個人資料保護法教戰守則

全民個資保衛時代來臨！

　　新版《個人資料保護法》101年10月1日正式上路，有別其前身《電腦處理個人資料保護法》，本法擴充了其保護範圍，不再限於電腦個人資料，適用對象也不僅止於原本的公務機關及八大行業的非公務機關；對於過去為人詬病的特種個人資料之保護、損害賠償機制之設計，亦有了大幅度的變革。針對想一探自身權益何在的民眾、組織內亟思推動個資安全保護措施卻不知從何入手的經理人、個資顧問、企業輔導專家……，眼前這本兼具法律解析與實務操作的最新教戰守則，將是您的不二之選！

作者簡介

呂錦峯

　　國立中興（台北）大學法律系法學士、法學碩士、中國政法大學經濟法學博士

　　經歷：台北市警局法律顧問、青年發展基金會法律服務團團長、台北市政府交通大隊法律顧問、中華青年法律服務協會副理事長、保成文教補習班講師、內湖、中山社區大學講師、中正紀念堂法律常識班講師、行政院大陸委員會台商張老師

　　現職：海灣國際法律事務所律師

　　著作：保險法新論、速解信託實務案例、勞退新制教戰大公開、經商中國人力資源Easy Know、個人資料保護法教戰守則

　　海灣國際法律事務所
　　Tel：+886-2-2562-7700
　　e-mail：lawrencelu888@yahoo.com.tw

謝持恆

　　現任：個資顧問、中華民國電腦稽核協會監事、資安人雜誌編輯顧問

　　曾任：永豐金控資訊安全主管、安侯建業會計師事務所副理、淡江大學講師、中華民國銀行公會資安小組委員

　　專業認證：BS 10012 LA國際個資管理系統主導稽核員考試及格、CISA國際電腦稽核師、CISM國際資訊安全經理人、CGEIT國際企業資訊治理師、CRISC國際資訊風險控制師認證、ISO 20000 Consultant資訊服務顧問師、ISO 27001 LA國際資訊安全管理系統主導稽核員考試及格、ISO 20000 LA資訊服務管理系統主導稽核員考試及格

第一章　本書簡介
壹、新舊個資法有何差別？
一、保護主體範圍擴大
二、適用主體
三、無論直接或間接蒐集個人資料，均需告知當事人
四、新增加團體訴訟的機制
五、調整民事、刑事及行政罰則
六、增修行為規範
貳、公務機關運用個人資料須知

參、非公務機關運用個人資料須知

第二章　個人資料保護法常見問題解析
第1條
Ｑ：《個人資料保護法》保障的範圍有哪些？

第2條
Ｑ：何謂「個人資料」？
Ｑ：如果不在《個人資料保護法》第2條所列的個人資料項目，如何判斷是否為個人資料？
Ｑ：何謂個人資料的「蒐集」？
Ｑ：何謂個人資料的「處理」？
Ｑ：何謂個人資料的「利用」？

第3條
Ｑ：當事人依《個人資料保護法》所擁有的基本權利為何？

第4條
Ｑ：如果委託其他單位蒐集、處理、利用個人資料，受託機關是否適用《個人資料保護法》？

第6條
Ｑ：何謂「特種個人資料」？
Ｑ：對於特種個人資料，有哪些限制？
Ｑ：特種個人資料在何種情況下可以蒐集、處理、利用？

第8條
Ｑ：直接蒐集個人資料時，應告知哪些事項？
Ｑ：哪些情形在直接蒐集個人資料時可以不用告知？

第9條
Ｑ：間接蒐集的個人資料，是否仍需要告知？
Ｑ：間接蒐集的個人資料，應告知的內容為何？
Ｑ：哪些情形在間接蒐集的個人資料可以免告知？

第10條
Ｑ：哪些情形可不依據當事人之請求，就蒐集的個人資料，答覆查詢、提供閱覽或製給複製本？

第11條
Ｑ：個人資料刪除的時機為何？
Ｑ：違反《個人資料保護法》規定所蒐集、處理、利用的個人資料，停用的時機為何？

第12條
Ｑ：如有發生個人資料事故時，是否需要通知當事人？

第13條
Ｑ：針對當事人請求就其蒐集之個人資料答覆查詢、提供閱覽或製給複製本的准駁時限為何？
Ｑ：針對當事人就其蒐集之個人資料要求刪除的准駁時限為何？

第14條
Ｑ：當事人要求查詢或請求閱覽個人資料或製給複製本，是否可以收費？

第15條
Ｑ：公務機關蒐集個人資料，有何限制？

第16條
Ｑ：公務機關對個人資料是否可以有特定目的外的利用？

第17條
Ｑ：公務機關需要公開的事項有哪些？

第18條
Ｑ：非公務機關對個人資料的蒐集或處理有什麼限制？

第19條
Ｑ：非公務機關對個人資料特定目的外的利用有何限制？
Ｑ：當事人如拒絕行銷時，應如何處理？
Ｑ：非公務機關於首次行銷時，是否要提供當事人拒絕接受行銷的方式？

第21條
Ｑ：有何種情形是非公務機關不能執行國際傳輸個人資料的？

第22條
Ｑ：中央目的主管機關是否具有行政檢查權？

第25條
Ｑ：非公務機關違反《個人資料保護法》時，中央目的事業主管機關會有何懲處？

第27條
Ｑ：非公務機關是否需要訂定個人資料檔案安全維護計畫？

第28條
Ｑ：民眾存於公務機關之個人資料外洩而遭不法蒐集、處理或利用時，公務機關有何民事責任？
Ｑ：請求損害賠償時，金額如何計算？
Ｑ：被害人人數眾多時，賠償金額有無上限？每人的下限為何？
Ｑ：被害人所受非財產上之損害賠償請求權可否讓與或繼承？

第29條
Ｑ：民眾存於非公務機關之個人資料外洩而遭不法蒐集、處理或利用時，非公務機關有何責任？如何求償？

第30條、第36條
Ｑ：《個人資料保護法》中損害賠償請求權之時效為何？

團體訴訟之情形，時效又如何計算？
第31條
Ｑ：《個人資料保護法》之損害賠償，除本法規定外，所適用之法律規定為何？

第33條
Ｑ：依《個人資料保護法》規定，對公務或非公務機關提起損害賠償之訴，由何法院管轄？

第32條、第40條
Ｑ：基於同一原因事實造成多數當事人權利受侵害之事件，依《個人資料保護法》規定可否進行團體訴訟？如何進行？

第32條
Ｑ：依《個人資料保護法》提起團體訴訟之財團法人或公益社團法人須具備何種資格？

第34條
Ｑ：已授權財團法人或公益社團法人提起訴訟後，是否可對前述法人撤回授權？
Ｑ：同一事件亦受有損害但尚未參與團體訴訟之當事人，是否可再加入已經開始進行之團體訴訟？
Ｑ：如未依本法規定參加團體訴訟之當事人，可否自行提起訴訟？
Ｑ：當事人可透過何種管道查閱法院曉示起訴之公告？

第35條
Ｑ：當事人撤回訴訟實施權之授與，效果為何？
Ｑ：起訴後，若因部分當事人撤回訴訟實施權之授與，導致團體訴訟不足二十人，訴訟是否繼續進行？

第37條
Ｑ：財團法人或公益社團法人被授與訴訟實施權後，有何權利與限制？

第38條
Ｑ：團體訴訟經判決後，若有個別當事人對第一審結果不滿意，可否自行提起上訴？

第39條
Ｑ：團體訴訟經判決後，財團法人或公益社團法人如何分配所得賠償？可否請求報酬？

第41條、第47條
Ｑ：違反《個人資料保護法》第6條第1項特種資料不得蒐集、處理或利用之規定，有何刑事上責任？是否有行政罰鍰之規定？
Ｑ：非公務機關違反《個人資料保護法》第19條蒐集、處理個人資料應有特定目的之規定，有何刑事上責任？是否有行政罰鍰之規定？
Ｑ：非公務機關違反《個人資料保護法》僅得於第20條第1項規定各款情形而為特定目的外利用個人資料，有何刑事上責任？是否有行政罰鍰之規定？
Ｑ：非公務機關違反中央目的事業主管機關依《個人資料保護法》第21條規定限制國際傳輸之命令或處分，有何刑事上責任？是否有行政罰鍰之規定？

第41條
Ｑ：公務機關違反《個人資料保護法》第15條蒐集、處理個人資料之規定，或違反第16條利用個人資料之規定，有何刑事上責任？.............................................47

第42條
Ｑ：犯《個人資料保護法》第42條非法妨害個人資料檔案正確之罪，刑責為何？

第43條
Ｑ：中華民國人民在境外犯本法之罪時，是否適用本法？

第44條
Ｑ：公務員犯《個人資料保護法》中之罪，是否加重其刑責？

第45條
Ｑ：本法之罪是否屬告訴乃論之罪？

第46條
Ｑ：犯本章之罪，如其他法律亦同時有處罰規定，如何論其刑責輕重？

第48條、第49條
Ｑ：非公務機關違反哪些《個人資料保護法》規定須受新台幣二萬元至二十萬元之行政罰？

第50條
Ｑ：若公司、行號因違反本法而受行政罰鍰，則代表人是否亦須受罰？

第51條
Ｑ：基於私人社交活動、家庭活動之目的蒐集、處理或利用個人資料，是否適用《個人資料保護法》？
Ｑ：在公開場所或公開活動中所蒐集、處理或利用之個人資料，是否適用《個人資料保護法》？
Ｑ：在中華民國以外的地方蒐集、處理或利用個人資料，有無本法之適用？

第52條
Ｑ：中央目的事業主管機關或直轄市、縣（市）政府依本法第22條至第26條規定執行檢查、扣留或複製等權限時，可否委任或委託他人辦理？

第53條
Ｑ：《個人資料保護法》中所定之特定目的及個人資料類別，由何政府機構訂定？

第54條
Ｑ：如果是在本法修正施行前已間接蒐集之個人資料，應如何適用本法第9條有關告知義務之規定？

第56條
Ｑ：本法修正草案已於民國99年5月26日經總統公布，請問何時施行？
Ｑ：依舊法須登記並發給執照之非公務機關，是否仍須依本法登記並發給執照後，始得就個人資料為蒐集、電腦處理或國際傳遞及利用？

第三章　個人資料保護法案例解析
1 為何要制定《個人資料保護法》？
2 企業營業資料是否為《個人資料保護法》的保護對象？
3 委託他人蒐集、處理或利用個人資料時，當事人應向誰行使權利？
4 個人資料之蒐集、處理或利用與比例原則的關係為何？
5 醫療機構可否將健檢資料提供予其他機關？
6 保險業如何蒐集、處理或利用客戶的病歷等個人資料？
7 向當事人蒐集個人資料時之告知義務為何？
8 蒐集非由當事人提供之個人資料時之告知義務為何？
9 當事人對於自己的個人資料可否向蒐集者請求製給複製本？
10 當事人可否對個人資料蒐集者請求更正或補充？
11 民眾可否要求公務機關停止處理或利用個人資料？
12 當事人提供資料之特定目的消失時，可否請求蒐集者停止利用個人資料？
13 醫院誤以為民眾有法定傳染病而通知主管機關後發現錯誤時，是否負有通知主管機關的義務？
14 客戶個人資料洩露後，蒐集機關是否負有通知當事人的義務？
15 公務機關合法蒐集、處理個人資料之要件？
16 公務機關可否將所蒐集民眾之個人資料提供學術使用？
17 公務機關如何履行個人資料的安全維護義務？
18 公司徵聘員工時，可否要求應徵者填具「性取向」等隱私資訊？
19 醫院的捐血中心可否因救急而將個人資料提供給其他醫院？
20 人肉搜索是否違反《個人資料保護法》？
21 銀行可否利用行內所蒐集之客戶開戶資料向個別客戶行銷理財產品？
22 公司將客戶資料作跨國傳輸，是否會受到限制？
23 主管機關如何監管個人資料的蒐集、處理及利用？
24 個人資料洩露後，公務機關應負之民事責任為何？
25 因電腦遭駭導致客戶資料洩漏時，公司為免除其民事責任，應負何舉證義務？
26 個人資料洩露後，非公務機關應負之民事與行政責任為何？
27 個人資料受侵害的當事人如何進行團體訴訟？
28 民眾依《個人資料保護法》請求損害賠償時，有無消滅時效的限制？
29 非公務機關違反《個人資料保護法》時，代表人是否會同受行政罰？
30 非法變更個人資料時，依《個人資料保護法》規定該當何罪？
31 自然人為個人目的而蒐集、處理個人資料時，是否適用《個人資料保護法》？
32 蒐集機關在本法修正施行前所取得非由當事人提供之個人資料，應如何履行告知義務？

第四章　組織內如何落實個人資料保護法？
壹、何謂「個人資料安全維護計畫」？

貳、簡介「個資生命週期」
一、蒐集
二、產生
三、使用
四、儲存
五、傳送
六、銷毀

參、如何建置個資管理組織？
一、所要執行的工作
二、所要發布的規章制度

肆、界定個人資料之範圍
伍、個人資料之風險評估與管理
一、100%安全？
二、分階段的三種「控制」
三、風險評估的方法
四、如何進行風險控制？

陸、個資事故之預防、通報及應變機制

柒、個人資料蒐集、處理及利用之程序

捌、資料安全及人員管理
一、任用以前
二、任用期間
三、離職以後

玖、認知宣導與教育訓練

拾、資料安全稽核機制
一、確認稽核目的和範圍
二、稽核計畫準備
三、執行稽核階段
四、整理工作底稿階段
五、撰寫稽核報告階段

拾壹、使用紀錄軌跡資料及證據的保存
一、身分鑑別與授權管理
二、資料安全
三、與資訊環境相關

拾貳、個人資料安全維護之整體持續改善
一、規劃（Plan）
二、執行（Do）
三、檢查（Check）
四、行動（Act）

附　錄
電腦處理個人資料保護法修正條文對照表
個人資料保護法施行細則