求閱覽或製給複製本: 一、處理之目的。 二、個人資料之類別。 三、已揭露或將揭露之資料接收者。 四、個人資料預訂之儲存期間。 五、若個人資料非自當事人蒐集者,其蒐集來源。 如有下列情形者,不適用前項規定: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。 查詢或請求閱覽個人資料或製給複製本者,資料控管者得酌收必要成本費用。如當事人係以電子方式提出請求,則除當事人另有要求外,該資訊之提供應以電子方式為之。 第四條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
一、條次變更。 二、條文內容修正。 三、由原第三條條文擴充。 四、參考歐盟GDPR第十五條使用權(right of access)之內容。
第八條 (更正權) 當事人有權請求資料控管者更正或補充其個人資料,資料控管者不得無故拖延。
一、本條條文新增。 二、由原第三條條文擴充。 三、參考歐盟GDPR第十六條更正權之內容。
第九條 (刪除權/被遺忘權) 有下列情事者,當事人有權要求資料控管者刪除其個人資料,資料控管者不得無故拖延: 一、個人資料蒐集、處理目的完成或原因消滅。 二、個人資料之處理係依據當事人之同意,但當事人已撤回其同意,且該處理已無其他法律依據者。 三、當事人已依第四條之五規定拒絕處理,且該處理無其他優先適用之法律依據者。 四、個人資料遭違法處理者。 五、資料控管者依其他法規刪除個人資料者。 如有下列情形者,不適用前項規定: 一、為行使言論自由及保障重大公共利益。 二、其他法規另有規定者,從其規定。
一、本條條文新增。 二、由原第三條條文擴充。 三、參考歐盟GDPR第十七條刪除權/被遺忘權之內容。
第十條 (限制處理權) 有下列情形之一者,當事人有權限制資料控管者之處理: 一、當事人質疑其個人資料之正確性,而資料控管者處於驗證該個人資料正確性之合理期間。 二、如有違法處理個人資料之情形,且當事人拒絕刪除該個人資料。 當事人已依前項規定行使限制處理之權利者,資料控管者於取消處理之限制前,應通知當事人。
一、本條條文新增。 二、由原第三條條文擴充。 三、參考歐盟GDPR第十八條限制處理權之內容。
第十一條 (資料可攜權) 當事人有權要求資料控管者以符合當時實務一般通常使用及機器可讀之形式,提供其個人資料予當事人,及於一次性或於特定期間內(不得超過一年)接續性傳輸予當事人指定之第三人,包括但不限於資料接收者。 當事人行使前項權利時,有權令該個人資料由一資料控管者利用電子設備以連線方式,或符合主管機關規定之電子形式、規格及標準,直接傳輸予其他資料控管者。 當事人行使本條所定之權利時,資料控管者應無償辦理之。
一、本條條文新增。 二、由原第三條條文擴充。 三、參考歐盟GDPR第二十條資料可攜權之內容。
第十二條 (拒絕權) 當事人有權以顯有更值得保護之重大利益為理由,拒絕個人資料之處理。於此情形,資料控管者即應停止處理該個人資料。 資料控管者基於行銷目的所為之處理個人資料相關行為,當事人有權隨時拒絕之,資料控管者並應立即停止。 資料控管者最遲應於與當事人首次溝通時,向當事人明確告知其享有之前述權利。
一、本條條文新增。 二、原第十九條第二項及第二十條第二項、第三項條文擴充。 三、參考歐盟GDPR第二十一條拒絕權之內容。
第十三條 第七條、第八條、第九條、第十條、第十一條及第十二條保障之權利,不得預先拋棄或以特約限制之。
本條條文新增。
第四章 資料控管者及資料處理者之義務
新增本章章名。
第十四條 資料控管者之基本責任如下: 一、資料控管者應實施科技化之資料保護措施以實現資料保護原則,確保本法之遵循。 二、確保在預設的情況下,資料控管者僅於特定目的、必要限度及範圍內處理個人資料,確保資料控管者處理之個人資料數量、程度、儲存期間及其可使用性均受限制及保護。 三、遵守主管機關訂定之行為準則。 為使資料控管者遵守其基本責任,主管機關應定期審核資料控管者之資料保護措施、訂定資料控管者之行為準則,並得訂定資料控管者遵守本法之認證機制。 第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
一、條次變更。 二、本條條文修正。 三、原第五條,已改列為第三條,並增補文字。 四、參考歐盟GDPR第二十四條、第二十五條之內容,針對資料控管者及資料處理者之責任及義務加以明確規定,俾利符合歐盟適足性,保障當事人權益。
第十五條 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。 依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。 第六條 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。 依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
一、條次變更。 二、條文內容未修正。
第十六條 第二十一條第二款及第二十五條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。 第二十二條第七款、第十六條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。 資料控管者或資料處理者明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第二十一條第二款、第二十五條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實,應負舉證責任。 第七條 第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。 四、原條文內容之條次變更,配合修改條次文字。
第十七條 資料控管者或資料處理者依第二十一條或第二十五條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。 第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。 四、原條文內容之條次變更,配合修改條次文字。
第十八條 資料控管者或資料處理者依第二十一條或第二十五條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。 第九條 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。 四、原條文內容之條次變更,配合修改條次文字。
第十條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。 一、本條刪除。 二、本條當事人請求閱覽或製給複本之權利併入第七條使用權,故予以刪除。
第十一條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。 一、本條刪除。 二、配合第四條至第四條之五之新增,刪除本條。
第十九條 資料控管者或資料處理者違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 第十二條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十條 資料控管者或資料處理者受理當事人依第七條至第十一條規定之請求,應立即按其要求予以處理,至遲不得超過十五日;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。 第十三條 公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
一、條次變更。 二、本條條文修正。 三、配合第七條至第十一條之修正,明定資料控管者或資料處理者之處理期間。
第十四條 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。 一、本條條文刪除。 二、原第十四條,已改列為第七條第二項,並增補文字。
第二十一條 屬公務機關之資料控管者或資料處理者對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。 第十五條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十二條 屬公務機關之資料控管者或資料處理者對個人資料之利用,除第十五條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人同意。 第十六條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人同意。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十三條 屬公務機關之資料控管者或資料處理者應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 第十七條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十四條 屬公務機關之資料控管者或資料處理者保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 第十八條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十五條 屬非公務機關之資料控管者或資料處理者對個人資料之蒐集或處理,除第十五條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 八、對當事人權益無侵害。 資料控管者或資料處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 第十九條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十六條 屬非公務機關之資料控管者或資料處理者對個人資料之利用,除第十五條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人同意。 七、有利於當事人權益。 屬非公務機關之資料控管者或資料處理者依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 第二十條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人同意。 七、有利於當事人權益。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第二十七條 屬非公務機關一定規模,資料控管者或資料處理者保有個人資料檔案者,應依照風險程度設立個人資料保護長或專責處理人員,訂定並採行適當之個人資料保護政策、安全措施及資料紀錄保存,防止個人資料被竊取、竄改、毀損、滅失或洩漏。資料控管者所訂之個人資料保護政策並應符合第五條之規定。 主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 第一項之規模、風險程度,前項計畫、處理方法之標準及辦法,由主管機關定之。
一、本條條文新增。 二、原第二十七條內容調整至此,並擴充其內容。 三、參考歐盟GDPR第三十條、第三十二條、第三十七條之內容,要求資料控管者及處理者保存相關個人資料處理紀錄、訂定保護措施,並設立資料保護長或專責處理人員以確保相關責任之落實。
第五章 個人資料之國際傳輸 第五章 罰 則
本章章名新增。
第二十八條 個人資料涉及國際傳輸時,應確定接收個人資料之國家或地區為我國認定為符合充足程度保護及適足性要求之國家或地區,若資料接收者所屬國家或地區未能符合適足性要求,控制者或處理者應採取適當保護措施,始得進行跨境傳輸。 相關適足性要求及保護措施之認定,由主管機關另定之。 第二十一條 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
一、條次變更。 二、本條條文修正。 三、參考歐盟GDPR第四十四條、第四十五條、第四十六條之內容,賦予資料控管者和資料處理者在進行國際傳輸時,須對接收國家或地區進行充足程度保護及適足性要求之認定,且必要時須負擔採取適當保護措施之義務。另將判斷充足程度保護、適足性要求與適當保護程度之認定標準,待主管機關另行規定之。
第二十九條 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。 第二十二條 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
一、條次變更。 二、本條條文未修正。
第三十條 對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。 第二十三條 對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。
一、條次變更。 二、本條條文未修正。
第三十一條 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。 第二十四條 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。
一、條次變更。 二、本條條文未修正。
第三十二條 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。 第二十五條 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。
一、條次變更。 二、本條條文未修正。
第三十三條 中央目的事業主管機關或直轄市、縣(市)政府依第二十九條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。 第二十六條 中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第三十四條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。 第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
一、條次變更。 二、本條條文未修正。
第六章 損害賠償及團體訴訟 第四章 損害賠償及團體訴訟
章名向後順延。
第三十五條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。 第二十八條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
一、條次變更。 二、本條條文未修正。
第三十六條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第六項規定。 第二十九條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第六項規定。
一、條次變更。 二、本條條文未修正。
第三十七條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。 第三十條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
一、條次變更。 二、本條條文未修正。
第三十八條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。 第三十一條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。
一、條次變更。 二、本條條文未修正。
第三十九條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。 第三十二條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。
一、條次變更。 二、本條條文未修正。
第四十條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。 前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。 第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。 第三十三條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。 前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。 第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。
一、條次變更。 二、本條條文未修正。
第四十一條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。 第三十四條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。
一、條次變更。 二、本條條文未修正。
第四十二條 當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。 第三十五條 當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。
一、條次變更。 二、本條條文未修正。
第四十三條 各當事人於第四十一條第一項及第二項之損害賠償請求權,其時效應分別計算。 第三十六條 各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別計算。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第四十四條 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制,其效力不及於其他當事人。 第一項之限制,應於第四十一條第一項之文書內表明,或以書狀提出於法院。 第三十七條 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制,其效力不及於其他當事人。 第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法院。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第四十五條 當事人對於第四十一條訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。 財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。 第三十八條 當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。 財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第四十六條 財團法人或公益社團法人應將第四十一條訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。 提起第四十一條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。 第三十九條 財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第四十七條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。 第四十條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。
一、條次變更。 二、本條條文未修正。
第七章 罰 則 第五章 罰 則
章名向後順延。
第四十八條 意圖為自己或第三人不法之利益或損害他人之利益,而違反第十五條第一項、第二十一條、第二十二條、第二十四條、第二十六條第一項規定,或主管機關依第二十八條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 第四十一條 意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第四十九條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。 第四十二條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。
一、條次變更。 二、本條條文未修正。
第五十條 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。 第四十三條 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。
一、條次變更。 二、本條條文未修正。
第五十一條 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。 第四十四條 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。
一、條次變更。 二、本條條文未修正。
第五十二條 本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十二條之罪者,不在此限。 第四十五條 本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十二條之罪者,不在此限。
一、條次變更。 二、本條條文未修正。
第五十三條 犯本章之罪,其他法律有較重處罰規定者,從其規定。 第四十六條 犯本章之罪,其他法律有較重處罰規定者,從其規定。
一、條次變更。 二、本條條文未修正。
第五十四條 資料控管者或資料接收者有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第十五條第一項規定。 二、違反第二十五條規定。 三、違反第二十六條第一項規定。 四、違反中央目的事業主管機關依第二十八條規定限制國際傳輸之命令或處分。 第四十七條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。 四、原條文內容之條次變更,配合修改條次文字。
第五十五條 資料控管者或資料接收者有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰: 一、違反第十七條或第十八條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 五、無正當理由違反第二十二條規定者。 六、違反第二十六條、第二十七條之規定。 第四十八條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰: 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、條次變更。 二、本條條文修正。 三、配合第三條訂定資料控管者及處理者之定義,修改本條文字。 四、原條文內容之條次變更,配合修改條次文字。 五、新增對第二十七條、第二十九條、第三十三條、第三十四條之處罰。
第四十九條 非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。 一、本條刪除。 二、併入第四十八條第六款。
第五十六條 資料控管者或資料接收者之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。 第五十條 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
一、條次變更。 二、本條條文修正。 三、配合第二條訂定資料控管者及處理者之定義,修改本條文字。
第八章 附 則 第六章 附 則
章名向後順延。
第五十七條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。 第五十一條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。
一、條次變更。 二、本條條文未修正。
第五十八條 第二十九條至第三十三條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第四十一條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。 第五十二條 第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第五十九條 主管機關應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。 第五十三條 法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。
一、本條條文修正。 二、法規主管機關已不再是法務部,故做條文修正。
第六十條 本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處理或利用者,應於處理或利用前,依第十八條規定向當事人告知。 前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。 未依前二項規定告知而利用者,以違反第十八條規定論處。 第五十四條 本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處理或利用者,應於處理或利用前,依第九條規定向當事人告知。 前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。 未依前二項規定告知而利用者,以違反第九條規定論處。
一、條次變更。 二、本條條文修正。 三、原條文內容之條次變更,配合修改條次文字。
第六十一條 本法施行細則,由主管機關定之。 第五十五條 本法施行細則,由法務部定之。
一、條次變更。 二、本條條文修正。 三、法規主管機關已不再是法務部,故做條文修正。
第六十二條 本法施行日期,由行政院定之。 第五十六條 本法施行日期,由行政院定之。 現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。 前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。已辦理完成者,亦得申請退費。 前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
一、本條條文修正。 二、刪除第二項、第三項、第四項。 三、第二項生效條款已經完成,未避免新修正法律產生混淆故此刪除。 四、第三、四項為民國八十四年修法辦理相關退費規定,已逾公法向行政機關請求權五年上限,且原四十三條內容早已更動,為使法條簡潔,避免產生不必要誤解,故刪除相關條文。