個人資料保護法規及參考資料彙編ed3

個人資料保護法規
及參考資料彙編
國家發展委員會編印
中華民國 109 年 11 月
例言
個人資料保護法(以下簡稱個資法)及其施行細則於 108 年 1
月 10 日公告變更管轄機關為本會。本彙編於本次(第 3 版)之修訂
，除承襲法務部第 2 版之內容外，新增本會於 108 年重新英譯之
個資法及其施行細則全文、收錄本會挑選截至 109 年 11 月本會
因應外界詢問作出相關函釋計 18 則，以及就個資法問答酌為調
整、刪除修法過渡時期相關問答等，以供各界人士參考。
國家發展委員會謹誌
109 年 11 月
目錄
壹、個人資料保護法 ......................................................................... 1
貳、個人資料保護法修正條文對照表 ........................................... 16
參、個人資料保護法英譯 ............................................................. 128
肆、個人資料保護法施行細則 ..................................................... 149
伍、個人資料保護法施行細則修正條文對照表 ........................ 156
陸、個人資料保護法施行細則英譯 ............................................. 206
柒、個人資料保護法及同法施行細則相關條文對照表 ............ 215
捌、本會發布之函釋 ..................................................................... 239
玖、個人資料保護法之特定目的及個人資料之類別 ................ 261
拾、個人資料保護法問答 ............................................................. 273

壹、個人資料保護法
中華民國 99 年 5 月 26 日總統華總一義字第 09900125121 號令修正公布名

稱及全文 56 條；施行日期，由行政院定之，但現行條文第 19～22、43
條之刪除，自公布日施行（原名稱：電腦處理個人資料保護法）
中華民國 101 年 9 月 21 日行政院院臺法字第 1010056845 號令發布除第 6
、54 條條文外，其餘條文定自 101 年 10 月 1 日施行
中華民國 104 年 12 月 30 日總統華總一義字第 10400152861 號令修正公布
第 6～8、11、15、16、19、20、41、45、53、54 條條文；施行日期，由
行政院定之
中華民國 105 年 2 月 25 日行政院院臺法字第 1050154280 號令發布定自
105 年 3 月 15 日施行
中華民國 108 年 1 月 10 日法務部法律字第 10803500010 號、國家發展委
員會發法字第 1080080004A 號會銜公告第 53 條、第 55 條所列屬「法務部
」之權責事項，改由「國家發展委員會」管轄
第一章總則
第 1 條(立法目的)
為規範個人資料之蒐集、處理及利用，以避免人格權受侵害
，並促進個人資料之合理利用，特制定本法。
第 2 條(用詞定義)
本法用詞，定義如下：
一、個人資料：指自然人之姓名、出生年月日、國民身分證統一
編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、
病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方
式、財務情況、社會活動及其他得以直接或間接方式識別該
個人之資料。
二、個人資料檔案：指依系統建立而得以自動化機器或其他非自
動化方式檢索、整理之個人資料之集合。
三、蒐集：指以任何方式取得個人資料。
四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入
、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內
部傳送。
五、利用：指將蒐集之個人資料為處理以外之使用。
六、國際傳輸：指將個人資料作跨國（境）之處理或利用。
1
1
七、公務機關：指依法行使公權力之中央或地方機關或行政法
人。
八、非公務機關：指前款以外之自然人、法人或其他團體。
九、當事人：指個人資料之本人。
第 3 條(個人資料當事人之權利)
當事人就其個人資料依本法規定行使之下列權利，不得預先
拋棄或以特約限制之：
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第 4 條(視同委託機關)
受公務機關或非公務機關委託蒐集、處理或利用個人資料者
，於本法適用範圍內，視同委託機關。
第 5 條(蒐集、處理及利用之原則)
個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠
實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集
之目的具有正當合理之關聯。
第 6 條(特種個人資料之蒐集、處理及利用)
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個
人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此
限：
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍
內，且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的
，為統計或學術研究而有必要，且資料經過提供者處理後或
經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必
要範圍內，且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律
2
另有限制不得僅依當事人書面同意蒐集、處理或利用，或其
同意違反其意願者，不在此限。
依前項規定蒐集、處理或利用個人資料，準用第八條、第九
條規定；其中前項第六款之書面同意，準用第七條第一項、第二
項及第四項規定，並以書面為之。
第 7 條(當事人同意)
第十五條第二款及第十九條第一項第五款所稱同意，指當事
人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意，指當事
人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與
否對其權益之影響後，單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應
告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推
定當事人已依第十五條第二款、第十九條第一項第五款之規定表
示同意。
蒐集者就本法所稱經當事人同意之事實，應負舉證責任。
第 8 條(直接蒐集個人資料之告知義務)
公務機關或非公務機關依第十五條或第十九條規定向當事人
蒐集個人資料時，應明確告知當事人下列事項：
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時，不提供將對其權益之影
響。
有下列情形之一者，得免為前項之告知：
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行
法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之
3
3
影響。
第 9 條(間接蒐集個人資料之告知義務)
公務機關或非公務機關依第十五條或第十九條規定蒐集非由
當事人提供之個人資料，應於處理或利用前，向當事人告知個人
資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者，得免為前項之告知：
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要，且該資料
須經提供者處理後或蒐集者依其揭露方式，無從識別特定當
事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知，得於首次對當事人為利用時併同為之。
第 10 條(個人資料之答覆查詢、提供閱覽或製給複製本)
公務機關或非公務機關應依當事人之請求，就其蒐集之個人
資料，答覆查詢、提供閱覽或製給複製本。但有下列情形之一者
，不在此限：
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家
重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
第 11 條(個人資料更正、補充刪除、停止處理或利用)
公務機關或非公務機關應維護個人資料之正確，並應主動或
依當事人之請求更正或補充之。
個人資料正確性有爭議者，應主動或依當事人之請求停止處
理或利用。但因執行職務或業務所必須，或經當事人書面同意者，
並經註明其爭議者，不在此限。
個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當
事人之請求，刪除、停止處理或利用該個人資料。但因執行職務
或業務所必須或經當事人書面同意，不在此限。
違反本法規定蒐集、處理或利用個人資料者，應主動或依當
事人之請求，刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由，未為更正或補充
4
4
之個人資料，應於更正或補充後，通知曾提供利用之對象。
第 12 條(個人資料遭違法侵害之通知)
公務機關或非公務機關違反本法規定，致個人資料被竊取、
洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。
第 13 條(受理當事人請求之處理期間)
公務機關或非公務機關受理當事人依第十條規定之請求，應
於十五日內，為准駁之決定；必要時，得予延長，延長之期間不
得逾十五日，並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求，
應於三十日內，為准駁之決定；必要時，得予延長，延長之期間
不得逾三十日，並應將其原因以書面通知請求人。
第 14 條(使用者付費)
查詢或請求閱覽個人資料或製給複製本者，公務機關或非公
務機關得酌收必要成本費用。
第二章公務機關對個人資料之蒐集、處理及利用
第 15 條(公務機關蒐集或處理個人資料之要件)
公務機關對個人資料之蒐集或處理，除第六條第一項所規定
資料外，應有特定目的，並符合下列情形之一者：
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。
第 16 條(公務機關利用個人資料之要件)
公務機關對個人資料之利用，除第六條第一項所規定資料外
，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相
符。但有下列情形之一者，得為特定目的外之利用：
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而
有必要，且資料經過提供者處理後或經蒐集者依其揭露方式
無從識別特定之當事人。
5
六、有利於當事人權益。
七、經當事人同意。
第 17 條(公務機關公開供查閱事項)
公務機關應將下列事項公開於電腦網站，或以其他適當方式
供公眾查閱；其有變更者，亦同：
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
第 18 條(公務機關個人資料檔案之安全維護)
公務機關保有個人資料檔案者，應指定專人辦理安全維護事
項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第三章非公務機關對個人資料之蒐集、處理及利用
第 19 條(非公務機關蒐集或處理個人資料之要件)
非公務機關對個人資料之蒐集或處理，除第六條第一項所規
定資料外，應有特定目的，並符合下列情形之一者：
二、與當事人有契約或類似契約之關係，且已採取適當之安全措
施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要，且
資料經過提供者處理後或經蒐集者依其揭露方式無從識別特
定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止
處理或利用，顯有更值得保護之重大利益者，不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁
止對該資料之處理或利用時，應主動或依當事人之請求，刪除、
停止處理或利用該個人資料。
第 20 條(非公務機關利用個人資料之要件)
6
非公務機關對個人資料之利用，除第六條第一項所規定資料
外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者
，得為特定目的外之利用：
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而
有必要，且資料經過提供者處理後或經蒐集者依其揭露方式
無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者，當事人表示拒
絕接受行銷時，應即停止利用其個人資料行銷。
非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷
之方式，並支付所需費用。
第 21 條(非公務機關為國際傳輸個人資料之限制)
非公務機關為國際傳輸個人資料，而有下列情形之一者，中
央目的事業主管機關得限制之：
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規，致有損當事人
權益之虞。
四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。
第 22 條(行政監督之權責及保密義務)
中央目的事業主管機關或直轄市、縣（市）政府為執行資料
檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例
行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶
執行職務證明文件，進入檢查，並得命相關人員為必要之說明、
配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣（市）政府為前項檢查
時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製
之。對於應扣留或複製之物，得要求其所有人、持有人或保管人
提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，
7
7
得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣（市）政府為第一項檢
查時，得率同資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分，非公務機關及其
相關人員不得規避、妨礙或拒絕。
參與檢查之人員，因檢查而知悉他人資料者，負保密義務。
第 23 條(扣留物或複製物之標示、保管及發還)
對於前條第二項扣留物或複製物，應加封緘或其他標識，並
為適當之處置；其不便搬運或保管者，得命人看守或交由所有人
或其他適當之人保管。
扣留物或複製物已無留存之必要，或決定不予處罰或未為沒
入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在
此限。
第 24 條(不服聲明異議之救濟)
非公務機關、物之所有人、持有人、保管人或利害關係人對
前二條之要求、強制、扣留或複製行為不服者，得向中央目的事
業主管機關或直轄市、縣（市）政府聲明異議。
前項聲明異議，中央目的事業主管機關或直轄市、縣（市）
政府認為有理由者，應立即停止或變更其行為；認為無理由者，
得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製
作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣（市）政府前項決
定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。
但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨
對第一項之行為逕行提起行政訴訟。
第 25 條(違反本法規定之處分)
非公務機關有違反本法規定之情事者，中央目的事業主管機
關或直轄市、縣（市）政府除依本法規定裁處罰鍰外，並得為下
列處分：
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形，及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣（市）政府為前項處分
8
8
時，應於防制違反本法規定情事之必要範圍內，採取對該非公務
機關權益損害最少之方法為之。
第 26 條(公布檢查結果)
中央目的事業主管機關或直轄市、縣（市）政府依第二十二
條規定檢查後，未發現有違反本法規定之情事者，經該非公務機
關同意後，得公布檢查結果。
第 27 條(非公務機關個人資料檔案之安全維護)
非公務機關保有個人資料檔案者，應採行適當之安全措施，
防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案
安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法，由中央目的
事業主管機關定之。
第四章損害賠償及團體訴訟
第 28 條(公務機關違法之損害賠償)
公務機關違反本法規定，致個人資料遭不法蒐集、處理、利
用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、
事變或其他不可抗力所致者，不在此限。
被害人雖非財產上之損害，亦得請求賠償相當之金額；其名
譽被侵害者，並得請求為回復名譽之適當處分。
依前二項情形，如被害人不易或不能證明其實際損害額時，
得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬
元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件，經當
事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但
因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為
限。
同一原因事實造成之損害總額逾前項金額時，被害人所受賠
償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百
元之限制。
第二項請求權，不得讓與或繼承。但以金額賠償之請求權已
依契約承諾或已起訴者，不在此限。
第 29 條(非公務機關違法之損害賠償)
9
9
非公務機關違反本法規定，致個人資料遭不法蒐集、處理、
利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無
故意或過失者，不在此限。
依前項規定請求賠償者，適用前條第二項至第六項規定。
第 30 條(損害賠償請求權時效)
損害賠償請求權，自請求權人知有損害及賠償義務人時起，
因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。
第 31 條(損害賠償之適用規定)
損害賠償，除依本法規定外，公務機關適用國家賠償法之規
定，非公務機關適用民法之規定。
第 32 條(團體訴訟要件)
依本章規定提起訴訟之財團法人或公益社團法人，應符合下
列要件：
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社
員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
第 33 條(損害賠償訴訟之管轄權)
依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關
所在地之地方法院管轄。對於非公務機關提起者，專屬其主事務
所、主營業所或住所地之地方法院管轄。
前項非公務機關為自然人，而其在中華民國現無住所或住所
不明者，以其在中華民國之居所，視為其住所；無居所或居所不
明者，以其在中華民國最後之住所，視為其住所；無最後住所者
，專屬中央政府所在地之地方法院管轄。
第一項非公務機關為自然人以外之法人或其他團體，而其在
中華民國現無主事務所、主營業所或主事務所、主營業所不明者
，專屬中央政府所在地之地方法院管轄。
第 34 條(訴訟實施權之授與、撤回及裁判費暫免)
對於同一原因事實造成多數當事人權利受侵害之事件，財團
法人或公益社團法人經受有損害之當事人二十人以上以書面授與
訴訟實施權者，得以自己之名義，提起損害賠償訴訟。當事人得
於言詞辯論終結前以書面撤回訴訟實施權之授與，並通知法院。
10
10
前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因
事實受有損害之當事人，得於一定期間內向前項起訴之財團法人
或公益社團法人授與訴訟實施權，由該財團法人或公益社團法人
於第一審言詞辯論終結前，擴張應受判決事項之聲明。
其他因同一原因事實受有損害之當事人未依前項規定授與訴
訟實施權者，亦得於法院公告曉示之一定期間內起訴，由法院併
案審理。
其他因同一原因事實受有損害之當事人，亦得聲請法院為前
項之公告。
前二項公告，應揭示於法院公告處、資訊網路及其他適當處
所；法院認為必要時，並得命登載於公報或新聞紙，或用其他方
法公告之，其費用由國庫墊付。
依第一項規定提起訴訟之財團法人或公益社團法人，其標的
價額超過新臺幣六十萬元者，超過部分暫免徵裁判費。
第 35 條(訴訟程序當然停止及繼續進行)
當事人依前條第一項規定撤回訴訟實施權之授與者，該部分
訴訟程序當然停止，該當事人應即聲明承受訴訟，法院亦得依職
權命該當事人承受訴訟。
財團法人或公益社團法人依前條規定起訴後，因部分當事人
撤回訴訟實施權之授與，致其餘部分不足二十人者，仍得就其餘
部分繼續進行訴訟。
第 36 條(損害賠償請求權時效之分別計算)
各當事人於第三十四條第一項及第二項之損害賠償請求權，
其時效應分別計算。
第 37 條(受授與訴訟實施權者之權限)
財團法人或公益社團法人就當事人授與訴訟實施權之事件，
有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和
解。
前項當事人中一人所為之限制，其效力不及於其他當事人。
第一項之限制，應於第三十四條第一項之文書內表明，或以
書狀提出於法院。
第 38 條(當事人自行提起上訴)
當事人對於第三十四條訴訟之判決不服者，得於財團法人或
公益社團法人上訴期間屆滿前，撤回訴訟實施權之授與，依法提
11
11
起上訴。
財團法人或公益社團法人於收受判決書正本後，應即將其結
果通知當事人，並應於七日內將是否提起上訴之意旨以書面通知
當事人。
第 39 條(賠償金之交付及請求報酬之禁止)
財團法人或公益社團法人應將第三十四條訴訟結果所得之賠
償，扣除訴訟必要費用後，分別交付授與訴訟實施權之當事人。
提起第三十四條第一項訴訟之財團法人或公益社團法人，均
不得請求報酬。
第 40 條(訴訟代理人之委任)
依本章規定提起訴訟之財團法人或公益社團法人，應委任律
師代理訴訟。
第五章罰則
第 41 條(刑事責任(一))
意圖為自己或第三人不法之利益或損害他人之利益，而違反
第六條第一項、第十五條、第十六條、第十九條、第二十條第一
項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之
命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科
新臺幣一百萬元以下罰金。
第 42 條(刑事責任(二))
意圖為自己或第三人不法之利益或損害他人之利益，而對於
個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人
資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘
役或科或併科新臺幣一百萬元以下罰金。
第 43 條(境外犯罪之適用)
中華民國人民在中華民國領域外對中華民國人民犯前二條之
罪者，亦適用之。
第 44 條(刑責加重)
公務員假借職務上之權力、機會或方法，犯本章之罪者，加
重其刑至二分之一。
第 45 條(告訴乃論)
12
12
本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務
機關犯第四十二條之罪者，不在此限。
第 46 條(重法優於輕法原則)
犯本章之罪，其他法律有較重處罰規定者，從其規定。
第 47 條(行政罰(一))
非公務機關有下列情事之一者，由中央目的事業主管機關或
直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，
並令限期改正，屆期未改正者，按次處罰之：
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸
之命令或處分。
第 48 條(行政罰(二))
非公務機關有下列情事之一者，由中央目的事業主管機關或
直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣
二萬元以上二十萬元以下罰鍰：
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全
維護計畫或業務終止後個人資料處理方法。
第 49 條(行政罰(三))
非公務機關無正當理由違反第二十二條第四項規定者，由中
央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以
上二十萬元以下罰鍰。
第 50 條(非公務機關有代表權人之併同處罰)
非公務機關之代表人、管理人或其他有代表權人，因該非公
務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外
，應並受同一額度罰鍰之處罰。
第六章附則
第 51 條(不適用本法之情形)
13
13
有下列情形之一者，不適用本法規定：
一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用
個人資料。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個
人資料結合之影音資料。
公務機關及非公務機關，在中華民國領域外對中華民國人民
個人資料蒐集、處理或利用者，亦適用本法。
第 52 條(行政監督權限之委任、委託)
第二十二條至第二十六條規定由中央目的事業主管機關或直
轄市、縣（市）政府執行之權限，得委任所屬機關、委託其他機
關或公益團體辦理；其成員因執行委任或委託事務所知悉之資訊
，負保密義務。
前項之公益團體，不得依第三十四條第一項規定接受當事人
授與訴訟實施權，以自己之名義提起損害賠償訴訟。
第 53 條(特定目的及個人資料類別)
法務部應會同中央目的事業主管機關訂定特定目的及個人資
料類別，提供公務機關及非公務機關參考使用。
第 54 條(本法修正施行前間接蒐集個人資料之告知義務)
本法中華民國九十九年五月二十六日修正公布之條文施行前
，非由當事人提供之個人資料，於本法一百零四年十二月十五日
修正之條文施行後為處理或利用者，應於處理或利用前，依第九
條規定向當事人告知。
前項之告知，得於本法中華民國一百零四年十二月十五日修
正之條文施行後首次利用時併同為之。
未依前二項規定告知而利用者，以違反第九條規定論處。
第 55 條(施行細則)
本法施行細則，由法務部定之。
第 56 條(施行日期)
本法施行日期，由行政院定之。
現行條文第十九條至第二十二條及第四十三條之刪除，自公
布日施行。
前項公布日於現行條文第四十三條第二項指定之事業、團體
或個人應於指定之日起六個月內辦理登記或許可之期間內者，該
14
14
指定之事業、團體或個人得申請終止辦理，目的事業主管機關於
終止辦理時，應退還已繳規費。已辦理完成者，亦得申請退費。
前項退費，應自繳費義務人繳納之日起，至目的事業主管機
關終止辦理之日止，按退費額，依繳費之日郵政儲金之一年期定
期存款利率，按日加計利息，一併退還。已辦理完成者，其退費
，應自繳費義務人繳納之日起，至目的事業主管機關核准申請之
日止，亦同。
15
15
貳、個人資料保護法修正條文對照表
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明

104 年 12 月 30 日修正公布 99 年 5 月 26 日修正公布電腦處理個人資料保護法 (法務部依行政院提案、立法院協商
個人資料保護法個人資料保護法結論、復議條文理由等資料整理)
個人資料保護法個人資料保護法電腦處理個人資料保護法名稱 105.03.15 未修正
〈101.10.01 施行修正條文說明〉
為貫徹對個人資料之保護，本法保
護客體，不再以經電腦處理之個人
16
資料為限，爰將本法名稱修正為「
個人資料保護法」。
第一章總則第一章總則第一章總則章名未修正。
第一條為規範個人資料之第一條為規範電腦處理個本條 105.03.15 未修正
蒐集、處理及利用，以避人資料，以避免人格權受〈101.10.01 施行修正條文說明〉
免人格權受侵害，並促進侵害，並促進個人資料之
鑒於本法保護客體不再限於經電腦
個人資料之合理利用，特合理利用，特制定本法。
處理之個人資料，且本法規範行為
制定本法。
除個人資料之處理外，將擴及至包
括蒐集及利用行為，爰將本條修正
為「為規範個人資料之蒐集、處理
16
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
及利用」，以資明確。
刪除第二條個人資料之保護，〈101.10.01 施行修正條文說明〉
依本法之規定。但其他法一、本條刪除。
律另有規定者，依其規定二、按中央法規標準法第十六條第
。一項前段規定：「法規對其他法
規所規定之同一事項而為特別之
規定者，應優先適用之。」本法
之性質應為普通法，其他特別法
17
有關個人資料蒐集或利用之規定
，依特別法優於普通法之法理，
自應優先適用各該特別規定。惟
若無特別規定，當然仍應適用本
法，毋庸贅述。且本法修正草案
亦有相關例外條款包含「法律明
文規定」，足資適用，例如：第
六條第一款、第十六條第一款、
第十九條第一款或第二十條第一
項第一款規定。是以，為避免所
謂「特別規定」令人誤解為全面
17
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
排除本法適用，爰刪除本條規定
第二條本法用詞，定義如第三條本法用詞定義如左本條 105.03.15 未修正
下：：〈101.10.01 施行修正條文說明〉
一、個人資料：指自然人一、個人資料：指自然人
一、條次變更。
之姓名、出生年月之姓名、出生年月
二、將序文「如左」修正為「如下
日、國民身分證統日、身分證統一編
」，以符合法制用語。
一編號、護照號碼號、特徵、指紋、
三、本法所保障之法益為人格權，
、特徵、指紋、婚婚姻、家庭、教育
惟個人資料種類繁多，第一款關
18
姻、家庭、教育、、職業、健康、病
於「個人資料之定義」，除現行
職業、病歷、醫療歷、財務情況、社
條文例示之日常生活中經常被蒐
、基因、性生活、會活動及其他足資
集、處理及利用之個人資料外，
健康檢查、犯罪前識別該個人之資料
另增加護照號碼、醫療、基因、
科、聯絡方式、財。
性生活、健康檢查、犯罪前科、
務情況、社會活動二、個人資料檔案：指基
聯絡方式等個人資料，以補充說
及其他得以直接或於特定目的儲存於
明個人資料之性質。此外，因社
間接方式識別該個電磁紀錄物或其他
會態樣複雜，有些資料雖未直接
人之資料。類似媒體之個人資
指名道姓，但一經揭露仍足以識
二、個人資料檔案：指依料之集合。
別為某一特定人，對個人隱私仍
系統建立而得以自三、電腦處理：指使用電
會造成侵害，爰參考一九九五年
18
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
動化機器或其他非腦或自動化機器為歐盟資料保護指令 (95/46/EC) 第
自動化方式檢索、資料之輸入、儲存二條、日本個人資訊保護法第二
整理之個人資料之、編輯、更正、檢條，將「其他足資識別該個人之
集合。索、刪除、輸出、資料」修正為「其他得以直接或
三、蒐集：指以任何方式傳遞或其他處理。間接方式識別該個人之資料」，
取得個人資料。四、蒐集：指為建立個人以期周全。
四、處理：指為建立或利資料檔案而取得個四、為配合本法將非經電腦處理之
用個人資料檔案所人資料。個人資料納入規範之修正意旨，
19
為資料之記錄、輸五、利用：指公務機關或爰修正第二款關於「個人資料檔
入、儲存、編輯、非公務機關將其保案」之定義。
更正、複製、檢索有之個人資料檔案五、由於蒐集個人資料之行為態樣
、刪除、輸出、連為內部使用或提供繁多，有直接向當事人蒐集者；
結或內部傳送。當事人以外之第三有間接從第三人取得者，為落實
五、利用：指將蒐集之個人。保護個人資料隱私權益，爰參考
人資料為處理以外六、公務機關：指依法行德國聯邦個人資料保護法第三條
之使用。使公權力之中央或規定，修正第四款「蒐集」之定
六、國際傳輸：指將個人地方機關。義。
資料作跨國(境)之處七、非公務機關：指前款六、配合本法保護客體放寬之修正
理或利用。以外之左列事業、意旨，爰將現行條文第三款「電
七、公務機關：指依法行團體或個人：腦處理」中「電腦」二字刪除，
19
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
使公權力之中央或 (一)徵信業及以蒐集或電並將款次移列至第四款。另現行
地方機關或行政法腦處理個人資料為條文「電腦處理」之定義包括資
人。主要業務之團體或料之傳遞，易遭誤解為傳遞給外
八、非公務機關：指前款個人。部之第三人，而與「利用」行為
以外之自然人、法 (二)醫院、學校、電信業發生混淆。爰將「傳遞」修正為
人或其他團體。、金融業、證券業「內部傳送」，以資明確。
九、當事人：指個人資料、保險業及大眾傳七、現行條文第五款對於「利用」
之本人。播業。之定義，係將保有之個人資料檔
20
(三)其他經法務部會同中案為內部使用或提供當事人以外
央目的事業主管機之第三人。惟直接對當事人本人
關指定之事業、團使用其個人資料(如對當事人從事
體或個人。行銷行為)，是否屬本法所稱之利
八、當事人：指個人資料用行為，滋生疑義。準此，爰參
之本人。考德國聯邦個人資料保護法第一
九、特定目的：指由法務條規定，並將文字予以精簡，修
部會同中央目的事正「利用」之定義。
業主管機關定之者八、現行條文第九條、第二十四條
。規定之「國際傳遞」究屬機關內
部之「資料傳送」？抑或為「提
供當事人以外第三人之利用」？
20
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
易滋生疑義。爰將各該條規定之
「國際傳遞」一語修正為「國際
傳輸」，並增訂第六款「國際傳
輸」定義規定。不論是機關內部
之資料傳送(屬資料處理)，例如
：總公司將資料傳送給分公司、
公務機關將資料傳送給國外辦事
處等；或將資料提供當事人以外
21
第三人(屬資料利用)，例如：母
公司將資料提供給子公司或他公
司、公務機關將資料傳送給他公
務機關，只要該資料作跨國(境)
之傳輸，不論是屬處理或利用行
為，皆屬本法所稱之「國際傳輸
」。
九、由於執行公務爾後將不限中央
或地方機關，行政法人之組織型
態亦將成為其中之一，爰將現行
條文第六款公務機關之定義，納
入行政法人，以期周全，並改列
21
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
款次為第七款。
十、為配合本法放寬規範主體之修
正意旨，爰修正現行條文第七款
非公務機關之定義，並改列款次
為第八款。
十一、本條係定義規定，而「特定
目的」及「資料類別」之指定，
並非屬定義事項，爰將現行條文
22
第九款之「特定目的」及現行條
文第十條第二項之「資料類別」
予以合併規定，並移列至第六章
附則第五十三條規定。
第三條當事人就其個人資第四條當事人就其個人資本條 105.03.15 未修正
料依本法規定行使之下列料依本法規定行使之左列〈101.10.01 施行修正條文說明〉
權利，不得預先拋棄或以權利，不得預先拋棄或以
特約限制之：特約限制之：
二、將序文所定「左列」修正為「
一、查詢或請求閱覽。一、查詢及請求閱覽。
下列」，以符合法制用語。
二、請求製給複製本。二、請求製給複製本。
三、當事人查詢其個人資料與請求
三、請求補充或更正。三、請求補充或更正。
閱覽得分別為之，是以將第一款
22
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
四、請求停止蒐集、處理四、請求停止電腦處理及之「及」字，修正為「或」字。
或利用。利用。四、配合第二條第四款「處理」之
五、請求刪除。五、請求刪除。定義規定，爰將第四款「電腦處
理」中「電腦」二字予以刪除，
並將「蒐集」亦列為得請求停止
之事項，另「及利用」修正為「
或利用」，以資明確。
第四條受公務機關或非公第五條受公務機關或非公本條 105.03.15 未修正
23
務機關委託蒐集、處理或務機關委託處理資料之團〈101.10.01 施行修正條文說明〉
利用個人資料者，於本法體或個人，於本法適用範
適用範圍內，視同委託機圍內，其處理資料之人，
二、受公務機關或非公務機關委託
關。視同委託機關之人。
之事項，並不只限於處理資料，
蒐集或利用資料均有可能，爰將
「委託處理」修正為「委託蒐集
、處理或利用」。另為期簡潔明
確，將現行條文之「資料」修正
為「個人資料」；「團體或個人
」，修正為「者」；「委託機關
之人」，修正為「委託機關」。
23
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第五條個人資料之蒐集、第六條個人資料之蒐集或本條 105.03.15 未修正
處理或利用，應尊重當事利用，應尊重當事人之權〈101.10.01 施行修正條文說明〉
人之權益，依誠實及信用益，依誠實及信用方法為
方法為之，不得逾越特定之，不得逾越特定目的之
二、將個人資料之處理行為，亦納
目的之必要範圍，並應與必要範圍。
入本條之適用範圍，以期周延。
蒐集之目的具有正當合理
三、為避免資料蒐集者巧立名目或
之關聯。
理由，任意的蒐集、處理或利用
個人資料，爰明定個人資料之蒐
24
集、處理或利用，應與蒐集之目
的有正當合理之關聯，不得與其
他目的作不當之聯結。
第六條有關病歷、醫療、第六條有關醫療、基因、〈105.03.15 施行修正條文說明〉
基因、性生活、健康檢查性生活、健康檢查及犯罪一、按「醫療」係現行條文所列舉
及犯罪前科之個人資料，前科之個人資料，不得蒐五種特種個人資料之一，惟第
不得蒐集、處理或利用。集、處理或利用。但有下二條例示之個人資料包含「病
但有下列情形之一者，不列情形之一者，不在此限歷」及「醫療」，病歷乃屬醫
在此限：：療個人資料內涵之一，為免爭
一、法律明文規定。一、法律明文規定。議，爰增列如第一項本文。
二、公務機關執行法定職二、公務機關執行法定職二、第一項但書第二款配合同項但
24
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
務或非公務機關履行務或非公務機關履書第五款規定，酌作文字修
法定義務必要範圍內行法定義務所必要正。
，且事前或事後有適，且有適當安全維三、公務機關或學術研究機構基於
當安全維護措施。護措施。醫療、衛生或犯罪預防之目的
三、當事人自行公開或其三、當事人自行公開或其，為統計或學術研究必要，常
他已合法公開之個人他已合法公開之個有蒐集、處理或利用本條所定
資料。人資料。特種個人資料之情形，如依其
四、公務機關或學術研究四、公務機關或學術研究統計或研究計畫，當事人資料
25
機構基於醫療、衛生機構基於醫療、衛經過提供者匿名化處理，或由
或犯罪預防之目的，生或犯罪預防之目蒐集者依其公布揭露方式無從
為統計或學術研究而的，為統計或學術再識別特定當事人者，應無侵
有必要，且資料經過研究而有必要，且害個人隱私權益之虞，基於資
提供者處理後或經蒐經一定程序所為蒐料之合理利用，促進統計及學
集者依其揭露方式無集、處理或利用之術研究發展，自得允許之，爰
從識別特定之當事個人資料。修正第一項但書第四款規定。
人。前項第四款個人資料又該款蒐集、處理或利用特種
五、為協助公務機關執行蒐集、處理或利用之範圍個人資料之程序，公務機關得
法定職務或非公務機、程序及其他應遵行事項以行政規則訂定之；學術研究
關履行法定義務必要之辦法，由中央目的事業機構得由其中央目的事業主管
範圍內，且事前或事主管機關會同法務部定之機關依第二十七條第二項規定
25
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
後有適當安全維護措。，指定非公務機關訂定個人資
施。料檔案安全維護計畫或業務終
六、經當事人書面同意。止後個人資料處理方法，故無
但逾越特定目的之必另行授權訂定規範蒐集、處理
要範圍或其他法律另、利用該等資料之範圍及程序
有限制不得僅依當事等辦法之必要，爰刪除現行條
人書面同意蒐集、處文第二項。
理或利用，或其同意四、公務機關於執行法定職務時常
26
違反其意願者，不在須請求其他機關協助提供個人
此限。資料(行政程序法第十九條第二
依前項規定蒐集、處項第四款參照)，而他機關提供
理或利用個人資料，準用個人資料行為係個人資料之利
第八條、第九條規定；其用行為，然往往並非該提供機
中前項第六款之書面同意關之法定職務，故無法依本條
，準用第七條第一項、第第一項但書第二款規定提供之
二項及第四項規定，並以，為使他機關提供個人資料有
書面為之。所依據，俾協助請求機關執行
法定職務；又協助公務機關執
行法定職務或非公務機關履行
法定義務應於必要範圍內為之
26
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
，以符比例原則，乃理所當然
，爰增列第一項第五款前段規
定。公務機關或非公務機關蒐
集、處理或利用個人資料本即
應依第十八條或第二十七條第
一項規定於事前或事後有適當
安全維護措施，惟為明確計，
爰於本條但書第五款後段再為
27
提示性規定。
五、按司法院釋字第六○三號解釋
揭示憲法保障「個人自主控制
個人資料之資訊隱私權」，無
論一般或特種個人資料，個人
資料當事人同意權本屬憲法所
保障之基本權。若完全摒除經
當事人同意之情形，係嚴重限
制憲法所保障之基本權，恐不
符憲法第二十三條之比例原則
，故增列為蒐集、處理或利用
特種個人資料要件之一；且相
27
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
對於一般個人資料，特種個人
資料之性質更具敏感性，故規
定當事人對於其特種個人資料
蒐集、處理及利用之同意，須
以書面為之，以求慎重。惟超
過當事人書面同意範圍之蒐集
、處理及利用，或其他法律另
有限制不得僅依當事人書面同
28
意蒐集、處理或利用者，或違
反其意願者，例如公務機關或
非公務機關利用權勢、強暴、
脅迫等違反其意願之方法取得
當事人書面同意，不在此限，
爰於第一項但書增列第六款。
六、又依第一項但書規定而得蒐集
、處理或利用特種個人資料時
，雖第八條、第九條規定未區
別一般個人資料與特種個人資
料而僅明列第十五條及第十九
條規定，惟為免誤解蒐集特種
28
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
個人資料時無須向當事人告知
，爰增訂第二項定明特種個人
資料關於告知之規定，應準用
第八條、第九條規定。另第一
項但書第六款之書面同意，應
準用第七條第一項、第二項及
第四項規定，並以書面為之，
以免爭議。
29
一、本條新增。
二、按個人資料中有部分資料性質
較為特殊或具敏感性，如任意蒐
集、處理或利用，恐會造成社會
不安或對當事人造成難以彌補之
傷害。是以，一九九五年歐盟資
料保護指令(95/46/EC)、德國聯
邦個人資料保護法第十三條及奧
地利聯邦個人資料保護法等外國
立法例，均有特種(敏感)資料不
29
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
得任意蒐集、處理或利用之規定
。經審酌我國國情與民眾之認知
，爰規定有關醫療、基因、性生
活、健康檢查及犯罪前科等五類
個人資料，其蒐集、處理或利用
應較一般個人資料更為嚴格，須
符合所列要件，始得為之，以加
強保護個人之隱私權益。又所稱
30
「性生活」包括性取向等相關事
項，併予敘明。
三、有關醫療、基因、性生活、健
康檢查及犯罪前科等五類個人資
料，原則上不得任意蒐集、處理
或利用，惟如有法律明文規定者
，自不在此限，爰為第一款之規
定。
四、蒐集、處理或利用前述之特種
資料，係屬公務機關執行法定職
務或非公務機關履行法定義務，
例如：檢警機關偵辦犯罪，蒐集
30
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
或利用涉嫌人之犯罪前科資料；
醫生發現疑似法定傳染病，蒐集
相關醫療資料通報主管機關等，
公務機關或非公務機關自得依法
為之，且依相關法令規定提供適
當安全維護措施，爰仿一九九五
年歐盟資料保護指令第八條
(95/46/EC)及德國聯邦個人資料
31
保護法第二十八條等外國立法例
，而為第二款之規定。
五、當事人已自行公開或其他合法
公開之個人資料，隱私已無被侵
害之虞，爰為第三款之規定。
六、基於統計或學術研究之目的，
經常會蒐集、處理或利用前述之
特種資料，惟為避免寬濫，並加
強保護特種或敏感個人資料，特
規定適用本款限於為基於醫療、
衛生或犯罪預防等特定目的，且
於統計或學術研究而有必要之範
31
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
圍內，並經一定程序而為蒐集、
處理或利用之個人資料，始得蒐
集、處理或利用，爰為第四款之
規定。
七、為確保依本條第一項第四款規
定所為因醫療、衛生或犯罪預防
等目的而提供之個人資料，其提
供者在合法必要範圍內提供，而
32
蒐集者所蒐集之個人資料能獲得
適當之安全維護，特種資料之提
供者於其利用前，應特別審酌資
料之提供範圍，以及提供時應經
一定程序為之。由於前開範圍、
程序及其他應遵行事項，涉及個
人資料是否經匿名化處理或依其
揭露方式無從識別特定當事人，
或者是否應得當事人明示之書面
同意等之慎重考量，故授權由法
務部會同特種資料之中央目的事
業主管機關訂定相關特種資料蒐
32
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
集、處理或利用之範圍、程序及
其他應遵行事項之辦法，以保障
當事人之特種個人資料，爰為第
二項規定。
第七條第十五條第二款及第七條第十五條第二款及〈105.03.15 施行修正條文說明〉
第十九條第一項第五款所第十九條第五款所稱書面一、配合第十五條第二款、第十九
稱同意，指當事人經蒐集同意，指當事人經蒐集者條第一項第五款、第十六條但
者告知本法所定應告知事告知本法所定應告知事項書第七款、第二十條第一項但
33
項後，所為允許之意思表後，所為允許之書面意思書第六款對於當事人「同意」
示。表示。之方式放寬，不限於書面同意
第十六條第七款、第第十六條第七款、，爰予修正第一項及第二項規
二十條第一項第六款所稱第二十條第一項第六款所定，並酌作項次文字修正。
同意，指當事人經蒐集者稱書面同意，指當事人經二、公務機關或非公務機關倘已明
明確告知特定目的外之其蒐集者明確告知特定目的確告知當事人法定應告知事項
他利用目的、範圍及同意外之其他利用目的、範圍，而當事人未明示拒絕蒐集其
與否對其權益之影響後，及同意與否對其權益之影個人資料，並已提供其個人資
單獨所為之意思表示。響後，單獨所為之書面意料予該公務機關或非公務機關
公務機關或非公務機思表示。時，應推定當事人已依第十五
關明確告知當事人第八條條第二款、第十九條第一項第
33
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第一項各款應告知事項時五款之規定表示同意，爰增訂
，當事人如未表示拒絕，第三項。
並已提供其個人資料者，三、為保障當事人權利，並配合當
推定當事人已依第十五條事人「同意」之方式放寬不限
第二款、第十九條第一項於書面同意，於當事人是否同
第五款之規定表示同意。意之事實認定發生爭執時，應
蒐集者就本法所稱經由蒐集、處理或利用之公務機
當事人同意之事實，應負關或非公務機關負擔舉證責任
34
舉證責任。，始符公平，爰增訂第四項。
二、本法第十五條第二款及第十九
條第五款所定「經當事人書面同
意」，係資料蒐集者合法蒐集、
處理或利用個人資料要件之一。
書面同意既對當事人之權益有重
大影響，自應經明確告知應告知
之事項，使當事人充分瞭解後審
慎為之，爰增訂第一項規定。
34
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
三、本法第十六條第七款、第二十
條第一項第六款所定「經當事人
書面同意」，係當事人同意資料
蒐集者，將其個人資料作與蒐集
目的不同之其他目的使用，因不
符原先蒐集資料之特定目的，該
書面同意自應特別審慎，除應特
別明確告知該其他利用目的為何
35
及其利用範圍外，同時亦應讓當
事人明瞭，特定目的外利用之同
意與否，對其權益是否會發生任
何影響。另為避免該特定目的外
利用個人資料之同意與其他事項
作不當聯結，或被列入定型化契
約之約定條款中被概括同意，而
不利於當事人，特規定關於特定
目的外利用其個人資料之書面同
意，應獨立作書面意思表示，以
保護當事人之權益，爰增訂第二
項規定。
35
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
四、參考一九九五年歐盟資料保護
指令(95/46/EC)第二條h款、德國
聯邦個人資料保護法第四a條等。
第八條公務機關或非公務第八條公務機關或非公務〈105.03.15 施行修正條文說明〉
機關依第十五條或第十九機關依第十五條或第十九一、修正第二項第四款得免為告知
條規定向當事人蒐集個人條規定向當事人蒐集個人之情形為「告知將妨害公共利
資料時，應明確告知當事資料時，應明確告知當事益」，以符公益。
人下列事項：人下列事項：二、由於個人資料範圍甚廣，公務
36
一、公務機關或非公務機一、公務機關或非公務機機關或非公務機關合法蒐集當
關名稱。關名稱。事人之個人資料時，若其蒐集
二、蒐集之目的。二、蒐集之目的。非基於營利之目的，且對當事
三、個人資料之類別。三、個人資料之類別。人顯無不利之影響，此時應得
四、個人資料利用之期間四、個人資料利用之期間免除蒐集者之告知義務，爰增
、地區、對象及方、地區、對象及方訂第二項第六款得免為告知之
式。式。規定。
五、當事人依第三條規定五、當事人依第三條規定〈101.10.01 施行修正條文說明〉
得行使之權利及方得行使之權利及方
式。式。
二、個人資料之蒐集，事涉當事人
六、當事人得自由選擇提六、當事人得自由選擇提
之隱私權益。為使當事人明知其
36
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
供個人資料時，不提供個人資料時，不個人資料被何人蒐集及其資料類
供將對其權益之影提供將對其權益之別、蒐集目的等，爰於第一項規
響。影響。定蒐集時應告知當事人之事項，
有下列情形之一者，有下列情形之一者俾使當事人能知悉其個人資料被
得免為前項之告知：，得免為前項之告知：他人蒐集之情形。
一、依法律規定得免告一、依法律規定得免告知三、原則上向當事人蒐集個人資料
知。。時，應告知當事人第一項所列事
二、個人資料之蒐集係公二、個人資料之蒐集係公項，惟在部分特別情形下，或已
37
務機關執行法定職務務機關執行法定職有法律規定，或當事人已明知，
或非公務機關履行法務或非公務機關履履行第一項告知義務恐有礙職務
定義務所必要。行法定義務所必要之執行或無必要，爰於第二項規
三、告知將妨害公務機關。定得免告知之情形，其各款修正
執行法定職務。三、告知將妨害公務機關理由如次：
四、告知將妨害公共利執行法定職務。 (一)法律規定得免告知者，自毋庸
益。四、告知將妨害第三人之再告知當事人第一項所列事項，
五、當事人明知應告知之重大利益。爰為第一款之規定。
內容。五、當事人明知應告知之 (二)資料之蒐集係公務機關執行其
六、個人資料之蒐集非基內容。法定職務，例如：稅捐機關蒐集
於營利之目的，且對民眾收入所得資料；戶政機關蒐
當事人顯無不利之影集民眾戶籍相關資料等，或非公
37
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
響。務機關履行法律規定之義務，例
如：醫生發現疑似法定傳染病患
者，應報告主管機關(傳染病防治
法第二十九條)；各投保單位應備
置蒐集僱用員工或會員名冊(勞工
保險條例第十條第一項)；金融機
構對於達一定金額以上之通貨交
易，應確認客戶身分及留存交易
38
紀錄憑證(洗錢防制法第七條)等
，為提高行政效率，或避免執行
上發生困擾，爰為第二款之規定
。
(三)蒐集個人資料雖非屬公務機關
之法定職掌，但公務機關執行其
法定職務時，往往會涉及蒐集民
眾之個人資料，例如：警察執行
臨檢勤務；檢察機關偵辦刑事案
件；行政執行機關辦理強制執行
等，如依第一項規定告知當事人
將發生妨害公務之執行時，自不
38
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
宜告知當事人，爰為第三款之規
定。
(四)履行第一項告知義務，如將妨
害第三人之重大利益時，自得免
為告知，爰為第四款之規定。
(五)第一項規定之告知義務，其意
旨在於讓當事人能充分瞭解資料
蒐集之目的及用途。如當事人已
39
明知應告知之內容者，自無必要
再重複告知，爰為第五款之規定
。
四、如當事人不認同蒐集機關適用
本條第二項之規定而免為告知時
，仍得依本法第三條規定請求查
詢或閱覽；被請求之蒐集機關則
應依第十三條規定辦理。當事人
亦得以其蒐集不合法為由，請求
補為告知，或依第十一條第四項
規定，請求蒐集機關刪除、停止
處理或利用該個人資料，併予敘
39
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
明。
五、參考一九九五年歐盟資料保護
指令 (95/46/EC) 第十條、第十三
條、德國聯邦個人資料保護法第
三十三條、奧地利聯邦個人資料
保護法第二十四條、日本個人資
訊保護法第十八條等。
第九條公務機關或非公務本條 105.03.15 未修正
40
機關依第十五條或第十九〈101.10.01 施行修正條文說明〉
條規定蒐集非由當事人提
供之個人資料，應於處理
二、蒐集個人資料除向當事人直接
或利用前，向當事人告知
蒐集外，亦得自第三人取得之，
個人資料來源及前條第一
此等間接蒐集個人資料，尤需告
項第一款至第五款所列事
知當事人資料來源及其相關事項
項。
，俾使當事人明瞭其個人資料被
有下列情形之一者，
蒐集情形，並得以判斷提供該個
得免為前項之告知：
人資料之來源是否合法，並及早
一、有前條第二項所列各
採取救濟措施，避免其個人資料
款情形之一。
遭不法濫用而損害其權益。是以
40
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二、當事人自行公開或其，第一項明定間接蒐集個人資料
他已合法公開之個者(因屬間接蒐集，自無從於蒐集
人資料。時併為告知)，應於該資料處理或
三、不能向當事人或其法利用前，告知當事人資料來源及
定代理人為告知。前條第一項第一款至第五款所列
四、基於公共利益為統計事項(第六款情形係屬當事人直接
或學術研究之目的提供資料，於間接蒐集行為，無
而有必要，且該資從適用)。
41
料須經提供者處理三、間接蒐集當事人之個人資料時
後或蒐集者依其揭，原則上應於處理該資料或利用
露方式，無從識別前，告知當事人第一項所列事項
特定當事人者為限。惟在部分特別情況下，告知恐
。有不宜或無必要，爰於第二項規
五、大眾傳播業者基於新定間接蒐集得免告知當事人之情
聞報導之公益目的形，其各款立法理由如次：
而蒐集個人資料。 (一)第一款規定於直接蒐集個人資
第一項之告知，得料時，得免告知義務，在間接蒐
於首次對當事人為利用時集時，亦得免為告知，理由詳如
併同為之。前條說明。
(二)間接蒐集之個人資料，如係當
41
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
事人自行公開揭露或其他合法公
開之資料，對其隱私權應無侵害
之虞，自得免為告知，爰為第二
款之規定。
(三)為保護當事人之權益，第一項
規定間接蒐集個人資料時，應告
知當事人相關事項。惟客觀上顯
然不能向當事人告知時，例如：
42
當事人失蹤不知去向、昏迷不醒
，亦無法得知其法定代理人為何
人時，自無從告知。另基於各款
項內容之體系性安排，爰移列為
第三款規定。
(四)基於統計或學術研究目的，經
常會以間接蒐集方式蒐集個人資
料，如依其統計或研究計畫，當
事人資料經過匿名化處理，或其
公布揭露方式無從再識別特定當
事人者，應無侵害個人隱私權益
之虞，應可免除告知當事人之義
42
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
務。另為避免以特定身分作為排
除告知義務之規範對象，刪除原
修正條文學術研究機構等文字，
以符合基於公共利益為統計或學
術研究之目的而有必要，且該資
料須經處理後或依其揭露方式，
無從識別特定當事人之客觀要件
作為判斷依據，爰為第四款之規
43
定。
(五)大眾傳播業者基於報導新聞之
目的，經常以間接方式蒐集特定
人之個人資料，如需依第一項規
定告知當事人資料來源等相關事
項，恐會造成新聞報導之困擾。
另揆諸一九九五年歐盟資料保護
指令 (95/46/EC) 及部分外國立法
例，亦有將新聞業者低度或排除
適用之規定。又依中華民國報業
道德規範之宗旨，自由報業為自
由社會之重要支柱，其主要責任
43
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
在提高國民生活水準，服務民主
政治，保障人民權利，增進公共
利益與維護世界和平；新聞自由
為自由報業之靈魂，惟報紙新聞
和意見之傳播速度太快，影響太
廣，故應慎重運用此項權利。準
此，新聞報導之目的應與上開宗
旨相契合，以促進公共利益為其
44
最終目的。是以，為尊重新聞自
由及增進公共利益，爰為第五款
規定。
四、如當事人不認同蒐集機關適用
本條第二項之規定而免為告知時
，得依本法第三條規定請求查詢
或閱覽，被請求之蒐集機關則應
依第十三條規定辦理。當事人亦
得以其蒐集不合法為由，請求補
為告知，或依第十一條第四項規
定，請求蒐集機關刪除、停止處
理或利用該個人資料，併予敘明
44
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
。
五、在間接蒐集個人資料之情形，
原則上應於處理或利用前，向當
事人告知個人資料來源等事項，
但如能於首次對當事人為利用時(
例如：對當事人進行商品行銷)，
併同告知，不但能提高效率，亦
可減少勞費，且無損於當事人之
45
權益，爰為第三項規定。
六、參考一九九五年歐盟資料保護
指令 (95/46/EC) 第九條、第十一
條、第十三條、德國聯邦個人資
料保護法第十九a條、奧地利聯邦
個人資料保護法第二十四條、日
本個人資訊保護法第五十條等。
第十條公務機關或非公務第十二條公務機關應依當本條 105.03.15 未修正
機關應依當事人之請求，事人之請求，就其保有之〈101.10.01 施行修正條文說明〉
就其蒐集之個人資料，答個人資料檔案，答覆查詢
覆查詢、提供閱覽或製給、提供閱覽或製給複製本
二、當事人得請求答覆查詢、提供
45
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
複製本。但有下列情形之。但有左列情形之一者，閱覽或製給複製本之對象，不限
一者，不在此限：不在此限：於向公務機關，亦應包括非公務
一、妨害國家安全、外交一、依前條不予公告者。機關。為期明確，爰將現行條文
及軍事機密、整體二、有妨害公務執行之虞第二十六條第一項非公務機關準
經濟利益或其他國者。用本條之規定，予以刪除，並將
家重大利益。三、有妨害第三人之重大「公務機關」修正為「公務機關
二、妨害公務機關執行法利益之虞者。或非公務機關」。另「保有之個
定職務。人資料檔案」亦修正為「蒐集之
46
三、妨害該蒐集機關或第個人資料」，以期適用明確，其
三人之重大利益。各款修正理由如次：
(一)依第三條規定，當事人就其個
人資料有查詢或請求閱覽及製給
複製本等權利，且不得預先拋棄
或以特約限制。本此意旨，公務
機關或非公務機關自應盡量依當
事人之請求，就其蒐集之個人資
料，答覆查詢、提供閱覽或製給
複製本；為確保當事人之權利，
爰將第一款修正限縮為限於妨害
國家安全、外交及軍事機密、整
46
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
體經濟利益或其他國家重大利益
者，始得拒絕。
(二)現行條文第二款及第三款規定
之「有……之虞」屬不確定法律
概念，為免適用上發生疑義，爰
刪除「之虞」二字。另第二款之
「妨害公務執行」，應限於「妨
害公務機關法定職務之執行」，
47
爰併予修正。
(三)有些特殊性質資料，如提供當
事人查詢、閱覽或製給複製本時
，恐會洩漏資料蒐集者之業務秘
密或妨害其重大利益。為此，第
三款爰增加「該蒐集機關」之要
件，以期周全。
第十一條公務機關或非公第十一條公務機關或非公第十三條公務機關應維護〈105.03.15 施行修正條文說明〉
務機關應維護個人資料之務機關應維護個人資料之個人資料之正確，並應依當事人對其個人資料正確性有爭議
正確，並應主動或依當事正確，並應主動或依當事職權或當事人之請求適時時，得請求公務機關或非公務機關
人之請求更正或補充之。人之請求更正或補充之。更正或補充之。停止處理或利用；惟如該個人資料
47
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
個人資料正確性有爭個人資料正確性有個人資料正確性有為公務機關或非公務機關執行職務
議者，應主動或依當事人爭議者，應主動或依當事爭議者，公務機關應依職或業務所必須，或經當事人書面同
之請求停止處理或利用。人之請求停止處理或利用權或當事人之請求停止電意時，倘若已同時註明其爭議，應
但因執行職務或業務所必。但因執行職務或業務所腦處理及利用。但因執行可允許公務機關或非公務機關繼續
須，或經當事人書面同意必須並註明其爭議或經當職務所必需並註明其爭議處理或利用該個人資料，爰酌予修
，並經註明其爭議者，不事人書面同意者，不在此或經當事人書面同意者，正第二項但書。至於爭議釐清後，
在此限。限。不在此限。自應依第一項規定予以更正，如實
個人資料蒐集之特定個人資料蒐集之特個人資料電腦處理記載。
48
目的消失或期限屆滿時，定目的消失或期限屆滿時之特定目的消失或期限屆〈101.10.01 施行修正條文說明〉
應主動或依當事人之請求，應主動或依當事人之請滿時，公務機關應依職權
，刪除、停止處理或利用求，刪除、停止處理或利或當事人之請求，刪除或
二、第一項修正理由如次：
該個人資料。但因執行職用該個人資料。但因執行停止電腦處理及利用該資
(一)本條規定並非僅限於公務機關
務或業務所必須或經當事職務或業務所必須或經當料。但因執行職務所必需
有其適用，非公務機關亦包括之
人書面同意者，不在此事人書面同意者，不在此或經依本法規定變更目的
。為期明確，爰將現行條文第二
限。限。或經當事人書面同意者，
十六條第一項非公務機關準用本
違反本法規定蒐集、違反本法規定蒐集不在此限。
條之規定，予以刪除，並將「公
處理或利用個人資料者，、處理或利用個人資料者
務機關」修正為「公務機關或非
應主動或依當事人之請求，應主動或依當事人之請
公務機關」。
，刪除、停止蒐集、處理求，刪除、停止蒐集、處
(二)資料蒐集機關發現資料正確性
或利用該個人資料。理或利用該個人資料。
48
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
因可歸責於公務機關因可歸責於公務機有誤，應主動予以更正或補充，
或非公務機關之事由，未關或非公務機關之事由，爰修正本項及第二項。
為更正或補充之個人資料未為更正或補充之個人資三、按本法並無准許變更特定目的
，應於更正或補充後，通料，應於更正或補充後，之規定，且現行條文第二十條業
知曾提供利用之對象。通知曾提供利用之對象。經刪除，已無需申請變更登記事
項之規定，爰刪除第三項但書「
或經依本法規定變更目的」等字
。
49
四、現行條文僅規定蒐集機關應維
護個人資料之正確，對於如何處
理違法蒐集、處理或利用之個人
資料，卻漏未規定，爰增訂第四
項，明定對於違法蒐集、處理或
利用之個人資料，應主動或依當
事人之請求，刪除、停止蒐集、
處理或利用該個人資料，以加強
保護當事人之權益。
五、不正確之個人資料將對當事人
權益有嚴重影響，而個人資料因
未更正或補充致使不正確時，如
49
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
係可歸責於該蒐集機關之事由，
自應課以該蒐集機關於更正或補
充個人資料後，通知曾提供利用
該資料之對象，以使該不正確之
資料能即時更新，避免當事人權
益受損，爰增訂第五項。
第十二條公務機關或非公本條 105.03.15 未修正
務機關違反本法規定，致〈101.10.01 施行修正條文說明〉
50
個人資料被竊取、洩漏、
竄改或其他侵害者，應查
二、按當事人之個人資料遭受違法
明後以適當方式通知當事
侵害，往往無法得知，致不能提
人。
起救濟或請求損害賠償，爰規定
公務機關或非公務機關所蒐集之
個人資料被竊取、洩漏、竄改或
遭其他方式之侵害時，應立即查
明事實，以適當方式(例如：人數
不多者，得以電話、信函方式通
知；人數眾多者，得以公告請當
事人上網或電話查詢等)，迅速通
50
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
知當事人，讓其知曉。
三、公務機關違反本條規定而隱匿
不為通知者，其上級機關應查明
後令其改正，如有失職人員，得
依法懲處；非公務機關違反本條
規定而隱匿不為通知者，其主管
機關得依第四十八條第二款規定
限期改正，屆期仍不改正者，得
51
按次處以行政罰鍰，併予敘明。
第十三條公務機關或非公第十五條公務機關受理當本條 105.03.15 未修正
務機關受理當事人依第十事人依本法規定之請求，〈101.10.01 施行修正條文說明〉
條規定之請求，應於十五應於三十日內處理之。其
日內，為准駁之決定；必未能於該期間內處理者，
要時，得予延長，延長之應將其原因以書面通知請
(一)本條規定並非僅限於公務機關
期間不得逾十五日，並應求人。
將其原因以書面通知請求
人。
公務機關或非公務
機關受理當事人依第十一
51
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
條規定之請求，應於三十公務機關」。
日內，為准駁之決定；必 (二)當事人依第十條規定，請求查
要時，得予延長，延長之詢、閱覽其個人資料或製給複製
期間不得逾三十日，並應本時，資料蒐集機關應儘速處理
將其原因以書面通知請求。現行條文規定需在三十日內處
人。理，似嫌過長，對當事人不利，
是以將准駁決定之期間，由「三
十日」修正為「十五日」。另個
52
人資料種類及數量繁多，如申請
人數眾多，十五日恐不及辦理，
是以另規定必要時得予延長，但
不得逾十五日，且應將延長原因
以書面通知請求人，讓其知曉。
三、當事人依第十一條規定，請求
更正、補充，或請求刪除、停止
蒐集、處理或利用其個人資料，
因需較多時間查證該資料之正確
性或其請求是否合理，十五日內
恐無法處理完畢，爰增訂第二項
，將此種情形之准駁決定期間，
52
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
規定為三十日，必要時得予延長
，但不得逾三十日，且應將延長
原因以書面通知請求人。
四、當事人向公務機關或非公務機
關請求查詢、閱覽、製給複製本
，或請求更正、補充、刪除、停
止蒐集、處理或利用其個人資料
，遭駁回拒絕或未於規定期間內
53
決定時，得依相關法律提起訴願
或訴訟，自不待言。
第十四條查詢或請求閱覽第十六條查詢或請求閱覽本條 105.03.15 未修正
個人資料或製給複製本者個人資料或製給複製本者〈101.10.01 施行修正條文說明〉
，公務機關或非公務機關，公務機關得酌收費用。
得酌收必要成本費用。前項費用數額由各機
二、本條規定並非僅限於公務機關
關定之。
53
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
公務機關」。
三、由於資料種類及蒐集、處理方
式繁多，關於查詢、請求閱覽個
人資料或製給複製本之費用，宜
由各蒐集處理機關視該資料之性
質酌予收取為妥，不宜由各機關
或中央目的事業主管機關訂定，
爰刪除第二項及現行條文第二十
54
六條第二項規定，並明定收取之
費用以必要成本費用為限。
第二章公務機關對個人資第二章公務機關之資料處章名 105.03.15 未修正
料之蒐集、處理及利用理〈101.10.01 章名修正說明〉
本章規範公務機關對個人資料之蒐
集、處理及利用，並非僅規範資料
之處理，爰將章名予以修正，以資
明確。
第十五條公務機關對個第十五條公務機關對個人第七條公務機關對個人資〈105.03.15 施行修正條文說明〉
人資料之蒐集或處理，資料之蒐集或處理，除第料之蒐集或電腦處理，非放寬當事人「同意」之方式，不以
除第六條第一項所規定六條第一項所規定資料外有特定目的，並符合左列書面同意為限，爰修正第二款。
54
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
資料外，應有特定目的，應有特定目的，並符合情形之一者，不得為之：〈101.10.01 施行修正條文說明〉
，並符合下列情形之一下列情形之一者：一、於法令規定職掌必要一、條次變更。
者：一、執行法定職務必要範範圍內者。二、第一項文字略作修正，以求語
一、執行法定職務必要圍內。二、經當事人書面同意者意明確順暢。另將「左列」修正
範圍內。二、經當事人書面同意。。為「下列」，以符合法制用語。
二、經當事人同意。三、對當事人權益無侵害三、對當事人權益無侵害又本條僅適用在一般個人資料，
三、對當事人權益無侵。之虞者。特種資料之蒐集或處理，仍應依
害。本法第六條規定為之。
55
三、公務機關蒐集或處理個人資料
，對當事人權益影響頗大，自應
明確規定執行法定職務且在必要
範圍內，始得為之。爰將第一款
「法令規定職掌」修正為「執行
法定職務」，以資明確。
四、第三款「之虞」二字，屬不確
定法律概念。本條係公務機關蒐
集或處理個人資料之要件規定，
應力求明確，爰將「之虞」二字
刪除。
55
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第十六條公務機關對個人第十六條公務機關對個人第八條公務機關對個人資〈105.03.15 施行修正條文說明〉
資料之利用，除第六條第資料之利用，除第六條第料之利用，應於法令職掌一、本條但書第二款及第五款文字
一項所規定資料外，應於一項所規定資料外，應於必要範圍內為之，並與蒐酌作修正。
執行法定職務必要範圍內執行法定職務必要範圍內集之特定目的相符。但有二、放寬當事人「同意」之方式，
為之，並與蒐集之特定目為之，並與蒐集之特定目左列情形之一者，得為特不以書面同意為限，爰修正本
的相符。但有下列情形之的相符。但有下列情形之定目的外之利用：條但書第七款。
一者，得為特定目的外之一者，得為特定目的外之一、法令明文規定者。〈101.10.01 施行修正條文說明〉
利用：利用：二、有正當理由而僅供內
56
一、法律明文規定。一、法律明文規定。部使用者。
二、「法令職掌」修正為「執行法
二、為維護國家安全或增二、為維護國家安全或增三、為維護國家安全者。
定職務」，修正理由同前條理由
進公共利益所必要。進公共利益。四、為增進公共利益者。
三。又本條僅適用在一般個人資
三、為免除當事人之生命三、為免除當事人之生命五、為免除當事人之生命
料，特種資料之蒐集或處理，仍
、身體、自由或財產、身體、自由或財、身體、自由或財
應依本法第六條規定為之。
上之危險。產上之危險。產上之急迫危險者
三、將「左列」修正為「下列」，
四、為防止他人權益之重四、為防止他人權益之重。
以符合法制用語。
大危害。大危害。六、為防止他人權益之重
四、特定目的外利用個人資料，對
五、公務機關或學術研究五、公務機關或學術研究大危害而有必要者
當事人隱私權益影響甚大，自應
機構基於公共利益為機構基於公共利益。
以法律規定為必要，爰將第一款
統計或學術研究而有為統計或學術研究七、為學術研究而有必要
「法令」修正為「法律」。
必要，且資料經過提而有必要，且資料且無害於當事人之
56
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
供者處理後或經蒐集經過提供者處理後重大利益者。五、現行條文第二款「有正當理由
者依其揭露方式無從或蒐集者依其揭露八、有利於當事人權益者而僅供內部使用者」已涵蓋於「
識別特定之當事人。方式無從識別特定。執行法定職務內，且符合蒐集之
六、有利於當事人權益。之當事人。九、當事人書面同意者。特定目的」中，無贅引之必要，
七、經當事人同意。六、有利於當事人權益。爰予刪除。
七、經當事人書面同意。六、現行條文第三款及第四款合併
修正，款次變更為第二款，以期
簡潔。
57
七、現行條文第五款「急迫」二字
，適用上易生疑義，為明確計，
爰予刪除，款次並移列為第三款
。
八、現行條文第六款之「而有必要
」四字，在認定上不甚明確，爰
予刪除，款次移列為第四款。
九、為促進資料合理利用，以統計
或學術研究為目的，應得准許特
定目的外利用個人資料，惟為避
免寬濫，爰限制公務機關或學術
研究機構基於公共利益且有必要
57
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
，始得為之。另該用於統計或學
術研究之個人資料，經提供者處
理後或蒐集者依其揭露方式，應
無從再識別特定當事人，始足保
障當事人之權益，爰將現行條文
第七款予以修正，款次移列為第
五款。
十、現行條文第八款及第九款，移
58
列為第六款及第七款。
刪除第九條公務機關對個人資〈101.10.01 施行修正條文說明〉
料之國際傳遞及利用，應一、本條刪除。
依相關法令為之。二、公務機關執行法定職務，將個
人資料作跨國(境)之處理或利用
，原本即應依相關法規辦理，在
此應毋庸另作規定，爰予刪除。
第十七條公務機關應將下第十條公務機關保有個人本條 105.03.15 未修正
列事項公開於電腦網站，資料檔案者，應在政府公〈101.10.01 施行修正條文說明〉
或以其他適當方式供公眾報或以其他適當方式公告
查閱；其有變更者，亦同左列事項；其有變更者，
二、鑑於目前國人使用網際網路極
58
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
：亦同：為普遍，因此公務機關依現行條
一、個人資料檔案名稱。一、個人資料檔案名稱。文規定應公告事項，如能張貼公
二、保有機關名稱及聯絡二、保有機關名稱。開於機關電腦網站，將更有利於
方式。三、個人資料檔案利用機民眾查閱，惟慮及城鄉差距及電
三、個人資料檔案保有之關名稱。腦使用普及率等等因素，仍保留
依據及特定目的。四、個人資料檔案保有之其他供公眾查閱之適當方式，例
四、個人資料之類別。依據及特定目的。如：刊登政府公報等。
五、個人資料之類別。三、為便利人民行使第三條所列權
59
六、個人資料之範圍。利，爰於第二款後段增列「及聯
七、個人資料之蒐集方法絡方式」五字。
。四、為求行政程序之簡便，爰刪除
八、個人資料通常傳遞之第三款、第六款至第十款等無公
處所及收受者。開必要之款次；現行條文第四款
九、國際傳遞個人資料之及第五款依序移列為第三款及第
直接收受者。四款。
十、受理查詢、更正或閱五、現行條文第二項有關個人資料
覽等申請之機關名類別之訂定，已於本法第五十三
稱及地址。條規定，爰予刪除。
前項第五款之個人
資料之類別，由法務部會
59
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
同中央目的事業主管機關
定之。
刪除第十一條左列各款之個人〈101.10.01 施行修正條文說明〉
資料檔案，得不適用前條一、本條刪除。
規定：二、公務機關保有之個人資料檔案
一、關於國家安全、外交，因其性質特殊而不宜公開其檔
及軍事機密、整體經案名稱者，應依政府資訊公開法
濟利益或其他國家重或相關法律規定予以限制公開，
60
大利益者。不宜於本法中訂定得不適用前條
二、關於司法院大法官審有關公開之規定，爰將本條予以
理案件、公務員懲戒刪除。
委員會審議懲戒案件
及法院調查、審理、
裁判、執行或處理非
訟事件業務事項者。
三、關於犯罪預防、刑事
偵查、執行、矯正或
保護處分或更生保護
事務者。
60
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
四、關於行政罰及其強制
執行事務者。
五、關於入出境管理、安
全檢查或難民查證事
務者。
六、關於稅捐稽徵事務者
。
七、關於公務機關之人事
61
、勤務、薪給、衛生
、福利或其相關事項
者。
八、專供試驗性電腦處理
者。
九、將於公報公告前刪除
者。
十、為公務上之連繫，僅
記錄當事人之姓名、
住所、金錢與物品往
來等必要事項者。
十一、公務機關之人員專
61
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
為執行個人職務，於
機關內部使用而單獨
作成者。
十二、其他法律特別規定
者。
刪除第十四條公務機關應備置〈101.10.01 施行修正條文說明〉
簿冊，登載第十條第一項一、本條刪除。
所列公告事項，並供查閱二、由於現行條文第十條第一項所
62
。列公告事項，均已規定須公開於
機關電腦網站，或以其他適當方
式供公眾查詢，毋庸再另行備置
簿冊，增加行政負擔，爰將本條
刪除。
第十八條公務機關保有個第十七條公務機關保有個本條 105.03.15 未修正
人資料檔案者，應指定專人資料檔案者，應指定專〈101.10.01 施行修正條文說明〉
人辦理安全維護事項，防人依相關法令辦理安全維
止個人資料被竊取、竄改護事項，防止個人資料被
二、現行條文之「依相關法令」應
、毀損、滅失或洩漏。竊取、竄改、毀損、滅失
屬贅言，爰予刪除。
或洩漏。
62
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第三章非公務機關對個人第三章非公務機關之資料章名 105.03.15 未修正
資料之蒐集、處理及利用處理〈101.10.01 章名修正說明〉
本章規範非公務機關對個人資料之
蒐集、處理及利用，並非僅規範資
料之處理，爰將章名予以修正，以
資明確。
第十九條非公務機關對個第十九條非公務機關對個第十八條非公務機關對個〈105.03.15 施行修正條文說明〉
人資料之蒐集或處理，除人資料之蒐集或處理，除人資料之蒐集或電腦處理一、非公務機關基於「與當事人有
63
第六條第一項所規定資料第六條第一項所規定資料，非有特定目的，並符合契約或類似契約之關係」蒐集
外，應有特定目的，並符外，應有特定目的，並符左列情形之一者，不得為或處理個人資料時，非公務機
合下列情形之一者：合下列情形之一者：之：關應依第二十七條第一項規定
一、法律明文規定。一、法律明文規定。一、經當事人書面同意者採取適當之安全措施，防止個
二、與當事人有契約或類二、與當事人有契約或類。人資料被竊取、竄改、毀損、
似契約之關係，且已似契約之關係。二、與當事人有契約或類滅失或洩漏，爰修正第一項第
採取適當之安全措三、當事人自行公開或其似契約之關係而對當二款。
施。他已合法公開之個人事人權益無侵害之虞二、第一項第四款及第六款文字酌
三、當事人自行公開或其資料。者。作修正。
他已合法公開之個人四、學術研究機構基於公三、已公開之資料且無害三、放寬當事人「同意」之方式，
資料。共利益為統計或學術於當事人之重大利益不以書面同意為限，爰修正第
63
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
四、學術研究機構基於公研究而有必要，且資者。一項第五款。
共利益為統計或學術料經過提供者處理後四、為學術研究而有必要四、查現行公務機關依第十五條第
研究而有必要，且資或蒐集者依其揭露方且無害於當事人之重三款規定，於蒐集或處理當事
料經過提供者處理後式無從識別特定之當大利益者。人之個人資料時，得於特定目
或經蒐集者依其揭露事人。五、依本法第三條第七款的及「對當事人權益無侵害」
方式無從識別特定之五、經當事人書面同意。第二目有關之法規及之情形下，合法蒐集、處理當
當事人。六、與公共利益有關。其他法律有特別規定事人之個人資料。惟非公務機
五、經當事人同意。七、個人資料取自於一般者。關卻無相同規定可資適用，致
64
六、為增進公共利益所必可得之來源。但當事實務上非公務機關於特定情形
要。人對該資料之禁止處下欲蒐集個人資料反而窒礙難
七、個人資料取自於一般理或利用，顯有更值行，例如：請新任職員工或公
可得之來源。但當事得保護之重大利益者司客戶填寫緊急連絡人資料，
人對該資料之禁止處，不在此限。上述情況對於緊急連絡人權益
理或利用，顯有更值蒐集或處理者知悉或並無侵害，目前實務常以另行
得保護之重大利益者經當事人通知依前項第七取得緊急連絡人當事人書面同
，不在此限。款但書規定禁止對該資料意之方式為之，不僅造成困擾
八、對當事人權益無侵之處理或利用時，應主動，亦增加作業成本負擔，爰增
害。或依當事人之請求，刪除訂第一項第八款。
蒐集或處理者知悉或、停止處理或利用該個人〈101.10.01 施行修正條文說明〉
經當事人通知依前項第七資料。
64
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
款但書規定禁止對該資料一、條次變更。
之處理或利用時，應主動二、第一項文字略作修正，以求語
或依當事人之請求，刪除意明確順暢。另將「左列」修正
、停止處理或利用該個人為「下列」，以符合法制用語。
資料。又本條僅適用在一般個人資料，
特種資料之蒐集或處理，仍應依
本法第六條規定為之。
三、本次修正適用主體有關非公務
65
機關部分，已取消行業別之限制
，爰將現行條文第五款前段刪除
，並將後段酌作文字修正為「法
律明文規定」，款次移列為第一
款。
四、現行條文第二款後段規定「而
對當事人權益無侵害之虞」屬不
確定法律概念，適用上易滋疑義
，且蒐集、處理個人資料須符合
本法第五條規定，不得逾越必要
範圍，已有比例原則之規範，爰
予刪除。
65
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
五、當事人自行公開之個人資料，
已無保護必要。至於非由當事人
公開之情形，有合法公開與非法
公開，如非法公開之個人資料得
由他人任意蒐集、處理，對當事
人隱私權之保護勢必不週。是以
，將現行條文第三款規定之「已
公開之資料」修正為「已合法公
66
開之個人資料」。另同條後段規
定「且無害於當事人之重大利益
者」不易認定，爰予刪除。
六、學術研究機構基於統計或學術
研究目的，經常會蒐集個人資料
，如依其統計或研究計畫，當事
人資料經過提供者匿名化處理，
或蒐集者就其公布揭露方式無從
再識別特定當事人者，應無侵害
個人隱私權益之虞，應可允許其
蒐集、處理個人資料，以促進資
料之合理利用。惟為避免寬濫，
66
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
僅限制學術研究機構基於公共利
益而有必要者，始得為之，爰將
第四款規定，予以修正。
七、現行條文第一款移列為第五款
。
八、由於新聞自由屬於憲法第十一
條所保障言論自由之範圍(司法院
釋字第三六四、四 ○ 七、四一四
67
、五○九號解釋參照)，其目的為
使資訊流通順暢，並使人民參與
公共事務能獲得最充分資訊之知
的權利，以維持社會開放及民主
程序之運作，使人民得有效地監
督公共事務，新聞自由之制度性
保障固有其存在之必要。然而，
今日新聞媒體已非昔比，其所擁
有之巨大影響力亦非任何政治實
力可以掌握，稍有偏差，即有可
能對於報導之個人造成難以彌補
之傷害。從而，為維護人性尊嚴
67
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
與個人主體性及尊重人格自由發
展，隱私權亦為不可或缺之基本
權利，尤其是資訊科技及傳播工
具之發達，個人生活私密領域免
於他人侵擾及個人資料之自主控
制，均有其必要，並受憲法第二
十二條所保障(司法院釋字第六○
三號解釋參照)。因此，公共事務
68
之知的權利如涉及個人資料或個
人隱私時，應特別慎重，以免過
度侵入個人私的生活，故隱私權
與新聞自由之界限有更具體明確
之必要。新聞自由或知的權利與
隱私權之衝突，如何確立二者間
之界限，外國立法例有建立其判
斷標準。在美國聯邦最高法院有
關侵權行為或誹謗訴訟之判例中
，以「新聞價值」
(Newsworthiness)和「公眾人物」
(Public Figure)為判斷標準，上開
68
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二概念最終仍以「公共的領域」
，即「公共事務」或「與公共相
關之事務」為必要條件，故新聞
自由或知的權利與隱私權之界限
，其劃定標準應在於「事」而非
在於「人」，故「公共利益」已
足供作為判斷標準並簡單明確，
此亦與中華民國報業道德規範宗
69
旨相符，爰增訂第六款之規定。
九、由於資訊科技及網際網路之發
達，個人資料之蒐集、處理或利
用甚為普遍，尤其在網際網路上
張貼之個人資料其來源是否合法
，經常無法求證或需費過鉅，為
避免蒐集者動輒觸法或求證費時
，明定個人資料取自於一般可得
之來源者，亦得蒐集或處理，惟
為兼顧當事人之重大利益，如該
當事人對其個人資料有禁止處理
或利用，且相對於蒐集者之蒐集
69
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
或處理之特定目的，顯有更值得
保護之重大利益者，則不得為蒐
集或處理，仍應經當事人同意或
符合其他款規定事由者，始得蒐
集或處理個人資料，爰參考德國
聯邦個人資料保護法第二十八條
規定，增訂第七款之規定。
十、再者，依本條第七款但書規定
70
，當事人對其個人資料有禁止處
理或利用之情形，且蒐集或處理
者知悉或經通知者，應立即刪除
或停止處理或利用相關個人資料
，以確實維護當事人顯有更值得
保護之重大利益，爰配合增訂第
二項之規定。
刪除第十九條非公務機關未經〈101.10.01 施行修正條文說明〉
目的事業主管機關依本法一、本條刪除。
登記並發給執照者，不得二、適用本法之非公務機關已取消
為個人資料之蒐集、電腦行業別之限制，任何自然人、法
70
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
處理或國際傳遞及利用。人、機構或其他團體均有本法之
徵信業及以蒐集或電適用，自無需經目的事業主管機
腦處理個人資料為主要業關登記並發給執照之必要，爰將
務之團體或個人，應經目本條予以刪除。
的事業主管機關許可並經
登記及發給執照。
前二項之登記程序、
許可要件及收費標準，由
71
中央目的事業主管機關定
之。
刪除第二十條申請為前條之登〈101.10.01 施行修正條文說明〉
記，應具申請書，載明左一、本條刪除。
列事項：二、廢除非公務機關取得執照後始
一、申請人之姓名、住、得蒐集、電腦處理及利用個人資
居所。如係法人或非料之制度，自無需再申請登記，
法人團體，其名稱、爰將本條予以刪除。
主事務所、分事務所
或營業所及其代表人
或管理人之姓名、住
71
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
、居所。
二、個人資料檔案名稱。
三、個人資料檔案保有之
特定目的。
四、個人資料之類別。
五、個人資料之範圍。
六、個人資料檔案之保有
期限。
72
七、個人資料之蒐集方法
。
八、個人資料檔案之利用
範圍。
九、國際傳遞個人資料之
直接收受者。
十、個人資料檔案維護負
責人之姓名。
十一、個人資料檔案安全
維護計畫。
前項應記載之事項有
變更者，應於變更後十五
72
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
日內申請為變更登記。業
務終止時，應於終止事由
發生時起一個月內申請為
終止登記。
為前項業務終止登記
之申請時，應將其保有個
人資料之處理方法陳報目
的事業主管機關核准。
73
第一項第三款之特定
目的與第四款之資料類別
，由法務部會同中央目的
事業主管機關定之。
第一項第十一款之個
人資料檔案安全維護計畫
之標準及第三項之處理方
法，由中央目的事業主管
機關定之。
刪除第二十一條前條申請登記〈101.10.01 施行修正條文說明〉
核准後，非公務機關應將一、本條刪除。
73
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
前條第一項第一款至第十二、非公務機關取消行業別限制後
款所列之事項於政府公報，已無需申請登記，爰將本條予
公告並登載於當地新聞紙以刪除。
。
刪除第二十二條非公務機關應〈101.10.01 施行修正條文說明〉
備置簿冊登載第二十條第一、本條刪除。
一項第一款至第十款所列二、非公務機關取消行業別限制後
事項，並供查閱。，已無需申請登記及公告相關事
74
項，爰將本條予以刪除。
第二十條非公務機關對個第二十條非公務機關對個第二十三條非公務機關對〈105.03.15 施行修正條文說明〉
人資料之利用，除第六條人資料之利用，除第六條個人資料之利用，應於蒐一、第一項但書第二款及第五款文
第一項所規定資料外，應第一項所規定資料外，應集之特定目的必要範圍內字酌作修正。
於蒐集之特定目的必要範於蒐集之特定目的必要範為之。但有左列情形之一二、放寬當事人「同意」之方式，
圍內為之。但有下列情形圍內為之。但有下列情形者，得為特定目的外之利不以書面同意為限，爰修正第
之一者，得為特定目的外之一者，得為特定目的外用：一項但書第六款。
之利用：之利用：一、為增進公共利益者。三、非公務機關對於個人資料為特
一、法律明文規定。一、法律明文規定。二、為免除當事人之生命定目的外利用時，若客觀上有
二、為增進公共利益所必二、為增進公共利益。、身體、自由或財具體特定情況能證明係有利於
要。三、為免除當事人之生命產上之急迫危險者當事人權益者，應可允許之，
74
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
三、為免除當事人之生命、身體、自由或財。爰增訂第一項但書第七款。
、身體、自由或財產產上之危險。三、為防止他人權益之重〈101.10.01 施行修正條文說明〉
上之危險。四、為防止他人權益之重大危害而有必要者
四、為防止他人權益之重大危害。。
大危害。五、公務機關或學術研究四、當事人書面同意者。
(一)將序文「左列」修正為「下列
五、公務機關或學術研究機構基於公共利益
」，並將文字酌作修正，以符合
機構基於公共利益為為統計或學術研究
法制用語。又本條僅適用在一般
統計或學術研究而有而有必要，且資料
個人資料，特種資料之蒐集或處
75
必要，且資料經過提經過提供者處理後
理，仍應依本法第六條規定為之
供者處理後或經蒐集或蒐集者依其揭露
。
者依其揭露方式無從方式無從識別特定
(二)按法律有明文規定得特定目的
識別特定之當事人。之當事人。
外利用個人資料者，自應允許，
六、經當事人同意。六、經當事人書面同意。
爰增訂第一款規定。
七、有利於當事人權益。非公務機關依前項規
(三)現行條文第一款至第四款，款
非公務機關依前項規定利用個人資料行銷者，
次移列至第二、三、四、六款。
定利用個人資料行銷者，當事人表示拒絕接受行銷
(四)現行條文第二款之「急迫」二
當事人表示拒絕接受行銷時，應即停止利用其個人
字，甚難界定，爰予刪除，以資
時，應即停止利用其個人資料行銷。
明確。
資料行銷。非公務機關於首次行
(五)現行條文第三款之「而有必要
非公務機關於首次行銷時，應提供當事人表示
75
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
銷時，應提供當事人表示拒絕接受行銷之方式，並」屬不確定法律概念，易滋疑義
拒絕接受行銷之方式，並支付所需費用。，故予刪除。
支付所需費用。 (六)為促進資料合理利用，對於公
務機關執行法定職務，或學術研
究機構基於公共利益，從事統計
或學術研究工作，有必要蒐集個
人資料者，被請求提供資料之非
公務機關，應得允許特定目的外
76
利用該個人資料，提供作統計或
學術研究之用。惟為避免寬濫，
應僅限公務機關或學術研究機構
，始得為之，且該個人資料經過
處理後或依其揭露方式，無從識
別特定當事人，以保護個人資料
之隱私權益，爰增訂第五款規定
。
三、非公務機關依第一項規定，利
用個人資料從事商品行銷時(包括
特定目的內與特定目的外之利用)
，如當事人擬拒絕接受該產品之
76
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
行銷，只能依第三條規定，請求
停止處理或利用或刪除其個人資
料，往往緩不濟急。為尊重當事
人拒絕接受行銷之權利，爰參考
一九九五年歐盟資料保護指令
(95/46/EC) 第十四條、德國聯邦
個人資料保護法第二十八條第四
項規定，增訂第二項，明定當事
77
人表示拒絕接受行銷時，非公務
機關即應停止再利用其個人資料
進行行銷。
四、為便利當事人表達拒絕接受行
銷之意思表示，爰增訂第三項，
規定非公務機關對當事人進行首
次行銷時，應支付當事人拒絕行
銷之費用，例如，提供免付費電
話、免費回郵等。至於當事人日
後得隨時以自費方式，表示拒絕
再接受行銷，非公務機關應即停
止再利用其個人資料進行行銷，
77
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
自不待言。
第二十一條非公務機關為第二十四條非公務機關為本條 105.03.15 未修正
國際傳輸個人資料，而有國際傳遞及利用個人資料〈101.10.01 施行修正條文說明〉
下列情形之一者，中央目，而有左列情形之一者，
的事業主管機關得限制之目的事業主管機關得限制
二、「傳遞」二字究指內部之傳送(
：之：
處理行為)抑或提供給外部第三人
一、涉及國家重大利益。一、涉及國家重大利益者
(利用行為)，易滋疑義。爰將「
二、國際條約或協定有特。
國際傳遞及利用」修正為「國際
78
別規定。二、國際條約或協定有特
傳輸」，並將「國際傳輸」於第
三、接受國對於個人資料別規定者。
二條第六款明定其定義，包括資
之保護未有完善之三、接受國對於個人資料
料之處理與利用，以資明確。
法規，致有損當事之保護未有完善之
三、將「左列」修正為「下列」，
人權益之虞。法令，致有損當事
以符合法制用語。
四、以迂迴方法向第三國人權益之虞者。
四、鑑於違反本條限制規定，將受
（地區）傳輸個人四、以迂迴方法向第三國
有第四十一條規定之刑罰與第四
資料規避本法。傳遞或利用個人資
十七條規定之行政罰，本條所定
料規避本法者。
國際傳輸之限制，宜由中央目的
事業主管機關為之，較為妥適，
爰作修正。
78
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
五、中央目的事業主管機關發現有
本條所列各款情形之一，應限制
非公務機關國際傳輸個人資料者
，得視事實狀況，以命令或個別
之行政處分限制之，併予敘明。
六、第四款文字配合修正，增列（
地區）二字。
第二十二條中央目的事業第二十五條目的事業主管本條 105.03.15 未修正
79
主管機關或直轄市、縣（機關，認有必要時，得派〈101.10.01 施行修正條文說明〉
市）政府為執行資料檔案員攜帶證明文件，對於應
安全維護、業務終止資料受其許可或登記之非公務
處理方法、國際傳輸限制機關，就本法規定之相關
(一)按適用本法之非公務機關，業
或其他例行性業務檢查而事項命其提供有關資料或
已取消行業別之限制，亦即任何
認有必要或有違反本法規為其他必要之配合措施，
自然人、法人或團體均有本法之
定之虞時，得派員攜帶執並得進入檢查。經發現有
適用。基於落實保護個人資料隱
行職務證明文件，進入檢違反本法規定之資料，得
私權益之立法意旨，自宜設立專
查，並得命相關人員為必扣押之。
責機關為主管機關，但在未設立
要之說明、配合措施或提對於前項之命令、檢
專責機關之前，由何機關為本法
供相關證明資料。查或扣押，非公務機關不
之主管機關，在認定與權責劃分
79
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
中央目的事業主管機得規避、妨礙或拒絕。上，實有窒礙之處。查現今社會
關或直轄市、縣（市）政中個人資料已為各個行業不可或
府為前項檢查時，對於得缺之資訊，上至銀行、電信公司
沒入或可為證據之個人資，下至私人診所、錄影帶店均會
料或其檔案，得扣留或複蒐集顧客之個人資料並建立檔案
製之。對於應扣留或複製，成為經營該業務重要之一環。
之物，得要求其所有人、由於各個行業均有其目的事業主
持有人或保管人提出或交管機關，有屬中央者，有屬地方
80
付；無正當理由拒絕提出者，而個人資料之蒐集、處理或
、交付或抗拒扣留或複製利用，與該事業之經營關係密切
者，得採取對該非公務機，應屬該事業之附屬業務，自宜
關權益損害最少之方法強由原各該主管機關，一併監督管
制為之。理與其業務相關之個人資料保護
中央目的事業主管事項，較為妥適。因此，本修正
機關或直轄市、縣（市）條文不作有關「本法之主管機關
政府為第一項檢查時，得」定義性規定，至於現行條文規
率同資訊、電信或法律等定「目的事業主管機關」應辦理
專業人員共同為之。之事項，於各條文中，直接修正
對於第一項及第二由「中央目的事業主管機關或直
項之進入、檢查或處分，轄市政府、縣（市）政府」辦理
80
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
非公務機關及其相關人員，以資明確，避免爭議。
不得規避、妨礙或拒絕。 (二)為落實個人資料之保護，應賦
參與檢查之人員，予監督機關有命令、檢查及處分
因檢查而知悉他人資料者權，爰修正第一項，規定中央目
，負保密義務。的事業主管機關或直轄市、縣（
市）政府為執行資料檔案安全維
護、業務終止資料處理方法、國
際傳輸限制或其他例行性業務檢
81
查而認有必要或有違反本法規定
之虞時，得派員攜帶執行職務證
明文件，進入該非公務機關檢查
或要求說明、提供相關證明資料
，以強化監督機關之權責。
三、檢查人員發現非公務機關違反
本法規定，如將所有儲存媒介物
設備予以查扣，恐有違比例原則
，爰於第二項規定，檢查時發現
得沒入或可為證據之個人資料或
檔案，而有扣留或複製之必要者
，得予扣留或複製之。此外，以
81
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
電腦儲存之資料檔案，其消磁、
刪除或移轉非常快速，如檢查時
未能即時扣留或複製，該違法資
料或證據極易被湮滅或消除，檢
查機關亦得要求應扣留或複製物
之所有人、持有人或保管人提出
或交付，且於遇有無正當理由拒
絕提出、交付或抗拒扣留或複製
82
者，得強制為之，但應採取對該
非公務機關權益損害最少之方法
，以避免違反比例原則，例如：
得複製檔案時，即無需予以扣留
。
四、被檢查之個人資料檔案，有可
能以不同方式儲存於各種類型媒
介物，如未具有相當專業知識，
勢必無法達成檢查目的，爰於第
三項規定檢查機關得率同資訊、
電信或法律等專業人員共同進行
檢查。
82
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
五、現行條文第二項，配合第一項
文字修正後，移列為第四項。
六、為確保個人資料之隱私性，避
免資料當事人二度受到傷害，增
訂第五項明定因檢查而知悉他人
資料者，應負保密義務，不得洩
漏。
第二十三條對於前條第二本條 105.03.15 未修正
83
項扣留物或複製物，應加〈101.10.01 施行修正條文說明〉
封緘或其他標識，並為適
當之處置；其不便搬運或
二、第一項明定扣留物或複製物應
保管者，得命人看守或交
加具識別之標示，並為適當之處
由所有人或其他適當之人
理，以確保其安全。
保管。
三、扣留物或複製物除應沒入或因
扣留物或複製物已
調查他案而有留存之必要者，應
無留存之必要，或決定不
繼續扣留外，如無必要留存，或
予處罰或未為沒入之裁處
決定不予處罰或未為沒入之裁處
者，應發還之。但應沒入
者，應即發還，以保障民眾權益
或為調查他案應留存者，
。爰為第二項規定。
83
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
不在此限。
第二十四條非公務機關、本條 105.03.15 未修正
物之所有人、持有人、保〈101.10.01 施行修正條文說明〉
管人或利害關係人對前二
條之要求、強制、扣留或
二、當事人或物之所有人、持有人
複製行為不服者，得向中
、保管人、利害關係人，對檢查
央目的事業主管機關或直
或扣留、複製資料檔案行為認有
轄市、縣（市）政府聲明
違法或不當時，應有表示不服聲
84
異議。
明異議之權利，以為救濟，爰增
前項聲明異議，中
訂第一項。
央目的事業主管機關或直
三、增訂第二項，明定對於當事人
轄市、縣（市）政府認為
等聲明之異議，執行檢查之機關
有理由者，應立即停止或
認有理由者，應立即停止或變更
變更其行為；認為無理由
其行為；認無理由者，得繼續執
者，得繼續執行。經該聲
行。但因當事人等得於日後對此
明異議之人請求時，應將
檢查或其他強制、扣留或複製行
聲明異議之理由製作紀錄
為，提起救濟，是以經其請求時
交付之。
，應將聲明異議之理由製作紀錄
對於中央目的事業
交付之，不得拒絕。
84
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
主管機關或直轄市、縣（四、第三項明定當事人等對於聲明
市）政府前項決定不服者異議之決定不服時，僅得於對該
，僅得於對該案件之實體案件之實體決定聲明不服時一併
決定聲明不服時一併聲明聲明之，不得單獨提起救濟；至
之。但第一項之人依法不於當事人等依法不得對該案件之
得對該案件之實體決定聲實體決定聲明不服時，則可單獨
明不服時，得單獨對第一對第一項之檢查、扣留、複製或
項之行為逕行提起行政訴其他強制行為，逕行提起行政訴
85
訟。訟，以保障其權利。
第二十五條非公務機關有本條 105.03.15 未修正
違反本法規定之情事者，〈101.10.01 施行修正條文說明〉
中央目的事業主管機關或
直轄市、縣（市）政府除
二、中央目的事業主管機關或直轄
依本法規定裁處罰鍰外，
市、縣（市）政府，發現非公務
並得為下列處分：
機關蒐集、處理或利用個人資料
一、禁止蒐集、處理或利
有違反本法規定之情形者，除依
用個人資料。
法裁處罰鍰外，自應採取必要之
二、命令刪除經處理之個
處分，以保護當事人之權益不被
人資料檔案。
繼續侵害。為期處分種類明確起
85
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
三、沒入或命銷燬違法蒐見，爰於第一項規定得為之處分
集之個人資料。包括：禁止蒐集、處理或利用個
四、公布非公務機關之違人資料；命令刪除該違法蒐集處
法情形，及其姓名理之個人資料檔案；對違法蒐集
或名稱與負責人。或處理之個人資料予以沒入或命
中央目的事業主管銷燬；公布姓名、名稱與負責人
機關或直轄市、縣（市）及違法情形等。
政府為前項處分時，應於三、中央目的事業主管機關或直轄
86
防制違反本法規定情事之市、縣（市）政府在作前項之處
必要範圍內，採取對該非分時，應注意該非公務機關之權
公務機關權益損害最少之益，採取對其損害最少之方式為
方法為之。之，不得逾越必要範圍，以符合
比例原則，爰為第二項之規定。
第二十六條中央目的事業本條 105.03.15 未修正
主管機關或直轄市、縣（〈101.10.01 施行修正條文說明〉
市）政府依第二十二條規
定檢查後，未發現有違反
二、檢查結果雖未發現有違法情事
本法規定之情事者，經該
，中央目的事業主管機關或直轄
非公務機關同意後，得公
市、縣（市）政府(檢查機關)，
86
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
布檢查結果。經徵得被檢查之非公務機關同意
，仍得公布檢查結果，以昭公信
，爰為本條規定。
第二十七條非公務機關保第二十六條第十二條、第本條 105.03.15 未修正
有個人資料檔案者，應採十三條、第十五條、第十〈101.10.01 施行修正條文說明〉
行適當之安全措施，防止六條第一項及第十七條之
個人資料被竊取、竄改、規定，於非公務機關準用
毀損、滅失或洩漏。之。
(一)非公務機關準用現行條文第十
87
中央目的事業主管非公務機關準用第十
二條、第十三條、第十五條、第
機關得指定非公務機關訂六條第一項規定酌收費用
十六條第一項規定，已分別於修
定個人資料檔案安全維護之標準，由中央目的事業
正條文第十條、第十一條、第十
計畫或業務終止後個人資主管機關定之。
三條及第十四條明定之，爰刪除
料處理方法。
現行條文第一項有關上開規定之
前項計畫及處理方
準用及第二項規定。
法之標準等相關事項之辦
(二)非公務機關雖不再準用公務機
法，由中央目的事業主管
關「指定專人依相關法令辦理安
機關定之。
全維護事項」之規定，惟對於所
保有之個人資料檔案，仍應負安
全保管責任，爰參考丹麥個人資
87
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
料處理法第四十一條，規定非公
務機關應採行適當之安全維護措
施，防止個人資料被竊取、竄改
、毀損、滅失或洩漏。
三、由於非公務機關行業別限制取
消，現行條文第二十條第五項業
已刪除。然某些行業如銀行、電
信、醫院、保險等，因保有大量
88
且重要之個人資料檔案，其所負
之安全保管責任應較一般行業為
重，爰增訂第二項規定，授權中
央目的事業主管機關得指定特定
之非公務機關，要求其訂定個人
資料檔案安全維護計畫或業務終
止後個人資料處理方法，以加強
管理，確保個人資料之安全維護
。
四、前項規定非公務機關訂定個人
資料檔案安全維護計畫或業務終
止後個人資料處理方法，宜有相
88
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
關規範，以為依循，爰增訂第三
項規定，授權由中央目的事業主
管機關訂定辦法。
第四章損害賠償及團體訴第四章損害賠償及其他救章名 105.03.15 未修正
訟濟〈101.10.01 章名修正說明〉
一、章名修正。
二、現行條文第三十一條、第三十
二條有關請求監督機關為適當處
89
理之規定，業已刪除，回歸一般
行政救濟或民法規定辦理。另增
訂相關團體訴訟之規定，爰將章
名修正為「損害賠償及團體訴訟
」。
第二十八條公務機關違反第二十七條公務機關違反本條 105.03.15 未修正
本法規定，致個人資料遭本法規定，致當事人權益〈101.10.01 施行修正條文說明〉
不法蒐集、處理、利用或受損害者，應負損害賠償
其他侵害當事人權利者，責任。但損害因天災、事
二、第一項將現行條文「致當事人
負損害賠償責任。但損害變或其他不可抗力所致者
權益受損害者」等文字，修正為
因天災、事變或其他不可，不在此限。
89
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
抗力所致者，不在此限。被害人雖非財產上「致個人資料遭不法蒐集、處理
被害人雖非財產上之損害，亦得請求賠償相、利用或其他侵害當事人權利者
之損害，亦得請求賠償相當之金額；其名譽被侵害」，使其與國家賠償法第二條第
當之金額；其名譽被侵害者，並得請求為回復名譽二項及民法第一百八十四條第一
者，並得請求為回復名譽之適當處分。項規定用語一致。
之適當處分。前二項損害賠償總三、基於有損害始有賠償之法理，
依前二項情形，如額，以每人每一事件新臺當事人能證明之損害均得請求賠
被害人不易或不能證明其幣二萬元以上十萬元以下償，且本法規範有不足者，亦得
90
實際損害額時，得請求法計算。但能證明其所受之依民法相關規定為之。例外於當
院依侵害情節，以每人每損害額高於該金額者，不事人不易或不能證明其實際損害
一事件新臺幣五百元以上在此限。額之情形時，始有規範每人每一
二萬元以下計算。基於同一原因事實事件賠償金額上、下限之必要。
對於同一原因事實應對當事人負損害賠償責另考量個人資料之價值性及當事
造成多數當事人權利受侵任者，其合計最高總額以人行使請求權、出庭作證之意願
害之事件，經當事人請求新臺幣二千萬元為限。，擬參酌法院辦理民事事件證人
損害賠償者，其合計最高第二項請求權，不鑑定人日費旅費及鑑定費支給標
總額以新臺幣二億元為限得讓與或繼承。但以金額準第三點「證人、鑑定人到場之
。但因該原因事實所涉利賠償之請求權已依契約承日費，每次依新臺幣伍佰元支給
益超過新臺幣二億元者，諾或已起訴者，不在此限」之規定，並兼顧法院在個案之
以該所涉利益為限。。裁量權限及防止有心人士興訟，
90
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
同一原因事實造成之將賠償金額下限往下修正為伍佰
損害總額逾前項金額時，元，以便法院為個案審理及判決
被害人所受賠償金額，不。又上限部分亦配合下限降低。
受第三項所定每人每一事四、違法侵害個人資料事件，可能
件最低賠償金額新臺幣五一個行為有眾多被害人或造成損
百元之限制。害過於鉅大，為避免賠償額過鉅
第二項請求權，不得無法負擔並為風險預估與控管，
讓與或繼承。但以金額賠現行條文第四項遂規定合計賠償
91
償之請求權已依契約承諾最高總額以新臺幣二千萬元為限
或已起訴者，不在此限。。惟現今公務機關或非公務機關
蒐集、處理、利用或國際傳輸個
人資料之情形日漸普遍，為加重
個人資料蒐集者或持有者之責任
，促其重視維護個人資料檔案安
全之措施，並使被害人能受到較
高額度之賠償，且總額限制之金
額過低時，恐將產生實務操作之
困難，爰修正第四項規定，將賠
償總額新臺幣二千萬元之限制，
提高為新臺幣二億元。另基於同
91
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
一原因事實違法侵害個人資料事
件，如其所涉利益超過新臺幣二
億元者，自不宜再以該金額限制
之，而以該所涉利益為限。
五、同一原因事實造成之被害人數
過多或部分被害人實際損害嚴重
，致損害總額超過第四項所定總
額限制之新台幣二億元或所涉利
92
益時，為避免第三項規定之賠償
下限與第四項規定之賠償總額限
制產生矛盾，爰增訂第五項規定
，使其不受第三項所定每人每一
事件最低賠償金額新台幣五百元
之限制，以配合第四項對於單一
原因事實賠償總額限制之規定。
六、第二項及第五項未修正。
第二十九條非公務機關違第二十八條非公務機關違本條 105.03.15 未修正
反本法規定，致個人資料反本法規定，致當事人權〈101.10.01 施行修正條文說明〉
遭不法蒐集、處理、利用益受損害者，應負損害賠
92
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
或其他侵害當事人權利者償責任。但能證明其無故二、將現行條文第一項「致當事人
，負損害賠償責任。但能意或過失者，不在此限。權益受損害者」等文字修正為「
證明其無故意或過失者，依前項規定請求賠侵害當事人權利者」，修正理由
不在此限。償者，適用前條第二項至同前條理由二。
依前項規定請求賠第五項之規定。三、現行條文第二項配合前條款次
償者，適用前條第二項至修正而調整文字。
第六項規定。
第三十條損害賠償請求權第二十九條損害賠償請求本條 105.03.15 未修正
93
，自請求權人知有損害及權，自請求權人知有損害〈101.10.01 施行修正條文說明〉
賠償義務人時起，因二年及賠償義務人時起，因二
條次變更，內容未修正。
間不行使而消滅；自損害年間不行使而消滅；自損
發生時起，逾五年者，亦害發生時起，逾五年者，
同。亦同。
第三十一條損害賠償，除第三十條損害賠償，除依本條 105.03.15 未修正
依本法規定外，公務機關本法規定外，公務機關適〈101.10.01 施行修正條文說明〉
適用國家賠償法之規定，用國家賠償法之規定，非
非公務機關適用民法之規公務機關適用民法之規定
定。。
刪除第三十一條當事人向公務〈101.10.01 施行修正條文說明〉
93
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
機關行使第四條所定之權一、本條刪除。
利，經拒絕或未於第十五二、當事人依本法第三條規定向公
條所定之期限內處理者，務機關行使權利遭受拒絕，或逾
當事人得於拒絕後或期限越本法第十三條規定之期限仍未
屆滿後二十日內，以書面獲處理者，因其性質屬行政處分
向其監督機關請求為適當，自得依訴願法或行政訴訟法相
之處理。關規定尋求救濟。本條應無規範
前項監督機關應於必要，爰予刪除。
94
收受請求後二個月內，將
處理結果以書面通知請求
人。
刪除第三十二條當事人向非公〈101.10.01 施行修正條文說明〉
務機關行使第四條所定之一、本條刪除。
權利，經拒絕後，當事人二、當事人依本法第三條規定向非
得於拒絕後或期限屆滿後公務機關行使權利遭受拒絕，或
二十日內，以書面向其目逾越本法第十三條規定之期限仍
的事業主管機關請求為適未獲處理者，因該爭議屬私權性
當之處理。質，當事人自宜循司法訴訟程序
前項目的事業主管請求救濟。本條應無規範必要，
94
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
機關應於收受請求後二個爰予刪除。
月內，將處理結果以書面
通知請求人。認其請求有
理由者，並應限期命該非
公務機關改正之。
第三十二條依本章規定提本條 105.03.15 未修正
起訴訟之財團法人或公益〈101.10.01 施行修正條文說明〉
社團法人，應符合下列要
95
件：
二、為鼓勵民間公益團體能參與個
一、財團法人之登記財產
人資料之保護並方便被害民眾行
總額達新臺幣一千萬
使本法規定之損害賠償請求權，
元或社團法人之社員
爰於本章增訂團體訴訟相關規定
人數達一百人。
，期能發揮民間團體力量，共同
二、保護個人資料事項於
推動個人資料保護工作。
其章程所定目的範圍
三、目前社會上公益性民間團體甚
內。
多，良莠不齊，如均可以為被害
民眾提起團體訴訟，恐會發生濫
訟情形，或衍生其他弊端。對於
得依本法規定提起團體訴訟之財
95
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
團法人或公益社團法人，須符合
本條所定要件，始得為之。
第三十三條依本法規定對本條 105.03.15 未修正
於公務機關提起損害賠償〈101.10.01 施行修正條文說明〉
訴訟者，專屬該機關所在
地之地方法院管轄。對於
二、有關侵害個人資料之損害賠償
非公務機關提起者，專屬
訴訟，不論單一事件單一受害人
其主事務所、主營業所或
，或同一原因事實造成多數當事
96
住所地之地方法院管轄。
人權利受侵害，亦不論其請求權
前項非公務機關為
依據，皆採專屬管轄，爰參考民
自然人，而其在中華民國
事訴訟法第一條及非訟事件法第
現無住所或住所不明者，
二條規定增訂本條，以利實務操
以其在中華民國之居所，
作。
視為其住所；無居所或居
所不明者，以其在中華民
國最後之住所，視為其住
所；無最後住所者，專屬
中央政府所在地之地方法
院管轄。
96
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第一項非公務機關
為自然人以外之法人或其
他團體，而其在中華民國
現無主事務所、主營業所
或主事務所、主營業所不
明者，專屬中央政府所在
地之地方法院管轄。
第三十四條對於同一原因本條 105.03.15 未修正
97
事實造成多數當事人權利〈101.10.01 施行修正條文說明〉
受侵害之事件，財團法人
或公益社團法人經受有損
二、第一項至第二項係參考證券投
害之當事人二十人以上以
資人及期貨交易人保護法第二十
書面授與訴訟實施權者，
八條第一項至第三項之規定，及
得以自己之名義，提起損
民事訴訟法擴大選定當事人法理
害賠償訴訟。當事人得於
，明定財團法人或公益社團法人
言詞辯論終結前以書面撤
須由二十人以上受有損害之當事
回訴訟實施權之授與，並
人授與訴訟實施權後，得以自己
通知法院。
之名義提起損害賠償訴訟，及在
前項訴訟，法院得
訴訟程序中，有關撤回訴訟實施
97
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
依聲請或依職權公告曉示權之授與、擴張應受判決事項之
其他因同一原因事實受有聲明與授與等事項之規定。
損害之當事人，得於一定三、為使團體訴訟制度能確實發揮
期間內向前項起訴之財團其應有之功能，並利於法院審理
法人或公益社團法人授與，宜一併建立公告曉示及併案審
訴訟實施權，由該財團法理機制，爰修正第二項並增訂第
人或公益社團法人於第一三項規定。
審言詞辯論終結前，擴張四、其他因同一原因事實受有損害
98
應受判決事項之聲明。之當事人，宜使其亦得聲請法院
其他因同一原因事為公告曉示，俾維護其權益，爰
實受有損害之當事人未依增訂第四項。
前項規定授與訴訟實施權五、公告方式及其費用負擔，宜有
者，亦得於法院公告曉示明文，俾免爭議，且為避免法院
之一定期間內起訴，由法公告處不敷使用，爰仿消費者債
院併案審理。務清理條例第十四條第一項規定
其他因同一原因事，增訂第五項。
實受有損害之當事人，亦六、第六項規定係為鼓勵民眾能多
得聲請法院為前項之公告利用本條規定之團體訴訟機制，
。請求損害賠償，並落實保護當事
前二項公告，應揭人之立法意旨，爰參考民事訴訟
98
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
示於法院公告處、資訊網法第七十七條之二十二第一項規
路及其他適當處所；法院定，明定提起團體訴訟裁判費之
認為必要時，並得命登載暫免徵收方式。
於公報或新聞紙，或用其
他方法公告之，其費用由
國庫墊付。
依第一項規定提起
訴訟之財團法人或公益社
99
團法人，其標的價額超過
新臺幣六十萬元者，超過
部分暫免徵裁判費。
第三十五條當事人依前條本條 105.03.15 未修正
第一項規定撤回訴訟實施〈101.10.01 施行修正條文說明〉
權之授與者，該部分訴訟
程序當然停止，該當事人
二、第一項明定當事人撤回訴訟實
應即聲明承受訴訟，法院
施權，法院應停止該部分之訴訟
亦得依職權命該當事人承
程序，當事人應即聲明承受訴訟
受訴訟。
，法院亦得命當事人承受訴訟，
財團法人或公益社
以兼顧當事人原已起訴之權益(如
99
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
團法人依前條規定起訴後中斷時效)。
，因部分當事人撤回訴訟三、基於訴訟安定及誠信原則，爰
實施權之授與，致其餘部於第二項明定財團法人或公益社
分不足二十人者，仍得就團法人提起本條訴訟後，縱因部
其餘部分繼續進行訴訟。分當事人撤回訴訟實施權，致其
人數未達二十人，仍得就其餘部
分繼續進行訴訟。
第三十六條各當事人於第本條 105.03.15 未修正
100
三十四條第一項及第二項〈101.10.01 施行修正條文說明〉
之損害賠償請求權，其時
效應分別計算。
二、眾多之個人資料遭受侵害，各
當事人之損害賠償請求權時效，
不盡相同。爰參考證券投資人及
期貨交易人保護法第三十條及消
費者保護法第五十條第四項，明
定其時效應分別計算，以期公平
並免爭議。
第三十七條財團法人或公本條 105.03.15 未修正
100
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
益社團法人就當事人授與〈101.10.01 施行修正條文說明〉
訴訟實施權之事件，有為一、本條新增。
一切訴訟行為之權。但當二、財團法人或公益社團法人為當
事人得限制其為捨棄、撤事人提起團體訴訟時，原則上有
回或和解。為一切訴訟行為之權。但有關捨
前項當事人中一人棄、撤回或和解事項，影響當事
所為之限制，其效力不及人權益甚鉅，當事人自得限制之
於其他當事人。。另當事人中一人所為之限制效
第一項之限制，應
101
力及其方式，亦有規範必要，以
於第三十四條第一項之文資明確。爰參考證券投資人及期
書內表明，或以書狀提出貨交易人保護法第三十一條，增
於法院。訂本條規定。
第三十八條當事人對於第本條 105.03.15 未修正
三十四條訴訟之判決不服〈101.10.01 施行修正條文說明〉
者，得於財團法人或公益
社團法人上訴期間屆滿前
二、第一項明定當事人得自行提起
，撤回訴訟實施權之授與
上訴之要件及時期。
，依法提起上訴。
三、第二項明定財團法人或公益社
財團法人或公益社
團法人應將訴訟結果及是否提起
101
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
團法人於收受判決書正本上訴之意旨，儘速以書面方式通
後，應即將其結果通知當知當事人，俾當事人及早採行因
事人，並應於七日內將是應措施，以保障其權益。
否提起上訴之意旨以書面
通知當事人。
第三十九條財團法人或公本條 105.03.15 未修正
益社團法人應將第三十四〈101.10.01 施行修正條文說明〉
條訴訟結果所得之賠償，
102
扣除訴訟必要費用後，分
二、財團法人或公益社團法人為當
別交付授與訴訟實施權之
事人提起團體訴訟，係為了多數
當事人。
受害人之利益，而非為其自身利
提起第三十四條第
益。是以，該訴訟如勝訴而得到
一項訴訟之財團法人或公
賠償，扣除訴訟必要費用後，自
益社團法人，均不得請求
應分別交付授與訴訟實施權之當
報酬。
事人，且不得請求報酬，以避免
有趁機圖利之情事。爰參考證券
投資人及期貨交易人保護法第三
十三條及消費者保護法第五十條
，增訂本條。
102
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第四十條依本章規定提起本條 105.03.15 未修正
訴訟之財團法人或公益社〈101.10.01 施行修正條文說明〉
團法人，應委任律師代理
訴訟。
二、財團法人或公益社團法人依第
三十四條第一項規定提起團體訴
訟者，應委任律師代理訴訟，除
期能加強該訴訟品質外，並符合
民事訴訟法第六十八條第一項本
103
文，有關訴訟代理人應委任律師
之規定。爰參考消費者保護法第
四十九條第二項前段，增訂本條
規定。
第五章罰則第五章罰則章名未修正。
第四十一條意圖為自己或第四十一條違反第六條第第三十三條意圖營利違反〈105.03.15 施行修正條文說明〉
第三人不法之利益或損害一項、第十五條、第十六第七條、第八條、第十八行為人非意圖為自己或第三人不法
他人之利益，而違反第六條、第十九條、第二十條條、第十九條第一項、第之利益或損害他人之利益，而違反
條第一項、第十五條、第第一項規定，或中央目的二項、第二十三條之規定本法相關規定者，因其可受非難性
十六條、第十九條、第二事業主管機關依第二十一或依第二十四條所發布之之程度較低，原則以民事損害賠償
十條第一項規定，或中央條限制國際傳輸之命令或限制命令，致生損害於他、處以行政罰為已足。惟行為人如
103
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
目的事業主管機關依第二處分，足生損害於他人者人者，處二年以下有期徒有意圖為自己或第三人不法之利益
十一條限制國際傳輸之命，處二年以下有期徒刑、刑、拘役或科或併科新臺或損害他人之利益而違反本法相關
令或處分，足生損害於他拘役或科或併科新臺幣二幣四萬元以下罰金。規定，因其可受非難性之程度較高
人者，處五年以下有期徒十萬元以下罰金。，仍有以刑罰處罰之必要，爰為本
刑，得併科新臺幣一百萬意圖營利犯前項之條之修正。
元以下罰金。罪者，處五年以下有期徒〈101.10.01 施行修正條文說明〉
刑，得併科新臺幣一百萬
元以下罰金。
104
(一)修正主觀構成要件，不具營利
意圖者，亦構成犯罪。
(二)鑑於現行條文第十九條之登記
證照制度業已刪除，爰將現行條
文有關違反第十九條第一項、第
二項之規定刪除，另增訂違反第
六條第一項規定(違法蒐集、處理
或利用特種個人資料)者，亦須處
罰之規定，其餘配合條次變更予
以修正。
(三)為避免罰金數額上限偏低，無
104
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
法收刑懲之效，爰提高罰金數額
上限至新臺幣二十萬元。
三、增訂第二項，規定意圖營利犯
前項之罪者，刑罰提高到五年以
下有期徒刑，得併科新臺幣一百
萬元以下罰金，期能遏阻盜賣個
人資料之不法行為。
第四十二條意圖為自己或第三十四條意圖為自己或本條 105.03.15 未修正
105
第三人不法之利益或損害第三人不法之利益或損害〈101.10.01 施行修正條文說明〉
他人之利益，而對於個人他人之利益，而對於個人
資料檔案為非法變更、刪資料檔案為非法輸出、干
二、本條立法意旨在於處罰以非法
除或以其他非法方法，致擾、變更、刪除或以其他
方式妨害個人資料檔案正確性之
妨害個人資料檔案之正確非法方法妨害個人資料檔
行為。現行條文之「輸出」二字
而足生損害於他人者，處案之正確，致生損害於他
，易誤解為傳輸個人資料檔案，
五年以下有期徒刑、拘役人者，處三年以下有期徒
即使未妨害該個人資料檔案之正
或科或併科新臺幣一百萬刑、拘役或科新臺幣五萬
確性亦得處罰，爰予刪除「輸出
元以下罰金。元以下罰金。
」二字。另將致生損害結果文字
略作修正，以資明確。
三、為期本條刑責與偽造文書罪及
105
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
妨害電腦使用罪平衡起見，爰將
刑度修正提高為「五年以下有期
徒刑、拘役或科或併科新臺幣一
百萬元以下罰金。」
第四十三條中華民國人民本條 105.03.15 未修正
在中華民國領域外對中華〈101.10.01 施行修正條文說明〉
民國人民犯前二條之罪者
，亦適用之。
二、違法侵害個人資料之行為，並
106
不限於在我國境內始足為之，為
強化對個人資料之保護，爰增定
本條規定。
三、參考日本行政機關保有個人資
訊保護法第五十六條、獨立行政
法人等保有個人資訊保護法第五
十三條規定。
第四十四條公務員假借職第三十五條公務員假借職本條 105.03.15 未修正
務上之權力、機會或方法務上之權力、機會或方法〈101.10.01 施行修正條文說明〉
，犯本章之罪者，加重其，犯前二條之罪者，加重
條次變更，文字酌作修正。
刑至二分之一。其刑至二分之一。
106
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第四十五條本章之罪，須第四十五條本章之罪，須第三十六條本章之罪，須〈105.03.15 施行修正條文說明〉
告訴乃論。但犯第四十一告訴乃論。但犯第四十一告訴乃論。配合第四十一條之修正，酌修本條
條之罪者，或對公務機關條第二項之罪者，或對公但書規定。
犯第四十二條之罪者，不務機關犯第四十二條之罪〈101.10.01 施行修正條文說明〉
在此限。者，不在此限。
二、由於意圖營利而違法蒐集、處
理或利用個人資料，或違反限制
國際傳輸之命令或處分者，惡性
107
較為重大，且侵害個人隱私權益
甚鉅，爰增訂但書規定，對於第
四十一條第二項之罪者，排除需
告訴乃論，即令無被害人提出告
訴，亦得追究犯罪者之刑事責任
，以期加強打擊盜賣個人資料之
不法行為。
三、鑑於刑法第三百六十一條與刑
法第三百六十三條規定，攻擊公
務機關電腦或其相關設備係非告
訴乃論罪，爰於但書一併規定，
107
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
對公務機關犯第四十二條之罪者
，毋庸告訴乃論，以求一致。
第四十六條犯本章之罪，第三十七條犯本章之罪，本條 105.03.15 未修正
其他法律有較重處罰規定其他法律有較重處罰規定〈101.10.01 施行修正條文說明〉
者，從其規定。者，從其規定。
第四十七條非公務機關有第三十八條有左列情事之本條 105.03.15 未修正
下列情事之一者，由中央一者，由目的事業主管機〈101.10.01 施行修正條文說明〉
目的事業主管機關或直轄關處負責人新臺幣二萬元
108
市、縣（市）政府處新臺以上十萬元以下罰鍰，並
二、本條係針對非公務機關違反本
幣五萬元以上五十萬元以令限期改正，逾期未改正
法規定時，所得科處之行政罰。
下罰鍰，並令限期改正，者，按次處罰之：
為期明確，爰於本條序文明定處
屆期未改正者，按次處罰一、違反第十八條規定者
罰範疇為「非公務機關」。
之：。
三、將序文中之「左列」修正為「
一、違反第六條第一項規二、違反第十九條第一項
定。或第二項規定者。
四、明定處罰機關為中央目的事業
二、違反第十九條規定。三、違反第二十三條規定
主管機關或直轄市、縣（市）政
三、違反第二十條第一項者。
府，修正理由參照本法第二十二
規定。四、違反依第二十四條所
條理由二(一)。
四、違反中央目的事業主發布之限制命令者
108
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
管機關依第二十一。五、本法適用對象已無行業別限制
條規定限制國際傳有前項第一款、第，故非公務機關不再以法人或團
輸之命令或處分。三款或第四款之情事，其體為限，為達處罰效果，爰將現
情節重大者，並得撤銷依行法處罰對象為非公務機關之負
本法所為之許可或登記。責人修正為該非公務機關。至於
該非公務機關有代表人、管理人
或其他有代表權人，而未盡防止
義務者，則並受同一罰鍰之處罰
，另於本法第五十條規定之。
109
六、為避免罰鍰數額上限及下限偏
低，無法收處罰之效，爰提高本
條罰鍰數額為新臺幣五萬元以上
五十萬元以下。
七、增列第一款明定違反第六條規
定者應予處罰，並將現行條文第
一款移列為第二款；第三款、第
四款規定之條次配合修正。
八、本法已廢除非公務機關應經許
可或登記制度，爰刪除第一項第
二款與第二項規定。
109
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第四十八條非公務機關有第三十九條有左列情事之本條 105.03.15 未修正
下列情事之一者，由中央一者，由目的事業主管機〈101.10.01 施行修正條文說明〉
目的事業主管機關或直轄關限期改正，逾期未改正
市、縣（市）政府限期改者，按次處負責人新臺幣
二、本條序文增訂「非公務機關」
正，屆期未改正者，按次一萬元以上五萬元以下罰
等字，修正理由同前條理由二。
處新臺幣二萬元以上二十鍰：
三、將序文中之「左列」修正為「
萬元以下罰鍰：一、違反第二十條第二項
一、違反第八條或第九條之規定者。
四、處罰對象修正為「非公務機關
規定。二、違反第二十一條關於
110
」，修正理由同前條理由五。
二、違反第十條、第十一登載於當地新聞紙
五、將「目的事業主管機關」修正
條、第十二條或第之規定者。
為「中央目的事業主管機關或直
十三條規定。三、違反第二十二條規定
轄市、縣（市）政府」，理由參
三、違反第二十條第二項者。
照本法第二十二條理由二(一)。
或第三項規定。四、違反第二十六條第一
六、為避免罰鍰數額上限及下限偏
四、違反第二十七條第一項準用第十二條、
低，無法收行政處罰之效，爰提
項或未依第二項訂第十三條、第十五
高本條罰鍰數額為新臺幣二萬元
定個人資料檔案安條、第十七條之規
以上二十萬元以下。
全維護計畫或業務定者。
七、增訂第一款明定違反第八條或
終止後個人資料處五、違反第二十六條第二
第九條規定應告知義務，經限期
理方法。項之收費標準者。
110
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
有前項第一款、第改正屆期仍未改正者，應予處罰
二款、第三款或第四款之。
情事，其情節重大者，並八、現行條文第二十條至第二十二
得撤銷依本法所為之許可條業經刪除，現行條文第一項第
或登記。一款至第三款亦配合刪除。
九、現行條文第一項第四款配合修
正條文修正條次，移列為第二款
，另增列違反本法第十二條規定
者，亦得依第二款處罰。
111
十、增訂第三款規定，對於非公務
機關違反本法第二十條第二項或
第三項規定，當事人已拒絕接受
行銷，仍未停止利用其個人資料
行銷者，或於首次行銷時未免費
提供當事人表示拒絕方式者，得
限期改正，屆期仍未改正者，得
按次處罰。
十一、為落實非公務機關對個人資
料檔案安全維護之義務，明定違
反第二十七條第一項未採行適當
111
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
之安全措施，或中央目的事業主
管機關依第二項規定指定之非公
務機關，未訂定個人資料檔案安
全維護計畫或業務終止後個人資
料處理方法者，得限期改正，屆
期仍未改正者，則予以處罰，爰
為第四款規定。
十二、現行條文第二十六條第二項
業經刪除，現行條文第五款配合
112
併予刪除。
十三、現行條文第二十條至第二十
二條業經刪除，非公務機關應經
許可或登記制度亦併予廢除，爰
刪除現行條文第二項規定。
第四十九條非公務機關無第四十條有左列情事之一本條 105.03.15 未修正
正當理由違反第二十二條者，由目的事業主管機關〈101.10.01 施行修正條文說明〉
第四項規定者，由中央目，按次處負責人新臺幣一
的事業主管機關或直轄市萬元以上五萬元以下罰鍰
二、本條序文增訂「非公務機關」
、縣（市）政府處新臺幣：
等字，理由同第四十七條理由二
112
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二萬元以上二十萬元以下一、不遵守目的事業主管。
罰鍰。機關依第二十條第三、參考公平交易法第四十三條規
三項核准方法處理定，增加「無正當理由」，以排
者。除具有阻卻違法正當事由情況下
二、違反第二十五條第二拒絕檢查行為之可罰性。
項規定者。四、將「目的事業主管機關」修正
三、違反依第三十二條第為「中央目的事業主管機關或直
二項限期改正命令轄市、縣（市）政府」，理由參
者。照本法第二十二條理由二(一)。
113
有前項第二款或第五、處罰對象修正為「非公務機關
三款之情事，其情節重大」理由同本法第四十七條理由五
者，並得撤銷依本法所為。
之許可或登記。六、現行條文第二十條業經刪除，
另第三十二條第二項亦予刪除限
期改正之規定，爰將第一項第一
款及第三款配合刪除，第一項第
二款配合條次修正後，移列於本
文規定。
七、為避免罰鍰數額上限及下限偏
低，無法收行政處罰之效，爰提
113
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
高本條罰鍰數額為新臺幣二萬元
以上二十萬元以下。另本條之處
罰，已僅限對規避、妨害或拒絕
檢查之行為，依本法第二十二條
第二項規定，該等情形得使用強
制力進行檢查，已無按次處罰之
必要，爰將現行條文「按次」二
字，予以刪除。
八、本法已廢除非公務機關應經許
114
可或登記制度，爰刪除第二項規
定。
第五十條非公務機關之代本條 105.03.15 未修正
表人、管理人或其他有代〈101.10.01 施行修正條文說明〉
表權人，因該非公務機關
依前三條規定受罰鍰處罰
二、非公務機關之代表人、管理人
時，除能證明已盡防止義
或其他有代表權人，對於該非公
務者外，應並受同一額度
務機關，本有指揮監督之責，故
罰鍰之處罰。
非公務機關依第四十七條至第四
十九條規定受罰鍰之處罰時，該
114
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
非公務機關之代表人、管理人或
其他有代表權人，對該違反本法
行為，應視為疏於職責，未盡其
防止之義務(包含個人資料應採取
適當安全措施之義務)，而為指揮
監督之疏失，除能證明其已盡防
止義務者外，應並受同一額度罰
鍰之處罰。
115
第六章附則第六章附則章名未修正。
第五十一條有下列情形之本條 105.03.15 未修正
一者，不適用本法規定：〈101.10.01 施行修正條文說明〉
一、自然人為單純個人或
家庭活動之目的，而
二、依本法第二條第八款規定，本
蒐集、處理或利用個
法所稱非公務機關包括自然人，
人資料。
惟有關自然人為單純個人(例如：
二、於公開場所或公開活
社交活動等)或家庭活動(例如：
動中所蒐集、處理或
建立親友通訊錄等)而蒐集、處理
利用之未與其他個人
或利用個人資料，因係屬私生活
資料結合之影音資料
目的所為，與其職業或業務職掌
115
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
。無關，如納入本法之適用，恐造
公務機關及非公務機成民眾之不便亦無必要，爰增訂
關，在中華民國領域外對第一項第一款規定，予以排除。
中華民國人民個人資料蒐三、由於資訊科技及網際網路之發
集、處理或利用者，亦適達，個人資料之蒐集、處理或利
用本法。用甚為普遍，尤其在網際網路上
張貼之影音個人資料，亦屬表現
自由之一部分。為解決合照或其
他在合理範圍內之影音資料須經
116
其他當事人之書面同意始得為蒐
集、處理或利用個人資料之不便
，且合照當事人彼此間均有同意
之表示，其本身共同使用之合法
目的亦相當清楚，爰對於在公開
場所或公開活動中所蒐集、處理
或利用之未與其他個人資料結合
之影音資料，不適用本法之規定
，回歸民法適用，增訂如第一項
第二款之規定。
四、由於科技之進步與網際網路使
116
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
用普遍，即使在我國領域外蒐集
、處理或利用國人之個人資料，
亦非常容易。為防範公務機關或
非公務機關在我國領域外違法侵
害國人個人資料之隱私權益，以
規避法律責任，爰增訂第二項，
明定在我國領域外，亦有本法之
適用。
五、參考一九九五年歐盟資料保護
117
指令 (95/46/EC) 第三條、德國聯
邦個人資料保護法第一條第二項
第三款、日本個人資訊保護法第
五十條等。
第五十二條第二十二條至本條 105.03.15 未修正
第二十六條規定由中央目〈101.10.01 施行修正條文說明〉
的事業主管機關或直轄市
、縣（市）政府執行之權
二、中央目的事業主管機關或直轄
限，得委任所屬機關、委
市、縣（市）政府依第二十二條
託其他機關或公益團體辦
至第二十六條規定執行檢查、扣
117
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
理；其成員因執行委任或留或複製等之權限，應可委任所
委託事務所知悉之資訊，屬機關、委託其他機關或公益團
負保密義務。體辦理，以期能充分發揮執行效
前項之公益團體，率，爰增訂第一項規定之。另接
不得依第三十四條第一項受委任或委託執行事務而知悉他
規定接受當事人授與訴訟人之資訊者，自應負保密義務不
實施權，以自己之名義提得洩漏，爰於同項後段併予規
起損害賠償訴訟。定。
三、本法第三十四條規定財團法人
118
或公益社團法人得接受當事人訴
訟實施權之授與後，以自己名義
提起團體訴訟，代為請求損害賠
償，惟本條又授權中央目的事業
主管機關或直轄市、縣（市）政
府得委託公益團體代為執行其權
限。為避免發生角色混淆利益衝
突之情形，爰增訂第二項，明定
接受委託執行主管機關權限之公
益團體，不得再依第三十四條規
定，接受當事人訴訟實施權之授
118
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
與，以自己名義，提起損害賠償
之團體訴訟。
刪除第四十二條法務部辦理協〈101.10.01 施行修正條文說明〉
調連繫本法執行之相關事一、本條刪除。
項；其協調連繫辦法，由二、由於個人資料保護性質特殊，
法務部定之。非公務機關適用之行業別限制，
依本法規定應由目亦予刪除，相關應辦理之事項，
的事業主管機關辦理之事於各個條文中，直接規定由「中
119
項，如無目的事業主管機央目的事業主管機關或直轄市、
關者，由法務部辦理之。縣（市）政府」辦理，修正理由
非公務機關個人資同本法第二十二條理由二(二)。
料之蒐集、電腦處理及利如各機關在執行上有必要連繫協
用之登記、公告或其他事調時，自得隨時為之，似毋庸在
項之管理，法務部及目的此規定訂定協調連繫辦法。至於
事業主管機關必要時得委委任、委託其他機關或公益團體
託公益團體辦理之。執行權限事宜，已於本法第五十
二條明定之。是以，爰將本條配
合刪除。
第五十三條法務部應會同第五十三條本法所定特定〈105.03.15 施行修正條文說明〉
119
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
中央目的事業主管機關訂目的及個人資料類別，由法務部會同中央目的事業主管機關
定特定目的及個人資料類法務部會同中央目的事業依現行條文所訂定之「個人資料保
別，提供公務機關及非公主管機關指定之。護法之特定目的及個人資料之類別
務機關參考使用。」雖列有一八二項之特定目的，惟
上開法規命令之總說明略以: 例示
或概括之特定目的及個人資料類別
，並非可包含所有可能之活動，公
務機關或非公務機關於參考本規定
，選擇特定目的及個人資料類別時
120
，仍宜提出詳盡之業務活動說明，
列入證據文件或個人資料檔案公開
事項作業內，以補充澄清特定目的
及個人資料類別實質內涵。故只要
可以表明其合法蒐集、處理及利用
之特定目的及個人資料類別即可，
故依本條所訂之特定目的及個人資
料類別係供公務機關及非公務機關
參考使用，爰修正本條規定，以資
明確。
120
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二、本條係將現行條文第三條第九
款及第十條第二項合併規定，並
移入本章附則，以符合立法體例
。
刪除第四十三條本法公布施行〈101.10.01 施行修正條文說明〉
前已從事個人資料之蒐集一、本條刪除。
121
或電腦處理，而依本法規二、本修正草案已廢除非公務機關
定應申請登記或許可者，應經許可或登記制度，爰刪除本
應於本法施行之日起一年條規定。
內補辦之。
經法務部會同中央
目的事業主管機關依第三
條第七款第三目指定之事
業、團體或個人，應於指
定之日起六個月內，辦理
登記或許可。
逾期未為前二項之申請或申
121
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
請未獲核准者，以未經核
准登記或許可論處。
第五十四條本法中華民國第五十四條本法修正施行〈105.03.15 施行修正條文說明〉
九十九年五月二十六日修前非由當事人提供之個人一、本法於九十九年五月二十六日
正公布之條文施行前，非資料，依第九條規定應於修正公布時擴大適用範圍，原
由當事人提供之個人資料處理或利用前向當事人為本不受本法規範從事個人資料
，於本法一百零四年十二告知者，應自本法修正施蒐集、處理或利用者，修法後
月十五日修正之條文施行行之日起一年內完成告知均將適用本法，惟在九十九年
122
後為處理或利用者，應於，逾期未告知而處理或利五月二十六日修正公布之條文
處理或利用前，依第九條用者，以違反第九條規定施行前已蒐集完成之個人資料
規定向當事人告知。論處。（該等資料大多屬於間接蒐集
前項之告知，得於本之情形），雖非違法，惟因當
法中華民國一百零四年十事人均不知資料被蒐集情形，
二月十五日修正之條文施如未予以規範而繼續利用，恐
行後首次利用時併同為損害當事人權益，是以自宜訂
之。定過渡條款，明定應向當事人
未依前二項規定告知完成告知，如未告知當事人而
而利用者，以違反第九條於本法一百零四年十二月十五
規定論處。日修正之條文施行後處理或利
122
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
用該資料者，則以違反第九條
規定論處，為期兼顧當事人與
資料蒐集者雙方權益。惟考量
要求蒐集者於修法後即須告知
，實務執行有其困難，且依第
九條第三項規定，亦僅課予間
接蒐集者於利用前為告知，故
九十九年五月二十六日修正公
布之條文施行前已蒐集之個人
123
資料，應無課予更重責任之必
要，爰參酌第九條規定之立法
精神，將第一項所定一年內完
成告知之期限規定，修正為蒐
集者於一百零四年十二月十五
日修正之條文施行後為處理或
利用者，應於處理或利用前，
依第九條規定向當事人告知。
又蒐集者如符合第九條第二項
免為告知之情形，自得適用該
項規定免為告知，乃屬當然。
123
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二、又九十九年五月二十六日修正
公布之條文施行前非由當事人
提供之個人資料，於九十九年
五月二十六日修正公布之條文
施行後至一百零四年十二月十
五日修正之條文施行前為處理
或利用者，則不在本條規範範
圍，併予敘明。
三、參照第九條第三項規定，增訂
124
第二項，明定第一項之告知得
於一百零四年十二月十五日修
正之條文施行後首次對當事人
為利用時併同為之。
四、現行條文後段「逾期未告知而
處理或利用者，以違反第九條
規定論處」移至第三項，並酌
作文字修正；同時配合第二項
之增訂，修正為未依第一項、
第二項告知而利用者，以違反
第九條規定論處，以期明確。
124
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
二、由於本修正條文擴大適用範圍
，原本不受本法規範從事個人資
料蒐集、處理或利用者，修法後
均將適用本法，惟其在本法修正
施行前已蒐集完成之個人資料(該
等資料大多屬於間接蒐集之情形)
125
，雖非違法，惟因當事人均不知
資料被蒐集情形，如未給予規範
而繼續利用，恐仍會損害當事人
權益，是以自宜訂定過渡條款，
明定一定期間內應向當事人完成
告知，逾期未告知當事人仍處理
或利用該資料者，則以違反第九
條規定論處，期能兼顧當事人與
資料蒐集者雙方權益。
第五十五條本法施行細則第四十四條本法施行細則本條 105.03.15 未修正
，由法務部定之。，由法務部定之。〈101.10.01 施行修正條文說明〉
125
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
第五十六條本法施行日期第四十五條本法自公布日本條 105.03.15 未修正
，由行政院定之。施行。〈101.10.01 施行修正條文說明〉
現行條文第十九條
一、條次變更，第一項內容未修正
至第二十二條及第四十三
。
條之刪除，自公布日施行
二、本次修正，擴大適用範圍，慮
。
及本法尚需宣導，民間業者需相
前項公布日於現行
當時間調整與準備，相關法規亦
126
條文第四十三條第二項指
需配合增修，爰參考日本個人資
定之事業、團體或個人應
訊保護法附則第一條，規定施行
於指定之日起六個月內辦
日期，由行政院定之，不至因倉
理登記或許可之期間內者
促施行而造成民眾不便或發生困
，該指定之事業、團體或
擾。
個人得申請終止辦理，目
三、又廢除非公務機關取得執照後
的事業主管機關於終止辦
始得蒐集、電腦處理及利用個人
理時，應退還已繳規費。
資料之制度，自無需再申請登記
已辦理完成者，亦得申請
及公告相關事項，為求便民及促
退費。
進行政效率，相關現行條文第十
前項退費，應自繳
九條至第二十二條及第四十三條
126
105 年 3 月 15 日施行 101 年 10 月 1 日施行說明
費義務人繳納之日起，至之刪除，爰新增第二項規定，自
目的事業主管機關終止辦修正公布日施行。
理之日止，按退費額，依四、自修正公布日廢除申請登記及
繳費之日郵政儲金之一年執照制度，如該公布日於登記或
期定期存款利率，按日加許可之辦理期間者，該指定之事
計利息，一併退還。已辦業、團體或個人得申請終止辦理
理完成者，其退費，應自，目的事業主管機關於終止辦理
繳費義務人繳納之日起，時，應退還已繳規費。已辦理完
至目的事業主管機關核准成者，亦得申請退費。退費應定
127
申請之日止，亦同。期間，退費額依繳費之日郵政儲
金之一年期定期存款利率，按日
加計利息，一併退還，爰規定如
第三項及第四項。
127
參、個人資料保護法英譯
Personal Data Protection Act

Legislative History
1. Promulgated by Presidential Decree Ref. No. ROC-President-(I)-Yi-5960
dated August 11, 1995
2. Amended on May 26, 2010
3. Amended on December 30, 2015
The joint announcement was made on January 10, 2019 by the Ministry of
Justice Order fa-lu-zi No. 10803500010 and the National Development
Council fa-fa-zi No. 1080080004A. The relevant matters set out in Article 53
and Article 55 pertaining to “The Ministry of Justice” shall be handled by
“The National Development Council” as governing body.
Chapter I General Provisions

Article 1 The Personal Data Protection Act（hereinafter, the "PDPA"）is
enacted to regulate the collection, processing and use of personal
data so as to prevent harm on personality rights, and to facilitate
the proper use of personal data.
Article 2 The terms used herein denote the following meanings:

1. "personal data" refers to a natural person's name, date of
birth, ID Card number, passport number, features,
fingerprints, marital status, family information, education
background, occupation, medical records, healthcare data,
genetic data, data concerning a person's sex life, records of
physical examination, criminal records, contact information,
financial conditions, data concerning a person's social
activities and any other information that may be used to
directly or indirectly identify a natural person;
2. a "personal data file" refers to a collection of personal data
structured to facilitate data retrieval and management by
automated or non-automated means;
3. "collection" refers to the act of collecting personal data in
any way;
4. "processing" refers to the act of recording, inputting, storing,
128
128
compiling/editing, correcting, duplicating, retrieving,
deleting, outputting, connecting or internally transferring
data for the purpose of establishing or using a personal data
file;
5. "use" refers to the act of using personal data via any
methods other than processing;
6. "cross-border transfer" refers to the cross-border processing
or use of personal data;
7. "government agency" refers to a central or local government
agency or administrative entity authorized to exercise public
authority;
8. "non-government agency" refers to a natural person, legal
person or group other than those stated in the preceding
subparagraph; and
9. "data subject" refers to an individual whose personal data is
collected, processed or used.
Article 3 A data subject shall be able to exercise the following rights with
regard to his/her personal data and such rights shall not be
waived or limited contractually in advance:
1. the right to make an inquiry of and to review his/her
personal data;
2. the right to request a copy of his/her personal data;
3. the right to supplement or correct his/her personal data;
4. the right to demand the cessation of the collection,
processing or use of his/her personal data; and
5. the right to erase his/her personal data.
Article 4 Whoever is commissioned by a government agency or non-

government agency to collect, process or use personal data shall
be deemed to be acting on behalf of the commissioning agency to
the extent that the PDPA applies.
Article 5 The collection, processing and use of personal data shall be

carried out in a way that respects the data subject's rights and
interest, in an honest and good-faith manner, shall not exceed the
necessary scope of specific purposes, and shall have legitimate
and reasonable connections with the purposes of collection.
Article 6 Data pertaining to a natural person's medical records, healthcare,
genetics, sex life, physical examination and criminal records
129
129
shall not be collected, processed or used unless on any of the
following bases:
1. where it is expressly required by law;
2. where it is within the necessary scope for a government
agency to perform its statutory duties or for a non-
government agency to fulfill its statutory obligation,
provided that proper security and maintenance measures are
adopted prior or subsequent to such collection, processing or
use of personal data;
3. where the personal data has been disclosed to the public by
the data subject or has been made public lawfully;
4. where it is necessary for statistics gathering or academic
research by a government agency or an academic institution
for the purpose of healthcare, public health, or crime
prevention, provided that such data, as processed by the data
provider or as disclosed by the data collector, may not lead
to the identification of a specific data subject;
5. where it is necessary to assist a government agency in
performing its statutory duties or a non-government agency
in fulfilling its statutory obligations, provided that proper
security and maintenance measures are adopted prior or
subsequent to such collection, processing, or use of personal
data; or
6. where the data subject has consented to the collection,
processing and use of his/her personal data in writing, except
where the collection, processing or use exceeds the
necessary scope of the specific purpose, or where the
collection, processing or use based solely on the consent of
the data subject is otherwise prohibited by law, or where
such consent is not given by the data subject out of his/her
free will.
Articles 8 and 9 shall apply mutatis mutandis to the collection,
processing, or use of personal data in accordance with the
preceding paragraph; Paragraphs 1, 2 and 4 of Article 7 shall
apply mutatis mutandis to the consent required under
Subparagraph 6 of the preceding paragraph.
Article 7 "Consent", as referred to in Subparagraph 2, Paragraph 1, Article

15 and Subparagraph 5, Paragraph 1, Article 19, means a
declaration of agreement given by a data subject after he/she has
been informed by the data collector of the information required
130
130
under the PDPA.
"Consent", as referred to in Subparagraph 7, Paragraph 1, Article
16 and Subparagraph 6, Paragraph 1, Article 20, means a
separate declaration of agreement given by a data subject after
he/she has been informed by the data collector of any of the
purposes other than that originally specified, the scope of other
use, and the impact of giving or not giving consent on the rights
and interests of the data subject.
The data subject's consent may be presumed given pursuant to
Subparagraph 2, Paragraph 1, Article 15 and Subparagraph 5,
Paragraph 1, Article 19 if the data subject does not indicate
his/her objection and affirmatively provides his/her personal data
after the government or non-government agency has informed
the data subject of the relevant information specified in
Paragraph 1, Article 8 of the PDPA.
Data collector shall bear the burden of proof regarding the fact
that data subject has given the consent prescribed under the
PDPA.
Article 8 A government or non-government agency shall expressly inform
the data subject of the following information when colleting their
personal data in accordance with Article 15 or 19 of the PDPA:
1. the name of the government or non-government agency;
2. the purpose of the collection;
3. the categories of the personal data to be collected;
4. the time period, territory, recipients, and methods of which
the personal data is used;
5. the data subject's rights under Article 3 and the methods for
exercising such rights; and
6. the data subject's rights and interests that will be affected if
he/she elects not to provide his/her personal data.
The obligation to inform as prescribed in the preceding
paragraph may be waived under any of the following
circumstances:
1. where notification may be waived in accordance with the
law;
2. where the collection of personal data is necessary for the
government agency to perform its statutory duties or the
non-government agency to fulfill its statutory obligation;
131
131
3. where giving notice will prevent the government agency
from performing its statutory duties;
4. where giving notice will harm public interests;
5. where the data subject has already known the content of the
notification; or
6. where the collection of personal data is for non-profit
purposes and clearly has no adverse effect on the data
subject.
Article 9 A government or non-government agency shall, before
processing or using the personal data collected in accordance
with Article 15 or 19 which was not provided by the data subject,
inform the data subject of its source of data and other
information specified in Subparagraphs 1 to 5, Paragraph 1 of the
preceding article.
paragraph may be exempt under any of the following
circumstances:
1. under any of the circumstances provided in Paragraph 2 of
the preceding article;
3. where it is unable to inform the data subject or his/her
statutory representative;
research in pursuit of public interests, provided that such
data, as processed by the data provider or as disclosed by the
data collector, may not lead to the identification of a specific
data subject; or
5. where the personal data is collected by mass communication
enterprises for the purpose of news reporting for the benefit
of public interests.
The obligation to inform as prescribed in Paragraph 1 may be
performed at the time of the first use of the personal data towards
the data subject.
Article 10 Upon the request of a data subject, the government or non-

government agency shall reply to the data subject's inquiry, allow
the data subject to review the personal data collected, or provide
the data subject with a copy thereof except under any of the
132
132
following circumstances:
1. where national security, diplomatic or military secrets,
overall economic interests or other material national interests
may be harmed;
2. where a government agency may be prevented from
performing its statutory duties; or
3. where the material interests of the data collectors or any
third parties may be adversely affected.
Article 11 A government or non-government agency shall ensure the
accuracy of personal data in its possession and correct or
supplement such data on its own initiative or upon the request of
data subjects.
In the event of a dispute regarding the accuracy of the personal
data, the government or non-government agency shall, on its own
initiative or upon the request of the data subject, cease processing
or using the personal data, unless the processing or use is either
necessary for the performance of an official or business duty, or
has been agreed to by the data subject in writing, and the dispute
has been recorded.
When the specific purpose of data collection no longer exists, or
upon expiration of the relevant time period, the government or
non-government agency shall, on its own initiative or upon the
request of the data subject, erase or cease processing or using the
personal data, unless the processing or use is either necessary for
the performance of an official or business duty, or has been
agreed to by the data subject in writing.
A government or non-government agency shall, on its own
initiative or upon the request of the data subject, erase the
personal data collected or cease collecting, processing or using
the personal data in the event where the collection, processing or
use of the personal data is in violation of the PDPA.
If any failure to correct or supplement any personal data is
attributable to a government or non-government agency, the
government or non-government agency shall notify the persons
who have been provided with such personal data after the
correction or supplement is made.
Article 12 If any personal data is stolen, disclosed, altered, or otherwise

infringed upon due to a violation of the PDPA by a government
or non-government agency, the data subject shall be notified via
133
133
appropriate means after the relevant facts have been clarified.
Article 13 Where a request is made by a data subject to a government or

non-government agency pursuant to Article 10, the agency shall
determine whether to accept or reject such request within fifteen
days; such deadline may be extended by up to fifteen days if
necessary, and the data subject shall be notified in writing of the
reason for the extension.
Where a request is made by a data subject to a government or
non-government agency pursuant to Article 11, the agency shall
determine whether to accept or reject such request within thirty
days; such deadline may be extended by up to thirty days if
necessary, and the data subject shall be notified in writing of the
reason for the extension.
Article 14 A government or non-government agency may charge a fee to

cover necessary costs from those who make an inquiry or request
to review or obtain copies of the personal data.
Chapter II Data Collection, Processing and Use by a Government Agency

Article 15 Except for the personal data specified under Paragraph 1, Article
6, the collection or processing of personal data by a government
agency shall be for specific purposes and on one of the following
bases:
1. where it is within the necessary scope to perform its
statutory duties;
2. where consent has been given by the data subject; or
3. where the rights and interests of the data subject will not be
infringed upon.
6, a government agency shall use personal data only within the
necessary scope of its statutory duties and for the specific
purpose of collection; the use of personal data for another
purpose shall be only on any of the following bases:
2. where it is necessary for ensuring national security or
furthering public interest;
3. where it is to prevent harm on life, body, freedom, or
property of the data subject;
4. where it is to prevent material harm on the rights and
134
134
interests of others;
for public interests; provided that such data, as processed by
the data provider or as disclosed by the data collector, may
not lead to the identification of a specific data subject;
6. where it is for the data subject's rights and interests; or
7. where consent has been given by the data subject.
Article 17 The government agency shall make public the following
information online or allow the public to make inquiries thereof
via other appropriate means; the foregoing also applies when any
changes are made to the following information:
1. the names of the personal data files;
2. the name and contact information of the agency that is in
possession of the personal data files;
3. the legal basis and purpose of keeping the personal data
files; and
4. the category of the personal data.
Article 18 The government agency in possession of personal data files shall
assign dedicated personnel to implement security and
maintenance measures to prevent the personal data from being
stolen, altered, damaged, destroyed or disclosed.
Chapter III Data Collection, Processing and Use by a Non-government

Agency
6, the collection or processing of personal data by a non-
government agency shall be for specific purposes and on one of
the following bases:
2. where there is a contractual or quasi-contractual relationship
between the non-government agency and the data subject,
and proper security measures have been adopted to ensure
the security of the personal data;
135
135
research by an academic institution in pursuit of public
interests, provided that such data, as processed by the data
provider or as disclosed by the data collector, may not lead
to the identification of a specific data subject;
5. where consent has been given by the data subject;
6. where it is necessary for furthering public interest;
7. where the personal data is obtained from publicly available
sources unless the data subject has an overriding interest in
prohibiting the processing or use of such personal data; or
8. where the rights and interests of the data subject will not be
infringed upon.
A data collector or processor shall, on its own initiative or upon
the request of the data subject, erase or cease processing or using
the personal data when it becomes aware of, or upon being
notified by the data subject, that the processing or use of the
personal data should be prohibited pursuant to the proviso to
Subparagraph 7 of the preceding paragraph.
Article 20 Except for the personal data specified in Paragraph 1, Article 6, a
non-government agency shall use personal data only within the
necessary scope of the specific purpose of collection; the use of
personal data for another purpose shall be only on any of the
following bases:
2. where it is necessary for furthering public interests;
3. where it is to prevent harm on life, body, freedom, or
property of the data subject;
4. where it is to prevent material harm on the rights and
interests of others;
for public interests; provided that such data, as provided by
the data provider or disclosed by the data collector, may not
lead to the identification of a specific data subject;
6. where consent has been given by the data subject; or
7. where it is for the data subject's rights and interests.
When a non-government agency uses personal data for
marketing purpose pursuant to the preceding paragraph, upon the
data subject's objection to such use, the agency shall cease using
136
136
the data subject's personal data for marketing.
A non-government agency, when using the data subject’s
personal data for marketing purpose for the first time, shall
provide the data subject of the ways that he/she can object to
such use, and the agency shall pay for the fees therefrom.
Article 21 If a cross-border transfer of personal data is carried out by a non-

government agency under any of the following circumstances,
the central government authority in charge of the industry
concerned may impose restrictions on such transfer:
1. where major national interests are involved;
2. where an international treaty or agreement so stipulates;
3. where the country receiving the personal data lacks proper
regulations on protection of personal data and the data
subjects' rights and interests may consequently be harmed; or
4. where the cross-border transfer of the personal data to a
third country (territory) is carried out to circumvent the
PDPA.
Article 22 The central government authorities in charge of the industries
concerned or the municipality/city/county governments
concerned may, when they deem necessary or suspect any
possible violation of the PDPA, inspect compliance with the
security control measures, the guidelines on disposing personal
data upon business termination, and the restrictions on cross-
border transfers, or conduct any other routine inspections by
having their staff enter non-government agencies' premises upon
presentation of their official identification documents and order
relevant personnel at the non-government agencies to provide
necessary explanations, cooperate on adopting relevant
measures, or provide supporting documents.
When the central government authorities in charge of the
industries concerned or the municipality/city/county
governments concerned conduct the inspections described in the
preceding Paragraph, they may retain or make duplications of the
personal data or the files thereof that can be confiscated or be
admitted as evidence. The owner, holder or keeper of such data
or files that shall be confiscated or copied shall submit them to
the authorities upon request. If the non-government agency
refuses to submit or deliver the requested data or files or rejects
the confiscation or duplication thereof without any legitimate
reason, a compulsory enforcement that will do the least harm to
137
137
the rights and interests of the non-government agency may be
applied.
When the central government authorities in charge of the
governments concerned conduct the inspections described in
Paragraph 1, professionals in the field of information technology,
telecommunications or law may accompany the inspectors during
the inspections.
Non-government agencies and their personnel may not evade
such inspections, obstruct the investigators from accessing the
premises or data, or refuse to comply with the inspections or
decisions referred to in Paragraphs 1 and 2.
All personnel who take part in the inspections shall keep in
confidence all the personal data that they become aware of due to
the inspections.
Article 23 The confiscated files or duplicates referred to in Paragraph 2 of
the preceding article shall be sealed or tagged and properly
handled; if it is unfeasible to move or take possession of such
files, the authority shall assign personnel to guard such files or
order the owner of such files or an appropriate person to take
possession of the files.
If it is no longer necessary to keep the confiscated files or the
duplicates, or the authority has decided not to impose any
penalties or confiscate any files, the confiscated files and
duplicates shall be returned except for the files or duplicates that
shall be confiscated or kept for the investigation of other cases.
Article 24 The non-government agency, owner, holder, keeper or interested

persons of those confiscated files or duplicates may raise an
objection with the central government authority in charge of the
industry concerned or the municipality/city/county government
concerned against the acts of demand, compulsory enforcement,
detention, or duplication mentioned in the preceding two
Articles.
Upon receiving the objection mentioned in the preceding
paragraph, the central government authority in charge of the
concerned shall immediately cease or rectify such acts if the
objection is considered reasonable; otherwise, it may continue
such acts. Upon the request of the person who raises the
objection, a record of the objection reasons shall be prepared and
138
138
delivered to such person.
An appeal against the decision made by the central government
authority in charge of the industry concerned or the
municipality/city/county government concerned under the
preceding paragraph may only be filed jointly with the appeal
against the substantive decision of the case. However, if the
persons identified in Paragraph 1 do not have the rights to appeal
against the substantive decision of the case under the law, such
persons may file an administrative lawsuit solely against the acts
identified in the same Paragraph1.
Article 25 In the event that a non-government agency has violated the
PDPA, the central government authority in charge of the industry
concerned or the municipality/city/county government concerned
may impose fines on the non-government agency in accordance
with the PDPA and may also enforce the following corrective
measures:
1. prohibit the collection, processing or use of the personal
data;
2. order the erasure of the processed personal data and personal
data files;
3. confiscate or order the destruction of the unlawfully
collected personal data; and/or
4. disclose to the public the violation of the non-government
agency, the name of the non-government agency and its
responsible person/representative.
Where the central government authority in charge of the industry
concerned or the municipality/city/county government concerned
enforce the corrective measures referred to in the preceding
paragraph, such measures shall be within the scope that is
necessary to prevent and remedy the violation of the PDPA and
shall do the least harm to the rights and interests of the non-
government agency concerned.
Article 26 The findings of the inspections conducted by the central

government authorities in charge of the industries concerned or
the municipality/city/county governments concerned in
accordance with Article 22 may be disclosed to the public if the
non-government agencies concerned are not in violation of the
PDPA and agree to the public disclosure of such findings.
139
139
Article 27 A non-government agency in possession of personal data files
shall implement proper security measures to prevent the personal
data from being stolen, altered, damaged, destroyed or disclosed.
The central government authorities in charge of the industries
concerned may designate and order certain non-government
agencies to establish a security and maintenance plan for the
protection of personal data files and a guideline on disposing
personal data following a business termination.
Matters such as standards on setting forth the aforementioned
plans and disposal regulations shall be expressly established by
the central government authority of in charge of the industry
concerned.
Chapter IV Damages and Class Action

Article 28 A government agency shall be liable for the damages arising
from injury caused by any unlawful collection, processing or use
of personal data, or other infringement on the rights of data
subjects due to such government agency's violation of the PDPA,
unless such injury was caused by any natural disaster, emergency
or other force majeure event.
If an injury suffered by the victim is a non-pecuniary damage,
he/she may request an appropriate amount of monetary
compensation; if the injury suffered by the victim is damage to
his/her reputation, the victim may request appropriate corrective
measures to restore his/her reputation.
Under the circumstances identified in the preceding two
paragraphs, if it is difficult or impossible for the victim to prove
the monetary value of the actual damage, he/she may ask the
court to award the compensation in the amount of at least
NT$500 but no more than NT$20,000 per incident, per person
based on the severity of the damage.
Where the rights of multiple data subjects have been infringed
upon due to the same incident, the total amount of compensation
awarded to such data subjects shall not exceed NT$200 million.
However, if the interests involved in the incident exceed NT$200
million, the compensation shall be up to the value of such
interests.
If the total amount of damages for the injuries attributable to the
same incident exceeds the amount referred to in the preceding
paragraph, the compensation payable to each victim shall not be
140
140
limited to the lower end of damages, i.e. NT$500, per incident as
set forth in Paragraph 3 of this Article.
The right of claim referred to in Paragraph 2 above may not be
transferred or inherited. However, this does not apply to the
circumstances where monetary compensation has been agreed
upon in a contract or a claim therefor has been filed with the
court.
Article 29 A non-government agency shall be liable for the damages arising

from any injury caused by any unlawful collection, processing or
use of personal data, or other infringement on the rights of data
subjects due to such non-government agency's violation of the
PDPA, unless the non-government agency can prove that such
injury is not caused by its willful act or negligence.
Paragraphs 2 to 6 of the preceding article apply to the damage
claims raised in accordance with the preceding paragraph.
Article 30 The right to claim damage compensation will be extinguished if
the right-holder does not exercise such right within the two-year
period after he/she becomes aware of his/her damage and the
identity of the person(s) liable for the compensation, or the five-
year period following the occurrence of the damage.
Article 31 With regard to matters pertaining to damages, aside from the
provisions of the PDPA, the State Compensation Law may be
applied to a government agency and the Civil Code may be
applied to a non-government agency.
Article 32 An incorporated foundation or an incorporated charity that brings
a case to the court in accordance with this Chapter shall fulfill
the following criteria:
1. the total registered assets of an incorporated foundation shall
be NT$10 million or more, or the total number of members
of an incorporated charity shall be 100 or more;
2. the protection of personal data shall be set forth as one of its
purposes in its charter; and
3. It shall have been established for more than three years
following its receipt of the approval thereof.
Article 33 The lawsuit filed with the court for damages against a
government agency in accordance with the PDPA shall be subject
to the exclusive jurisdiction of the district court where the agency
is located. The lawsuit against a non-government agency is
141
141
subject to the exclusive jurisdiction of the district court where its
main office, principal place of business or domicile is located.
If the non-government agency referred to in the preceding
paragraph is a natural person and has no place of domicile in the
Republic of China, or the address thereof is unknown, such
natural person's place of residence in the Republic of China shall
be deemed to be the place of domicile. If the natural person has
no place of residence in the Republic of China or the address
thereof is unknown, his/her last known domicile in the Republic
of China shall be deemed to be the place of domicile. If the
natural person has no last known domicile, the district court
where the central government is located shall have exclusive
jurisdiction.
If the non-government agency referred to in Paragraph 1 is a
legal person or a group and has no main office, principal place of
business, or the addresses thereof are both unknown, the district
court where the central government is located shall have
exclusive jurisdiction.
Article 34 Where the rights of multiple data subjects have been infringed
upon due to the same incident, the incorporated foundation or
incorporated charity may file a lawsuit with the court in its own
name after obtaining a written delegation of litigation rights of at
least 20 data subjects. The data subjects may withdraw their
delegation in writing before the conclusion of the oral argument
and the data subjects shall notify the court thereof.
With regard to the litigation referred to in the preceding
paragraph, the court may issue a public notice, either upon
receiving a petition therefor or on its own initiative, informing
other data subjects that suffer damages due to the same incident
that they may delegate their litigation rights to the incorporated
foundation or the incorporated charity referred to in the
preceding paragraph within a specified period of time. The
incorporated foundation or the incorporated charity may expand
demand for the relief sought before the conclusion of the oral
argument.
If other data subjects that suffer damages due to the same
incident chose not to delegate their litigation rights pursuant to
the preceding paragraph, they may still bring the case to the court
within the timeframe specified in the public notice for the court
to combine the cases.
Other data subjects that have suffered damages due to the same
142
142
incident may also file a petition, requesting the court to issue the
public notice referred to in the preceding paragraph.
The notice referred to in the preceding two paragraphs may be
posted on the bulletin boards of the court, on the Internet or at
other proper locations. Should the court consider it necessary, it
may make such notice in a government gazette or newspaper, or
through other means, and the fees therefrom shall be paid by the
National Treasury.
For the incorporated foundation or the incorporated charity that
brings a case to the court in accordance with Paragraph 1, if the
claim value of the case exceeds NT$600,000, the court fee
attributable to the excess portion of the claim value shall be
waived.
Article 35 If a data subject withdraws his/her delegation of the litigation

rights in accordance with Paragraph 1 of the preceding article,
the part of the court proceedings relating to such data subject
shall automatically be suspended, and such data subject shall
make a declaration to become a party to the suit. The court may
also, on its own initiative, order such data subject to become a
party to the suit.
After the incorporated foundation or the incorporated charity
files a lawsuit with the court in accordance with the preceding
article, if the withdrawal of litigation rights by some data
subjects causes the number of remaining data subjects in the
lawsuit to drop to less than 20, the court proceedings for the
remaining data subjects may still continue.
Article 36 The statute of limitation for each data subject to exercise the
right to claim damages under Paragraphs 1 and 2 of Article 34
shall be calculated separately.
Article 37 An incorporated foundation or an incorporated charity that has

been delegated litigation rights by data subjects shall be entitled
to implement any and all acts pertaining to the lawsuit. However,
the data subjects may set restrictions on the abandonment,
withdrawal, or settlement relating to such lawsuit.
The restrictions set by one of the data subjects referred to in the
preceding paragraph have no effect on the other data subjects.
The restrictions referred to in Paragraph 1 shall be specified in
the documents identified in Paragraph 1 of Article 34, or shall be
submitted to the court in writing.
143
143
Article 38 In the event that a data subject is not satisfied with the judgment
of the lawsuit filed pursuant to Article 34, he/she may withdraw
his/her delegation of litigation rights before the deadline for
filing an appeal by such incorporated foundation or incorporated
charity, and then file the appeal himself/herself.
After receiving the original copy of the judgment, the
incorporated foundation or the incorporated charity shall notify
the data subjects of the outcome and also notify the data subjects
in writing within seven days as to whether or not an appeal will
be filed.
Article 39 The incorporated foundation or the incorporated charity shall

deduct the necessary litigation fees from the compensation
awarded in accordance with the result of the lawsuit filed
pursuant to Article 34, and deliver the remaining amount to the
data subjects that delegate the litigation rights.
The incorporated foundation or the incorporated charity may not
ask for remuneration for the lawsuit filed in accordance with
Paragraph 1 of Article 34.
Article 40 The incorporated foundation or the incorporate charity that filed
a lawsuit in accordance with the provisions of this Chapter shall
engage an attorney as its agent ad litem for the lawsuit.
Chapter V Penalties
Article 41 If a person, with the intention of obtaining unlawful gains for
himself/herself or a third party, or with the intention of impairing
another person's interests, is in violation of Paragraph 1, Article
6, Articles 15, 16, 19, and Paragraph 1, Article 20, or an order or
decision relating to the restrictions on cross-border transfers
made by the central government authority in charge of the
industry concerned in accordance with Article 21 of the PDPA,
thereby causing damage to others, the person shall be sentenced
to imprisonment for no more than five years; in addition thereto,
a fine of no more than NT$1million may be imposed.
Article 42 If a person, with the intention of obtaining unlawful gains for

himself/herself or for a third party, or infringing upon the
interests of others, illegally changes or erases personal data files,
or otherwise compromises the accuracy of another's personal
data files, thereby causing damages to others, the person shall be
sentenced to imprisonment for no more than five years or
144
144
detention, and/or a fine of no more than NT$1 million.
Article 43 The preceding two articles also apply to nationals of the

Republic of China if they commit any offense specified therein
outside of the Republic of China against any other national of the
Republic of China.
Article 44 A government official who abuses the power, opportunity or

means available to him/her to commit any of the offenses
described in this Chapter shall be subject to a more severe
punishment which is up to 50% more than that prescribed above.
Article 45 A person who committed any of the offenses identified in this

Chapter shall be indicted only upon a complaint, except for the
offenses specified in Article 41 and those identified in Article 42
against a government agency.
Article 46 If a more severe punishment is provided for under other laws

with respect to the offenses identified in this Chapter, the more
severe punishment shall take precedence.
Article 47 If a non-government agency violates any of the following

provisions, the central government authority in charge of the
concerned shall impose an administrative fine between
NT$50,000 and NT$500,000 on the non-government agency and
shall order the non-government agency to implement corrective
measures within a specified period of time; if the non-
government agency fails to do so, a fine shall be imposed each
time the violation occurs:
1. Paragraph 1, Article 6;
2. Article 19;
3. Paragraph 1, Article 20; and/or
4. an order or decision relating to the restrictions on cross-
border transfers made by the central government authority in
charge of the industry concerned under Article 21.
Article 48 If a non-government agency violates any of the following

provisions, the central government authority in charge of the
concerned may order the non-government agency to rectify the
violation within a specified period of time; if the non-
government agency fails to rectify the violation in time, a fine
145
145
between NT$20,000 and NT$200,000 shall be imposed on the
non-government agency for each occurrence of the violation:
1. Article 8 or Article 9;
2. Article 10, Article 11, Article 12, or Article 13;
3. Paragraph 2 or Paragraph 3, Article 20; and/or
4. Paragraph 1, Article 27, or failure to establish a security and
maintenance plan for the protection of personal data files or
a guideline on disposing personal data following a business
termination under Paragraph 2, Article 27.
Article 49 If a non-government agency is in violation of Paragraph 4,

Article 22 without any legitimate reason, the central government
authority in charge of the industry concerned or the
municipality/city/county government concerned shall impose an
administrative fine between NT$20,000 and NT$200,000 on the
non-government agency.
Article 50 The representative, manager, or any other authorized
representative of a non-government agency shall be fined the
same amount imposed on the non-government agency for a
violation of any of the preceding three articles, unless said person
proves that he/she has exercised due care to prevent such
violation.
Chapter VI Supplementary Provisions

Article 51 The PDPA does not apply to the following circumstances:
1. where personal data is being collected, processed, or used by
a natural person purely for purposes of personal or
household activities; or
2. where audio-visual data is collected, processed, or used in
public places or public activities and not connected to other
personal data.
The PDPA also applies to the government and the non-
government agencies outside the territory of the Republic of
China (R.O.C) when they collect, process or use the personal
data of the R.O.C. nationals.
Article 52 The duties of the central government authorities in charge of the

governments concerned under Articles 22 to 26 may be delegated
to their subordinate agencies, other agencies or public interest
146
146
groups. The personnel of such agencies or public interest groups
shall be obligated to keep confidential all the data they become
aware of during the performance of the duties so delegated or
commissioned.
The public interest groups referred to in the preceding paragraph
shall not receive any data subject's delegation of litigation rights
to file a lawsuit for damages in their names in accordance with
Paragraph 1 of Article 34.
Article 53 The Ministry of Justice shall, in conjunction with the central
government authorities in charge of the industries concerned, set
forth the specific purposes and categories of personal data, and
provide the same to government and non-government agencies
for reference and use.
Article 54 After the enactment of the amendments to the PDPA on

December 15, 2015, if any personal data was furnished before
the amendments to the PDPA on May 26, 2010, not by the data
subject, the data subject shall be provided with the information
required under Article 9 before such personal data is processed or
used.
paragraph may be given at the time when such personal data is
used for the first time after the enactment of the amendments to
the PDPA on December 15, 2015.
Any use of personal data without the information provided in
accordance with the preceding two paragraphs shall be deemed
and punished as a violation of Article 9.
Article 55 The Enforcement Rule of the PDPA shall be prescribed by the

Ministry of Justice.
Article 56 The enforcement date of the PDPA shall be set by the Executive
Yuan.
The deletion of Articles 19 to 22 and Article 43 under the pre-
amendment PDPA becomes effective on the date of
promulgation.
If the date of promulgation as referred to in the preceding
paragraph falls within the six month period within which the
enterprises, groups or individuals designated in Paragraph 2 of
Article 43 under the pre-amended PDPA are required to complete
the registration or obtain the permit, such designated enterprises,
147
147
groups or individuals may file an application to terminate the
registration process. Upon the termination, the government
authority in charge of the industry concerned shall refund the
fees that have been paid. Those who have completed the
registration may also apply for the refund.
The fees referred to in the preceding paragraph shall be refunded
together with the total daily interest incurred from the date of
payment by the applicant to the date of the termination by the
government authority based on the fixed annual interest rate for a
one-year time deposit announced by the Department of Savings
and Remittances, Chunghwa Post Co., Ltd. on the date of the
payment. The same applies to the refund where the registration
process has been completed. The interest thereon shall be
incurred from the date of payment of the fee to the date when the
government authority in charge of the industry concerned
approves the registration.
148
148
肆、個人資料保護法施行細則
中華民國 101 年 9 月 26 日法務部法令字第 10103107360 號令修正發布名

稱及全文 33 條；並自 101 年 10 月 1 日施行(原名稱：電腦處理個人資料
保護法施行細則)
中華民國 105 年 3 月 2 日法務部法令字第 10503502120 號令修正發布第 9
～15、17、18 條條文；並自 105 年 3 月 15 日施行
第1條
本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂
定之。
第2條
本法所稱個人，指現生存之自然人。
第3條
本法第二條第一款所稱得以間接方式識別，指保有該資料之
公務或非公務機關僅以該資料不能直接識別，須與其他資料對照
、組合、連結等，始能識別該特定之個人。
第4條
本法第二條第一款所稱病歷之個人資料，指醫療法第六十七
條第二項所列之各款資料。
本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫
師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘
缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基
於以上之診察結果，所為處方、用藥、施術或處置所產生之個人
資料。
本法第二條第一款所稱基因之個人資料，指由人體一段去氧
核醣核酸構成，為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料，指性取向或性慣
行之個人資料。
本法第二條第一款所稱健康檢查之個人資料，指非針對特定
疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資
料。
149
149
本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、
職權不起訴或法院判決有罪確定、執行之紀錄。
第5條
本法第二條第二款所定個人資料檔案，包括備份檔案。
第6條
本法第二條第四款所稱刪除，指使已儲存之個人資料自個人
資料檔案中消失。
本法第二條第四款所稱內部傳送，指公務機關或非公務機關
本身內部之資料傳送。
第7條
受委託蒐集、處理或利用個人資料之法人、團體或自然人，
依委託機關應適用之規定為之。
第8條
委託他人蒐集、處理或利用個人資料時，委託機關應對受託
者為適當之監督。
前項監督至少應包含下列事項：
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及
其期間。
二、受託者就第十二條第二項採取之措施。
三、有複委託者，其約定之受託者。
四、受託者或其受僱人違反本法、其他個人資料保護法律或其法
規命令時，應向委託機關通知之事項及採行之補救措施。
五、委託機關如對受託者有保留指示者，其保留指示之事項。
六、委託關係終止或解除時，個人資料載體之返還，及受託者履
行委託契約以儲存方式而持有之個人資料之刪除。
第一項之監督，委託機關應定期確認受託者執行之狀況，並
將確認結果記錄之。
受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個
人資料。受託者認委託機關之指示有違反本法、其他個人資料保
護法律或其法規命令者，應立即通知委託機關。
第9條
150
150
本法第六條第一項但書第一款、第八條第二項第一款、第十
六條但書第一款、第十九條第一項第一款、第二十條第一項但書
第一款所稱法律，指法律或法律具體明確授權之法規命令。
第 10 條
本法第六條第一項但書第二款及第五款、第八條第二項第二
款及第三款、第十條但書第二款、第十五條第一款、第十六條所
稱法定職務，指於下列法規中所定公務機關之職務：
一、法律、法律授權之命令。
二、自治條例。
三、法律或自治條例授權之自治規則。
四、法律或中央法規授權之委辦規則。
第 11 條
本法第六條第一項但書第二款及第五款、第八條第二項第二
款所稱法定義務，指非公務機關依法律或法律具體明確授權之法
規命令所定之義務。
第 12 條
本法第六條第一項但書第二款及第五款所稱適當安全維護措
施、第十八條所稱安全維護事項、第十九條第一項第二款及第二
十七條第一項所稱適當之安全措施，指公務機關或非公務機關為
防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及
組織上之措施。
前項措施，得包括下列事項，並以與所欲達成之個人資料保護目
的間，具有適當比例為原則：
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
151
151
第 13 條
本法第六條第一項但書第三款、第九條第二項第二款、第十
九條第一項第三款所稱當事人自行公開之個人資料，指當事人自
行對不特定人或特定多數人揭露其個人資料。
本法第六條第一項但書第三款、第九條第二項第二款、第
十九條第一項第三款所稱已合法公開之個人資料，指依法律或法
律具體明確授權之法規命令所公示、公告或以其他合法方式公開
之個人資料。
第 14 條
本法第六條第一項但書第六款、第十一條第二項及第三項但
書所定當事人書面同意之方式，依電子簽章法之規定，得以電子
文件為之。
第 15 條
本法第七條第二項所定單獨所為之意思表示，如係與其他意
思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知
悉其內容並確認同意。
第 16 條
依本法第八條、第九條及第五十四條所定告知之方式，得以
言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足
以使當事人知悉或可得知悉之方式為之。
第 17 條
本法第六條第一項但書第四款、第九條第二項第四款、第十
六條但書第五款、第十九條第一項第四款及第二十條第一項但書
第五款所稱無從識別特定當事人，指個人資料以代碼、匿名、隱
藏部分資料或其他方式，無從辨識該特定個人者。
第 18 條
本法第十條但書第三款所稱妨害第三人之重大利益，指有害
於第三人個人之生命、身體、自由、財產或其他重大利益。
第 19 條
當事人依本法第十一條第一項規定向公務機關或非公務機關
請求更正或補充其個人資料時，應為適當之釋明。
第 20 條
152
152
本法第十一條第三項所稱特定目的消失，指下列各款情形之
一：
一、公務機關經裁撤或改組而無承受業務機關。
二、非公務機關歇業、解散而無承受機關，或所營事業營業項目
變更而與原蒐集目的不符。
三、特定目的已達成而無繼續處理或利用之必要。
四、其他事由足認該特定目的已無法達成或不存在。
第 21 條
有下列各款情形之一者，屬於本法第十一條第三項但書所定
因執行職務或業務所必須：
一、有法令規定或契約約定之保存期限。
二、有理由足認刪除將侵害當事人值得保護之利益。
三、其他不能刪除之正當事由。
第 22 條
本法第十二條所稱適當方式通知，指即時以言詞、書面、電
話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉
或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及
當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式
為之。
依本法第十二條規定通知當事人，其內容應包括個人資料被
侵害之事實及已採取之因應措施。
第 23 條
公務機關依本法第十七條規定為公開，應於建立個人資料檔
案後一個月內為之；變更時，亦同。公開方式應予以特定，並避
免任意變更。
本法第十七條所稱其他適當方式，指利用政府公報、新聞紙
、雜誌、電子報或其他可供公眾查閱之方式為公開。
第 24 條
公務機關保有個人資料檔案者，應訂定個人資料安全維護規
定。
第 25 條
本法第十八條所稱專人，指具有管理及維護個人資料檔案之
能力，且足以擔任機關之個人資料檔案安全維護經常性工作之人
153
153
員。
公務機關為使專人具有辦理安全維護事項之能力，應辦理或
使專人接受相關專業之教育訓練。
第 26 條
本法第十九條第一項第二款所定契約或類似契約之關係，不
以本法修正施行後成立者為限。
第 27 條
本法第十九條第一項第二款所定契約關係，包括本約，及非
公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、
磋商或聯繫行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係，指下列情
形之一者：
一、非公務機關與當事人間於契約成立前，為準備或商議訂立契
約或為交易之目的，所進行之接觸或磋商行為。
二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公
務機關與當事人為行使權利、履行義務，或確保個人資料完
整性之目的所為之連繫行為。
第 28 條
本法第十九條第一項第七款所稱一般可得之來源，指透過大
眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知
悉或接觸而取得個人資料之管道。
第 29 條
依本法第二十二條規定實施檢查時，應注意保守秘密及被檢
查者之名譽。
第 30 條
依本法第二十二條第二項規定，扣留或複製得沒入或可為證
據之個人資料或其檔案時，應掣給收據，載明其名稱、數量、所
有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後，應作成
紀錄。
前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副
本交付被檢查者；其拒絕簽名者，應記明其事由。
154
154
紀錄於事後作成者，應送達被檢查者，並告知得於一定期限
內陳述意見。
第 31 條
本法第五十二條第一項所稱之公益團體，指依民法或其他法
律設立並具備個人資料保護專業能力之公益社團法人、財團法人
及行政法人。
第 32 條
本法修正施行前已蒐集或處理由當事人提供之個人資料，於
修正施行後，得繼續為處理及特定目的內之利用；其為特定目的
外之利用者，應依本法修正施行後之規定為之。
第 33 條
本細則施行日期，由法務部定之。
155
155
伍、個人資料保護法施行細則修正條文對照表
105 年 3 月 15 日施行 101 年 10 月 1 日施行電腦處理個人資料保護法

105 年 3 月 2 日修正公布 101 年 9 月 26 日修正公布說明
施行細則
個人資料保護法施行細則個人資料保護法施行細則
個人資料保護法施行細則個人資料保護法施行細則電腦處理個人資料保護法名稱 105.03.15 未修正
施行細則〈101.10.01 施行修正條文說明〉
配合本法名稱之修正，將名稱修正為「
個人資料保護法施行細則」。
156
第一條本細則依個人資第一條本細則依電腦處本條 105.03.15 未修正
料保護法(以下簡稱本法) 理個人資料保護法(以下〈101.10.01 施行修正條文說明〉
第五十五條規定訂定簡稱本法)第四十四條規配合本法名稱及條文之修正，酌作文字
之。定訂定之。修正。
第二條本法所稱個人，第二條本法所定個人，本條 105.03.15 未修正
指現生存之自然人。指生存之特定或得特定〈101.10.01 施行修正條文說明〉
之自然人。本法第二條第一款對於個人資料之定義
，已修正為得以直接或間接方式識別該
個人之資料，規範意義即為特定或得特
定之自然人之個人資料，故刪除現行條
文特定或得特定等文字；另本法立法目
156
施行細則
的之一為個人人格權之隱私權保護，唯
有生存之自然人方有隱私權受侵害之恐
懼情緒及個人對其個人資料之自主決定
權，故增訂「現」字，以資明確。
第三條本法第二條第一本條 105.03.15 未修正
款所稱得以間接方式識〈101.10.01 施行修正條文說明〉
別，指保有該資料之公一、本條新增。
務或非公務機關僅以該二、由於社會態樣複雜，某些資料雖未
157
資料不能直接識別，須直接指名道姓，但一經揭露仍足以識
與其他資料對照、組合別為某一特定人，因而本法第二條第
、連結等，始能識別該一款個人資料之定義，已將「其他足
特定之個人。資識別該個人之資料」修正為「其他
得以直接或間接方式識別該個人之資
料」，為明瞭間接方式識別之意義，
爰為本條之規定。
三、至於是否得以直接或間接方式識別
者，需從蒐集者本身個別加以判斷，
原無一致性之標準，此宜於個案中加
以審認，為權衡個人資料之保護與個
人資料之合理利用，並避免滋生疑義
157
施行細則
，應依本法相關規定加以判斷。至於
各公務或非公務機關如在適用本條規
定要件上有明確之必要者，各公務機
關或目的事業主管機關得斟酌訂定裁
量基準，俾供所屬機關或所管行業遵
循。
第四條本法第二條第一本條 105.03.15 未修正
款所稱病歷之個人資料〈101.10.01 施行修正條文說明〉
158
，指醫療法第六十七條一、本條新增。
第二項所列之各款資二、為使本法第二條第一款之病歷與第
料。六條第一項之醫療、基因、性生活及
本法第二條第一款健康檢查等概念，有統整性說明與定
所稱醫療之個人資料，義規定，以避免概念混淆，爰為本條
指病歷及其他由醫師或規定。
其他之醫事人員，以治三、關於病歷之定義，醫療法第六十七
療、矯正、預防人體疾條第二項已有明文，本法第二條第一
病、傷害、殘缺為目的款所定病歷，自宜與醫療法上開規定
，或其他醫學上之正當為相同定義，爰為第一項規定。
理由，所為之診察及治四、醫師法第二十八條對於未具合法醫
療；或基於以上之診察師資格，擅自執行醫療業務者，定有
158
施行細則
結果，所為處方、用藥相關處罰規定，故行政院衛生署七四
、施術或處置所產生之年四月二十六日衛署醫字第五二七四
個人資料。五四號函及同年八月三十日衛署醫字
本法第二條第一款第五四八八一二號函，對醫療行為作
所稱基因之個人資料，成釋示，認為在一定目的下，所為綜
指由人體一段去氧核醣合可產生療效之行為，均認定為醫療
核酸構成，為人體控制行為。因此，以醫療行為所產生之個
特定功能之遺傳單位訊人資料，則認屬醫療之個人資料，爰
159
息。為第二項規定。
本法第二條第一款五、本法第二條第一款所稱之基因，參
所稱性生活之個人資料酌去氧核醣核酸採樣條例第三條規定
，指性取向或性慣行之，指由人體一段去氧核醣核酸構成，
個人資料。為人體控制特定功能之遺傳單位訊息
本法第二條第一款，爰為第三項規定。
所稱健康檢查之個人資六、本法第二條第一款所稱之性生活
料，指非針對特定疾病 (sexual life)，應屬有關極為敏感且容
進行診斷或治療之目的易引起偏見或足使個人人格遭受歧視
，而以醫療行為施以檢之性生活個人資料，依本法第六條修
查所產生之資料。正說明認為性生活包括性取向等相關
本法第二條第一款事項，並參考澳洲一九九八年隱私權
159
施行細則
所稱犯罪前科之個人資法第六條規定及二 O O 七年澳洲法律
料，指經緩起訴、職權改革委員會之修法建議，將性生活界
不起訴或法院判決有罪定為性取向(sexual orientation)及性慣
確定、執行之紀錄。行(sexual practices) ，爰為第四項規
定。
七、本法第二條第一款所稱健康檢查亦
屬醫療行為之一種，惟其與其他疾病
診斷、治療之不同，在於係對於外觀
160
健康之人，非以特定疾病之治療或診
斷為主要目的，爰為第五項規定。
八、本法第二條第一款所稱之犯罪前科
，除法院判決有罪確定之部分外，依
刑事訴訟法第二百五十三條及第二百
五十三條之一規定，亦包括檢察官參
酌刑法第五十七條所列事項及公共利
益之維護，認以不起訴或緩起訴為適
當者，得為不起訴處分或緩起訴處分
等有罪認定部分。此外，有關上開有
罪判決或有罪認定之執行之紀錄，亦
屬之，以保護當事人之個人資料隱私
160
施行細則
權益，爰為第六項規定。
第三條本法第三條第二〈101.10.01 施行修正條文說明〉
款所稱電磁紀錄物或其一、本條刪除。
他類似媒體，指錄製、二、為配合本法修正第二條第二款關於
記載有電磁紀錄之有體「個人資料檔案」之定義，已將電磁
物，包括磁碟、磁帶、紀錄物或其他類似媒體等文字刪除，
光碟、磁泡紀錄體、磁本條已無為定義性規定之必要，爰予
鼓及其他材質而具有儲刪除。
161
存電磁紀錄之能力者。
前項所稱電磁紀錄
，指以電子、磁性或其
他無法以人知覺直接認
識之方式所製作之紀錄
，而供電腦處理之用
者。
第五條本法第二條第二第四條本法第三條第二本條 105.03.15 未修正
款所定個人資料檔案，款所定個人資料檔案，〈101.10.01 施行修正條文說明〉
包括備份檔案。包括備份檔案。一、條次變更。
二、配合本法條次變更，酌作文字修
161
施行細則
正。
第六條本法第二條第四第十條本法第四條第五本條 105.03.15 未修正
款所稱刪除，指使已儲款所稱刪除，指依本法〈101.10.01 施行修正條文說明〉
存之個人資料自個人資第十三條第三項規定，一、條次變更。
料檔案中消失。使已儲存之個人資料自二、第一項刪除之定義除配合本法條次
本法第二條第四款個人資料檔案中消失而變更，酌作文字修正外，並以刪除係
所稱內部傳送，指公務不復存在。指使已儲存之個人資料自個人資料檔
機關或非公務機關本身案中消失。而刪除行為之認定，應視
162
內部之資料傳送。刪除當時科技水準及技術，參酌適用
主體之組織型態，使用一般社會通念
之標準，所為使個人資料消失之行為
，以作為參考標準，尚無需達「不復
存在」之標準，始謂符合本法所稱之
「刪除」，爰刪除現行條文所定「而
不復存在」文字。
三、增訂第二項，明定內部傳送係指公
務機關或非公務機關內部之資料傳送
，例如公務機關內部各單位間之資料
傳送(不包括上級機關傳送個人資料
予下級機關)，或者法人或團體或自
162
施行細則
然人之內部資料傳送。
第五條本法第三條第三〈101.10.01 施行修正條文說明〉
款所稱自動化機器，指一、本條刪除。
具有類似電腦功能，而二、本法不區分是否用自動化機器處理
能接受指令、程式或其之個人資料，均適用相同之規定及法
他指示自動進行事件處律效果，是本條已無規定之必要，爰
理之機器。予刪除。
第六條本法第三條第五〈101.10.01 施行修正條文說明〉
163
款所稱第三人，指保有一、本條刪除。
個人資料檔案之公務機二、本法第二條第五款規定，已刪除修
關或非公務機關以外之正前第三條第五款所定第三人等文字
自然人、法人或其他團，本條已無規定之必要，爰予刪除。
體。但不包括受委託處
理資料之團體或個人。
第七條本法第三條第七〈101.10.01 施行修正條文說明〉
款第三目所稱事業、團一、本條刪除。
體或個人，指其以電腦二、配合本法放寬規範主體之修正意旨
處理大量之個人資料，，本法第二條第八款已修正刪除原第
足以影響當事人之權益三條第七款第三目，本條已無規定之
163
施行細則
，而有規範之必要者。必要，爰予刪除。
第八條當事人向公務機〈101.10.01 施行修正條文說明〉
關行使本法第四條所定一、本條刪除。
之權利，其程序由公務二、有關公務機關對於當事人行使依本
機關定之。法第三條(原第四條)所定之權利，相
當事人向非公務機關執行方式等細節，本得以行政規則
關行使本法第四條所定訂定之(例如公務機關個人資料保護
之權利，其程序由其中要點等)，為免重複，第一項規定爰
164
央目的事業主管機關定予刪除。
之。三、有關非公務機關對於當事人行使依
本法第三條所定之權利，為保持程序
彈性並因應各行業特性，相關程序可
納入本法第二十七條第三項個人資料
檔案安全維護計畫及業務終止後個人
資料處理方法之標準等相關事項辦法
，或於消費者保護法第十七條定型化
契約應記載或不得記載之事項中規範
，第二項規定爰予刪除。
第九條當事人行使本法〈101.10.01 施行修正條文說明〉
第四條第一款及第二款
164
施行細則
所定權利時，其個人資一、本條刪除。
料以自個人資料檔案中二、鑒於本法保護客體不再限於經電腦
列印者為限。處理之個人資料，本法第二條第二款
個人資料檔案，包括其他非自動化方
式檢索、整理之個人資料之集合，故
本條已無規定之必要，爰予刪除。
第七條受委託蒐集、處第十一條受公務機關或本條 105.03.15 未修正
理或利用個人資料之法非公務機關委託電腦處〈101.10.01 施行修正條文說明〉
165
人、團體或自然人，依理資料之團體或個人，一、條次變更。
委託機關應適用之規定應依本法規定處理個人二、配合本法第四條，將受委託行為除
為之。資料。個人資料之處理外，並包括蒐集及利
前項情形，當事人用行為，爰修正第一項，並酌作文字
行使本法之權利，應向修正。
委託機關為之。三、受委託蒐集、處理或利用個人資料
之法人、團體或自然人，依本法第四
條規定，於本法適用範圍內視同委託
機關，惟當事人行使依本法之相關權
利，究應向委託人或受託人為之，允
宜視個案狀況處理，未必以委託機關
為唯一對象，爰刪除現行條文第二項
165
施行細則
規定。
第八條委託他人蒐集、本條 105.03.15 未修正
處理或利用個人資料時〈101.10.01 施行修正條文說明〉
，委託機關應對受託者一、本條新增。
為適當之監督。二、由於本法第四條規定，受公務機關
前項監督至少應包或非公務機關委託蒐集、處理或利用
含下列事項：個人資料者，於本法適用範圍內，視
一、預定蒐集、處理或同委託機關。為釐清公務機關或非公
166
利用個人資料之範務機關與其受託人之責任歸屬，參考
圍、類別、特定目日本個人資料保護法第二十二條規定
的及其期間。，明定委託機關應對受託者採取適當
二、受託者就第十二條之監督，以確保委託處理個人資料之
第二項採取之措安全管理，爰為第一項規定。
施。三、又為使委託機關與受託者之責任判
三、有複委託者，其約斷有明確依據，乃參考德國聯邦個人
定之受託者。資料保護法第十一條第二項規定，明
四、受託者或其受僱人定委託機關之監督事項，以便委託機
違反本法、其他個關善盡其選任及監督義務，爰為第二
人資料保護法律或項規定。
其法規命令時，應四、委託機關應定期確認受託者執行個
166
施行細則
向委託機關通知之人資料保護措施之狀況，委託機關並
事項及採行之補救應將確認結果予以記錄，乃參考德國
措施。聯邦個人資料保護法第十一條第二項
五、委託機關如對受託規定，為第三項規定；又該紀錄應妥
者有保留指示者，予保存，以為舉證之便，至於應保存
其保留指示之事之期限，因涉及行業特性、個人資料
項。屬性及蒐集者內部資源分配與自負舉
六、委託關係終止或解證程度而有不同，無法統一規範，從
167
除時，個人資料載而各目的事業主管機關可依所管行業
體之返還，及受託或團體之性質，審酌於相關主管法規
者履行委託契約以中加以訂定，或由該行業或團體以自
儲存方式而持有之律規範為之，或由蒐集者依其內部資
個人資料之刪除。源加以決定。
第一項之監督，委五、另於第四項明定受託者受託處理個
託機關應定期確認受託人資料之範圍及委託機關之指示違反
者執行之狀況，並將確本法、其他法律或其法規命令涉有個
認結果記錄之。人料保護之規定者，受託者應立即通
受託者僅得於委託知委託機關之規定。
機關指示之範圍內，蒐
集、處理或利用個人資
167
施行細則
料。受託者認委託機關
之指示有違反本法、其
他個人資料保護法律或
其法規命令者，應立即
通知委託機關。
第九條本法第六條第一第九條本法第六條第一〈105.03.15 施行修正條文說明〉
項但書第一款、第八條項第一款、第八條第二一、本法第十六條僅有一項規定，無規
第二項第一款、第十六項第一款、第十六條第定項次之必要，爰刪除「第一項」
條但書第一款、第十九贅字。
168
一項第一款、第十九條
條第一項第一款、第二二、於「本法第六條第一項」、「第十
十條第一項但書第一款第一項第一款、第二十
六條」、「第二十條第一項」之後
所稱法律，指法律或法條第一項第一款所稱法增加「但書」二字，以統一法條用
律具體明確授權之法規律，指法律或法律具體語。
命令。明確授權之法規命令。〈101.10.01 施行修正條文說明〉
二、關於本法中所定「法律」是否包括
法規命令，宜予明文，以杜爭議，爰
於本條明定本法第六條第一項第一款
、第八條第二項第一款、第十六條第
一項第一款、第十九條第一項第一款
168
施行細則
、第二十條第一項第一款所稱法律，
係指法律或法律具體明確授權之法規
命令。
第十條本法第六條第一第十條本法第六條第一〈105.03.15 施行修正條文說明〉
項但書第二款及第五款項第二款、第八條第二一、配合本法第六條第一項增訂「第五
、第八條第二項第二款項第二款及第三款、第款」規定，酌修序文。
及第三款、第十條但書十條第二款、第十五條二、於「本法第六條第一項」、「第十
第二款、第十五條第一第一款、第十六條所稱條」後增加「但書」二字，以統一
款、第十六條所稱法定法定職務，指於下列法法條用語。
169
職務，指於下列法規中規中所定公務機關之職〈101.10.01 施行修正條文說明〉
所定公務機關之職務：務：
一、法律、法律授權之一、法律、法律授權之一、本條新增。
命令。命令。二、關於本法中所定「法定職務」之「
二、自治條例。二、自治條例。法定」，是否包括法規命令之規定，
三、法律或自治條例授三、法律或自治條例授宜予明文，以杜爭議，爰定明本法第
權之自治規則。權之自治規則。六條第一項第二款、第八條第二項第
四、法律或中央法規授四、法律或中央法規授二款及第三款、第十條第二款、第十
權之委辦規則。權之委辦規則。
五條第一款、第十六條所稱法定職務
，係指法律、法律授權之命令(除依
法律具體或概括授權之法規命令外，
依法律授權之處務規程或辦事細則亦
169
施行細則
屬之)、自治條例、法律或自治條例
授權之自治規則(除依法律或自治條
例具體或概括授權之自治法規外，依
法律或自治條例授權之組織規程亦屬
之)、法律或中央法規授權之委辦規
則所定公務機關之職務。
三、又蒐集個人資料涉及當事人權益甚
鉅，不得僅以行政規則作為法定職掌
170
之依據，以符合法律保留原則。是以
，未涉及公共利益或實現人民基本權
利之保障等重大事項之給付行政措施
，其受法律規範之密度，雖較限制人
民權益者寬鬆，而得以行政規則定之
(司法院釋字第四四三號及六一四號
解釋意旨參照)，惟機關為給付行政
措施仍係基於其法定權限而得依相關
組織法規為依據，併予敘明。
第十一條本法第六條第第十一條本法第六條第〈105.03.15 施行修正條文說明〉
一項但書第二款及第五一項第二款、第八條第一、配合本法第六條第一項增訂「第五
款、第八條第二項第二二項第二款所稱法定義款」規定，酌作文字修正。
170
施行細則
款所稱法定義務，指非務，指非公務機關依法二、於「本法第六條第一項」後增加「
公務機關依法律或法律律或法律具體明確授權但書」二字，以統一法條用語。
具體明確授權之法規命之法規命令所定之義〈101.10.01 施行修正條文說明〉
令所定之義務。務。
二、關於本法中所定「法定義務」之「
法定」，是否包括法規命令之規定，
宜予明文，以杜爭議，爰明定本法第
六條第一項第二款、第八條第二項第
171
二款所稱法定義務，係指非公務機關
依法律或法律具體明確授權之法規命
令所定之義務。
第十二條本法第六條第第十二條本法第六條第〈105.03.15 施行修正條文說明〉
一項但書第二款及第五一項第二款所稱適當安一、配合本法第六條第一項增訂「第五
款所稱適當安全維護措全維護措施、第十八條款」及第十九條第一項第二款增訂
施、第十八條所稱安全所稱安全維護事項、第「且已採取適當之安全措施」，酌
維護事項、第十九條第二十七條第一項所稱適作文字修正。
一項第二款及第二十七當之安全措施，指公務二、於第一項規定之「本法第六條第一
條第一項所稱適當之安機關或非公務機關為防項後增加「但書」二字，以統一法
全措施，指公務機關或止個人資料被竊取、竄條用語。
非公務機關為防止個人改、毀損、滅失或洩漏〈101.10.01 施行修正條文說明〉
資料被竊取、竄改、毀，採取技術上及組織上
171
施行細則
損、滅失或洩漏，採取之措施。一、本條新增。
技術上及組織上之措前項措施，得包括二、本法所稱適當安全維護措施、安全
施。下列事項，並以與所欲維護事項、適當之安全措施，參考德
前項措施，得包括達成之個人資料保護目
國聯邦個人資料保護法第九條規定，
下列事項，並以與所欲的間，具有適當比例為
達成之個人資料保護目原則：應係指技術上及組織上之措施，爰為
的間，具有適當比例為一、配置管理之人員及第一項規定。
原則：相當資源。三、為確保個人資料檔案之合法且正當
一、配置管理之人員及二、界定個人資料之範蒐集、處理或利用，辦理安全維護之
相當資源。圍。
172
適當措施內容宜予規範，爰為第二項
二、界定個人資料之範三、個人資料之風險評規定。其目的為與國際接軌，乃以
圍。估及管理機制。
P-D-C-A 方法論予以建立，使各企業
三、個人資料之風險評四、事故之預防、通報
估及管理機制。及應變機制。得參考所列之十一款內容，考量組織
四、事故之預防、通報五、個人資料蒐集、處規模與保有個人資料之數量或內容，
及應變機制。理及利用之內部管依比例原則建立技術上與組織上之措
五、個人資料蒐集、處理程序。施。
理及利用之內部管六、資料安全管理及人
理程序。員管理。
六、資料安全管理及人七、認知宣導及教育訓
員管理。練。
七、認知宣導及教育訓八、設備安全管理。
練。九、資料安全稽核機
172
施行細則
八、設備安全管理。制。
九、資料安全稽核機十、使用紀錄、軌跡資
制。料及證據保存。
十、使用紀錄、軌跡資十一、個人資料安全維
料及證據保存。護之整體持續改
十一、個人資料安全維善。
護之整體持續改
善。
第十三條本法第六條第第十三條本法第六條第第三十二條本法第十八〈105.03.15 施行修正條文說明〉
於第一項及第二項規定之「本法第六條
173
一項但書第三款、第九一項第三款、第九條第條第二款所稱類似契約
條第二項第二款、第十二項第二款、第十九條之關係，指左列情形之第一項」後增加「但書」二字，以統一
九條第一項第三款所稱第一項第三款所稱當事一者：法條用語。
當事人自行公開之個人人自行公開之個人資料一、非公務機關與當事〈101.10.01 施行修正條文說明〉
資料，指當事人自行對，指當事人自行對不特人間於契約成立前一、條次變更。
不特定人或特定多數人定人或特定多數人揭露，為訂定契約或進二、現行第一項已移列修正條文第二十
揭露其個人資料。其個人資料。行交易為目的，所七條規範，爰予刪除。現行第二項則
本法第六條第一項本法第六條第一項為接觸，磋商所形修正分列為二項規範。
但書第三款、第九條第第三款、第九條第二項成之信賴關係。三、參酌司法院釋字第六○三號解釋意
二項第二款、第十九條第二款、第十九條第一二、契約因無效、撤銷旨，基於人性尊嚴與個人主體性之維
第一項第三款所稱已合護及人格發展之完整，並為保障個人
項第三款所稱已合法公、解除、終止或履
法公開之個人資料，指
開之個人資料，指依法行而消滅時，非公生活私密領域免於他人侵擾及個人資
173
施行細則
依法律或法律具體明確律或法律具體明確授權務機關與當事人為料之自主控制，隱私權乃為不可或缺
授權之法規命令所公示之法規命令所公示、公行使權利，履行義之基本權利，而受憲法第二十二條所
、公告或以其他合法方告或以其他合法方式公務或確保個人資料保障。就個人自主控制個人資料之資
式公開之個人資料。
開之個人資料。完整性之目的所形訊隱私權而言，乃保障人民決定是否
成之連繫關係。揭露其個人資料及在何種範圍內、於
本法第十八條第三何時、以何種方式、向何人揭露之決
款所稱已公開之資料，定權，並保障人民對其個人資料之使
指不特定之第三人得合用有知悉與控制權及資料記載錯誤之
174
法取得或知悉之個人資更正權，乃明確當事人自行公開之方
料。式。又參酌司法院釋字第一四五號解
釋意旨，所謂多數人，係包括特定之
多數人在內。至於特定多數人之計算
，自應視其相關法規之立法意旨及實
際情形已否達於公開之程度而定，爰
為第一項規定。
四、本法規定已合法公開之個人資料，
係指該個人資料乃依法律或法律具體
明確授權之法規命令所公示、公告或
以其他合法方式(例如置於閱覽室供
人閱覽)公開者，爰為第二項規定。
174
施行細則
第十四條本法第六條第第十四條本法第七條所〈105.03.15 施行修正條文說明〉
一項但書第六款、第十一定書面意思表示之方式本法第十五條第二款、第十九條第一項
條第二項及第三項但書所，依電子簽章法之規定第五款、第十六條但書第七款、第二十
定當事人書面同意之方式條第一項但書第六款規定之「書面同意
，得以電子文件為之。
，依電子簽章法之規定，」已修正為「同意」，並配合本法第七
得以電子文件為之。條之修正，修正本條規定。又有關本法
所定之「當事人書面同意」分別規定於
第六條第一項但書第六款、第十一條第
二項及第三項但書，爰修正本條，定明
當事人書面同意之方式，依電子簽章法
175
之規定，得以電子文件為之。
二、本法第七條所定書面意思表示之方
式，包括無實體存在界面之意思表示
方式，以目前對於以電子文件之方式
表示意思者，僅有電子簽章法之規範
，爰規定上開意思表示依電子簽章法
之規定，得以電子文件為之，以解決
實務上當事人利用網際網路及資訊通
信設備所為同意之意思表示。
175
施行細則
第十五條本法第七條第第十五條本法第七條第〈105.03.15 施行修正條文說明〉
二項所定單獨所為之意思二項所定單獨所為之書配合本法第七條第二項規定之修正，刪
表示，如係與其他意思表面意思表示，如係與其除「書面」二字。
示於同一書面為之者，蒐〈101.10.01 施行修正條文說明〉
他意思表示於同一書面
集者應於適當位置使當事
人得以知悉其內容並確認為之者，蒐集者應於適一、本條新增。
同意。當位置使當事人得以知二、本法第七條第二項所定之書面同意
悉其內容並確認同意。，乃當事人同意資料蒐集者，將其個
人資料作與蒐集目的不同之其他目的
176
使用，因不符原先蒐集資料之特定目
的，該書面同意自應特別審慎，故明
文規範須為單獨所為之書面意思表
示。因此，該意思表示如與其他意思
表示於同一書面為之者，蒐集者應於
適當位置使當事人得以知悉其內容後
並確認將其個人資料作與蒐集目的不
同之其他目的使用之同意，以避免當
事人疏忽而為概括同意，爰為本條規
定。
三、又使當事人得以知悉之內容，依本
法第七條第二項規定，係指當事人經
176
施行細則
蒐集者明確告知特定目的外之其他利
用目的、範圍及同意與否對其權益之
影響。
第十六條依本法第八條本條 105.03.15 未修正
、第九條及第五十四條〈101.10.01 施行修正條文說明〉
所定告知之方式，得以一、本條新增。
言詞、書面、電話、簡二、個人資料之蒐集，事涉當事人之隱
訊、電子郵件、傳真、私權益。為使當事人明知其個人資料
177
電子文件或其他足以使被何人蒐集及其資料類別、蒐集目的
當事人知悉或可得知悉等，本法規定告知義務，俾使當事人
之方式為之。能知悉其個人資料被他人蒐集之情形
，以落實個人資料之自主控制。
三、由於本法修正擴大適用範圍，原本
不受本法規範從事個人資料蒐集、處
理或利用者，修法後均將適用本法，
惟其在本法修正施行前已蒐集完成之
個人資料(該等資料大多屬於間接蒐
集之情形)，雖非違法，惟因當事人
均不知資料被蒐集情形，故本法明定
仍應向當事人完成告知，使當事人知
177
施行細則
悉其個人資料被使用之情形，以落實
個人資料之自主控制。準此，蒐集者
應以個別通知之方式讓當事人知悉，
又告知之方式，凡足以使當事人知悉
或可得知悉之方式，均屬之，爰為本
條規定。
第十七條本法第六條第第十七條本法第九條第〈105.03.15 施行修正條文說明〉
一項但書第四款、第九二項第四款、第十六條一、配合本法第六條第一項但書第四款
條第二項第四款、第十規定修正，於本條增列「第六條第
178
但書第五款、第十九條
六條但書第五款、第十一項但書第四款」。
第一項第四款及第二十
九條第一項第四款及第二、本條係明定何謂「無從識別特定當
條第一項但書第五款所
二十條第一項但書第五事人」，至於究為何者所為並無差
款所稱無從識別特定當稱資料經過處理後或依
別，爰將「資料經過處理後或依其
事人，指個人資料以代其揭露方式無從識別特揭露方式」等語刪除。
碼、匿名、隱藏部分資定當事人，指個人資料〈101.10.01 施行修正條文說明〉
料或其他方式，無從辨以代碼、匿名、隱藏部
識該特定個人者。一、本條新增。
分資料或其他方式，無
二、本條定明本法所稱資料經過處理後
從辨識該特定個人。
或依其揭露方式無從識別特定當事人
之類型，係指個人資料以代碼、匿名
、隱藏部分資料或其他揭露方式使之
178
施行細則
無從辨識該特定個人之情形。
三、至於各公務或非公務機關如在適用
本條規定要件上有明確之必要者，各
公務機關或目的事業主管機關得斟酌
訂定裁量基準，俾供所屬機關或所管
行業遵循。
第十八條本法第十條但第十八條本法第十條第第二十二條本法第十二〈105.03.15 施行修正條文說明〉
書第三款所稱妨害第三三款所稱妨害第三人之條第三款所稱妨害第三於「本法第十條」後增加「但書」二字
人之重大利益，指有害
179
重大利益，指有害於第人之重大利益，指左列，以統一法條用語。
於第三人個人之生命、
三人個人之生命、身體各款情形之一：〈101.10.01 施行修正條文說明〉
身體、自由、財產或其
、自由、財產或其他重一、有害於第三人個人一、條次變更。
他重大利益。
大利益。之生命、身體、自二、現行條文第一款配合本法條次變更
由、財產或其他重，酌作文字修正並移列為修正條文；
大利益者。現行條文第二款規定內涵已包含於第
二、檔案資料自第三人一款內，並無訂定必要，爰予刪除。
取得，如應當事人
之請求准予查詢、
閱覽或製給複製本
，將損及保有機關
與第三人之協助或
179
施行細則
信賴關係者。
第十九條當事人依本法第二十五條當事人依本本條 105.03.15 未修正
第十一條第一項規定向法第十三條第一項規定〈101.10.01 施行修正條文說明〉
公務機關或非公務機關向公務機關請求更正或一、條次變更。
請求更正或補充其個人補充其個人資料時，應二、配合本法條次變更修正所引條次，
資料時，應為適當之釋提出足資釋明之證據。並增訂當事人亦得向非公務機關請求
明。更正或補充其個人資料；另以當事人
請求更正或補充其個人資料時，應舉
180
其原因及事實而為適當之釋明即為已
足，爰酌作修正。
三、又個人資料有關意見與鑑定部分，
因涉及價值判斷，無關事實資料之對
錯，不能更正，僅有事實部分可更正
，併予敘明。
第二十條本法第十一條第二十三條本法第十三本條 105.03.15 未修正
第三項所稱特定目的消條第一項所稱正確，指〈101.10.01 施行修正條文說明〉
失，指下列各款情形之個人資料於特定目的之一、條次變更。
一：利用範圍內，應力求其二、現行條文第一項及第二項無規定之
一、公務機關經裁撤或確實、完整及從新。所必要，爰予刪除。
180
施行細則
改組而無承受業務稱適時，指公務機關應三、現行條文第三項移列為修正條文，
機關。儘速更正或補充。並修正如下：
二、非公務機關歇業、本法第十三條第二 (一)序文配合本法條次變更修正所引條
解散而無承受機關項及第三項所稱執行職次，另併同各款作文字修正。
，或所營事業營業務，指公務機關依法令 (二)有關公務機關經裁撤或改組，須無
項目變更而與原蒐執行公務，或非公務機業務之承受機關，始能為公務機關之
集目的不符。關經營其所營事業或依特定目的消失，爰修正如第一款規
三、特定目的已達成而其設立目的所從事之行定。
181
無繼續處理或利用為。 (三)有關非公務機關歇業、解散而無承
之必要。本法第十三條第三受機關，或所營事業營業項目變更而
四、其他事由足認該特項所稱特定目的消失，有與原蒐集目的不符之情形，方為非
定目的已無法達成指左列各款情形之一：公務機關之特定目的消失，停業因具
或不存在。一、公務機關經裁撤或有期限性，非公務機關尚未喪失其主
改組者。體性，故非屬特定目的消失之情形，
二、非公務機關停業、爰修正如第二款規定。
歇業、解散或所營 (四)第三款酌作文字修正，將使用修正
事業營業項目變更為處理或利用。
者。 (五)第四款增列特定目的已不存在之類
三、特定目的已達成而型，亦屬特定目的消失之情形。
無繼續使用之必要
181
施行細則
者。
四、其他事由足認該特
定目的已無法達成
者。
第二十一條有下列各款本條 105.03.15 未修正
情形之一者，屬於本法〈101.10.01 施行修正條文說明〉
第十一條第三項但書所一、本條新增。
定因執行職務或業務所二、公務機關或非公務機關有本法第十
182
必須：一條第三項本文所列事由，應主動或
一、有法令規定或契約依當事人之請求，刪除、停止處理或
約定之保存期限。利用該個人資料。然如有同項但書所
二、有理由足認刪除將列因執行職務或業務所必須或經當事
侵害當事人值得保人書面同意者，則不在此限。所謂因
護之利益。執行職務或業務所必須，有依法令規
三、其他不能刪除之正定或契約約定之保存期限、有理由足
當事由。認刪除將侵害當事人值得保護之利益
或其他不能刪除之正當事由等情形，
爰增訂本條，以資明確。
第二十四條公務機關依〈101.10.01 施行修正條文說明〉
182
施行細則
本法第十三條規定為更一、本條刪除。
正、補充、刪除或停止二、現行第一項已於本法第十一條第五
電腦處理、利用該資料項明定，爰予刪除。
時，應通知其所知悉已三、鑒於本法保護客體不再限於經電腦
收受該個人資料之機關處理之個人資料，本法第二條第二款
、團體或個人。個人資料檔案，亦包括其他非自動化
前項所稱個人資料方式檢索、整理之個人資料之集合，
，包括經由電腦列印之故現行第二項亦已無規定必要，併予
183
報表或其他可供紀錄之刪除。
物品。但本法或其他法
律另有規定者，依其規
定。
第二十二條本法第十二本條 105.03.15 未修正
條所稱適當方式通知，〈101.10.01 施行修正條文說明〉
指即時以言詞、書面、一、本條新增。
電話、簡訊、電子郵件二、為使個人資料發生被竊取、洩漏、
、傳真、電子文件或其竄改或其他侵害者，能即時通知當事
他足以使當事人知悉或人，並兼顧個人資料權益保護與通知
可得知悉之方式為之。效率，以保障個人權益，乃規定通知
但需費過鉅者，得斟酌之適當方式應即時以言詞、書面、電
183
施行細則
技術之可行性及當事人話、簡訊、電子郵件、傳真、電子文
隱私之保護，以網際網件或其他足以使當事人知悉或可得知
路、新聞媒體或其他適悉之方式為之。但通知需費過鉅者，
當公開方式為之。得斟酌技術之可行性及當事人隱私之
依本法第十二條規保護(不揭示可直接或間接識別當事
定通知當事人，其內容人之個人資料)，以網際網路、新聞
應包括個人資料被侵害媒體或其他適當之公開方式為之，爰
之事實及已採取之因應為第一項規定。
184
措施。三、為使當事人能有知悉其個人資料遭
受非法侵害之情形，並明確公務機關
或非公務機關通知當事人義務之內容
，參照德國聯邦個人資料保護法第四
十二條 a 規定，明定依法通知當事人
，其內容應包括個人資料被侵害之事
實及已採取之因應措施，爰為第二項
規定。
四、至於各公務或非公務機關如在適用
本條規定要件上有明確之必要者，各
公務機關或目的事業主管機關得斟酌
訂定裁量基準，俾供所屬機關或所管
184
施行細則
行業遵循。
第十二條本法第八條第〈101.10.01 施行修正條文說明〉
八款所稱有利於當事人一、本條刪除。
權益者，指顯於當事人二、本法所稱有利於當事人權益者，係
有利，當事人如知悉其屬不確定法律概念，宜由個案認定，
事亦無理由可以拒絕保留彈性，爰刪除本條。
者。
第十三條本法第九條及〈101.10.01 施行修正條文說明〉
185
第二十四條所稱國際傳一、本條刪除。
遞及利用，指利用有線二、本法第二條第六款已有國際傳輸之
電、無線電、光學系統定義，本條已無規定之必要，爰予刪
或其他電磁系統等經由除。
通信網路傳遞及利用，
不包括利用郵寄、攜帶
傳輸微縮膠片、打孔卡
片、電腦報表、電磁紀
錄物傳遞之情形。
第二十三條公務機關依第十四條公務機關依本本條 105.03.15 未修正
本法第十七條規定為公法第十條第一項規定為〈101.10.01 施行修正條文說明〉
開，應於建立個人資料公告時，應於個人資料
185
施行細則
檔案後一個月內為之；檔案上線使用後一個月一、本條由現行條文第十四條及第十五
變更時，亦同。公開方內為之。變更時，亦條合併修正。
式應予以特定，並避免同。二、第一項由現行條文第十四條移列，
任意變更。前項公告方式應予除配合本法條次變更外，以本法規範
本法第十七條所稱以特定，並避免任意更已涵括自動化機器或其他非自動化方
其他適當方式，指利用換。式蒐集之個人資料，不限於上線使用
政府公報、新聞紙、雜方式，故由各公務機關依其保有個人
誌、電子報或其他可供第十五條本法第十條第資料檔案之情形，於建立個人資料檔
186
公眾查閱之方式為公一項所稱其他適當方式案後一個月內為之，爰酌修文字。
開。，指利用電視、新聞紙三、第二項由現行條文第十五條第一項
、雜誌或其他可供公眾移列，除配合本法條次變更修正文字
知悉之傳播媒體為公外，並參考其他法律之規定，增訂公
告。開適當方式之例示規定；又新增之政
前項公告期間不得府公報因不屬「傳播媒體」，故將本
少於二日。項後段文字修正為「其他可供公眾查
閱之方式」，以為涵蓋。
四、修正條文第二項已將現行條文第十
五條第一項所定其他可供公眾知悉之
傳播媒體為公告，修正為其他可供公
眾查閱之方式為公開，故其規範公開
186
施行細則
個人資料檔案之義務應具有持續性，
且其列舉方式亦不限現行第十五條第
一項所定情形，故已毋庸另行規範公
告期間，現行條文第十五條第二項爰
予刪除。
第十六條本法第十條第〈101.10.01 施行修正條文說明〉
一項第三款所定個人資一、本條刪除。
料檔案利用機關名稱，二、本法修正前第十條第一項第三款規
187
得以概括方式列明其範定業已刪除，本條爰配合刪除。
圍、機關總數公告之。
但為特定目的外利用者
，應臚列其機關之名稱
及本法第八條所定之事
由。
第十七條本法第十條第〈101.10.01 施行修正條文說明〉
一項第四款所稱依據，一、本條刪除。
指保有個人資料檔案法二、本法保有依據之規定甚為明確，毋
令或行政計畫之依據。庸再行定義，爰予刪除。
第二十四條公務機關保第三十四條公務機關保本條 105.03.15 未修正
187
施行細則
有個人資料檔案者，應有個人資料檔案者，應〈101.10.01 施行修正條文說明〉
訂定個人資料安全維護訂定電腦處理個人資料一、條次變更。
規定。安全維護法令，其內容二、公務機關保有個人資料檔案所應訂
應包括資料安全、資料定個人資料安全維護規定，以強化公
稽核，設備管理及其他務機關個人資料管理之機制，至其應
安全維護等事項。訂定內容應依修正條文第十二條第二
項規定處理，並無規範必要，爰酌作
文字修正。
188
第二十五條本法第十八本條 105.03.15 未修正
條所稱專人，指具有管〈101.10.01 施行修正條文說明〉
理及維護個人資料檔案一、本條新增。
之能力，且足以擔任機二、為使本法第十八條所定專人之職務
關之個人資料檔案安全內容更為明確，爰於第一項定明係指
維護經常性工作之人具有管理及維護個人資料檔案之能力
員。，且足以擔任機關之個人資料檔案安
公務機關為使專人全維護經常性工作之人員，該人力得
具有辦理安全維護事項以團隊方式執行職務。
之能力，應辦理或使專三、又為使專人經常性接受專業之個人
人接受相關專業之教育資料保護與管理教育訓練，以維持相
訓練。
188
施行細則
當水準之辦理安全維護事項能力，所
屬公務機關應辦理或使專人接受相關
專業之教育訓練，爰規定如第二項。
第十八條本法第十條第〈101.10.01 施行修正條文說明〉
一項第八款所定處所，一、本條刪除。
應載明其地址。所定收二、本法修正前第十條第一項第八款至
受者為法人、團體者，第十款及第二十條規定業已刪除，本
應載明其名稱、代表人條爰配合刪除。
189
姓名；為自然人者，其
姓名。
本法第十條第一項
第九款及第二十條第一
項第九款所定直接收受
者，應載明其收受處所
之地址。為法人、團體
者，應載明其國別、名
稱、代表人姓名；為自
然人者，其國籍及姓
名。
本法第十條第一項
189
施行細則
第十款所定機關與保有
個人資料檔案紀錄之機
關相同者，該機關毋需
公告機關之名稱及地
址。
第十九條本法第十一條〈101.10.01 施行修正條文說明〉
第五款所定入出境管理一、本條刪除。
事務，包括個人護照事二、本法基於個人資料檔案因其性質特
190
務。殊而不宜公開其檔案名稱者，應依政
府資訊公開法或相關法律規定予以限
制公開，已刪除修正前第十一條規定
，本條爰配合刪除。
第二十條本法第十一條〈101.10.01 施行修正條文說明〉
第七款所稱人事事項，一、本條刪除。
指各級公務機關儲存管二、刪除理由同前條說明二。
理之公務員個人基本資
料及銓敘有關資料，包
括公務機關辦理訓練之
機構對於學員履歷、成
績考核或其他考查之個
190
施行細則
人資料檔案處理事項。
前項資料之認定有
疑義時，由主管機關確
認之。
第二十一條本法第十一〈101.10.01 施行修正條文說明〉
條第八款所稱專供試驗一、本條刪除。
性電腦處理之個人資料二、刪除理由同現行條文第十九條說明
檔案，指專供實驗、測二。
191
試等暫時性使用，而應
於六個月內銷毀者。
第二十六條本法第十四〈101.10.01 施行修正條文說明〉
條及第二十二條所定簿一、本條刪除。
冊，得以電腦終端設備二、本法修正前第十四條及第二十二條
或其他足供當事人查閱所定備置簿冊之規定，業已刪除，本
之相關設備、文件方式條爰配合刪除。
代替之。
第二十七條公務機關依〈101.10.01 施行修正條文說明〉
本法第十四條、非公務一、本條刪除。
機關依本法第二十二條二、刪除理由同前條說明二。
規定備置之簿冊，除登
191
施行細則
載本法第十條第一項、
第二十條第一項第一款
至第十款所列之事項外
，並得將資料之保有期
限及已否公開等事項列
入。
登載簿冊由公務機
關及非公務機關指定管
192
理單位及查閱處所。
第二十八條公務機關及〈101.10.01 施行修正條文說明〉
非公務機關關於個人資一、本條刪除。
料檔案之查閱及製給複二、本法第十四條已明定查詢或請求閱
製本之收費，應具體反覽個人資料或製給複製本者，公務機
應受理查閱及製給複製關或非公務機關得酌收必要成本費用
本之成本。，本條已無規範之必要，爰予刪除。
第二十九條非公務機關〈101.10.01 施行修正條文說明〉
依本法第二十條第一項一、本條刪除。
規定申請登記時，得為二、本法對非公務機關已取消行業別之
二項以上特定目的之登限制及登記制度，修正前第二十條規
記。
192
施行細則
定業已刪除，本條爰配合刪除。
第三十條本法第十八條〈101.10.01 施行修正條文說明〉
第一款所稱當事人書面一、本條刪除。
同意，指依書面之記載二、有關當事人之書面同意，本法第七
，足認當事人已有同意條已定有明文，本條爰予刪除。
之表示者。
非公務機關基於特
定目的，為取得當事人
193
書面同意，於初次洽詢
時，檢附為特定目的蒐
集、電腦處理或利用之
相關資料，連同得於所
定相當期間表示反對意
思之書面，經本人或其
法定代理人收受，而未
於所定期間內為反對之
意思表示者，推定其已
有同意之表示。
第二十六條本法第十九第三十一條本法第十八本條 105.03.15 未修正
193
施行細則
條第一項第二款所定契條第二款所定契約，不〈101.10.01 施行修正條文說明〉
約或類似契約之關係，以本法施行後成立者為一、條次變更並配合本法條次修正酌作
不以本法修正施行後成限。文字修正。
立者為限。二、由於契約或類似契約之關係可能跨
越本法施行前、後，且本法修正前第
十八條已有規範，人民應有信賴之期
待可能性，不致產生衝擊，無須重新
締約。
194
第二十七條本法第十九第三十二條第一項本法第本條 105.03.15 未修正
條第一項第二款所定契十八條第二款所稱類似契〈101.10.01 施行修正條文說明〉
約關係，包括本約，及約之關係，指左列情形之一、本條由現行條文第三十二條第一項
非公務機關與當事人間一者：移列修正。
為履行該契約，所涉及一、非公務機關與當事二、為解決非公務機關與契約當事人之
必要第三人之接觸、磋人間於契約成立前權利義務關係，因該內部關係之基本
商或聯繫行為及給付或，為訂定契約或進行為所涉及與第三人之接觸、磋商或
向其為給付之行為。行交易為目的，所聯繫行為，以及由該第三人為給付行
本法第十九條第一為接觸，磋商所形為或向其為給付之行為等涉他契約之
項第二款所稱類似契約成之信賴關係。關係，而附隨第三人個人資料之蒐集
之關係，指下列情形之二、契約因無效、撤銷、或處理，亦屬非公務機關與當事人有
一者：解除、終止或履行
194
施行細則
一、非公務機關與當事而消滅時，非公務契約之關係，得由非公務機關蒐集或
人間於契約成立前機關與當事人為行處理其個人資料，爰增訂第一項。
，為準備或商議訂使權利，履行義務三、現行條文第一項移列至第二項，除
立契約或為交易之或確保個人資料完酌作文字修正外，並以非公務機關與
目的，所進行之接整性之目的所形成當事人間於契約成立前，為準備或商
觸或磋商行為。之連繫關係。議訂立契約所進行之接觸或磋商行為
二、契約因無效、撤銷，均屬非公務機關與當事人間之信賴
、解除、終止而消關係，爰參酌民法第二百四十五條之
195
滅或履行完成時，一第一項規定，修正第一款規定。
非公務機關與當事
人為行使權利、履
行義務，或確保個
人資料完整性之目
的所為之連繫行
為。
第二十八條本法第十九本條 105.03.15 未修正
條第一項第七款所稱一〈101.10.01 施行修正條文說明〉
般可得之來源，指透過一、本條新增。
大眾傳播、網際網路、二、由於資訊科技及網際網路之發達，
新聞、雜誌、政府公報個人資料之蒐集、處理或利用甚為普
195
施行細則
及其他一般人可得知悉遍，個人資料之來源是否合法，經常
或接觸而取得個人資料無法求證或需費過鉅，為避免蒐集者
之管道。動輒觸法或求證費時，本法第十九條
第一項第七款明定個人資料取自於一
般可得之來源者，亦得蒐集或處理。
為明確該一般可得之來源所指為何，
爰增訂本條，明文例示包括網際網路
、新聞、雜誌、政府公報及其他一般
196
人可得知悉個人資料之來源等情形在
內。
第三十三條本法第十九〈101.10.01 施行修正條文說明〉
條第三項所稱收費標準一、本條刪除。
，指各級目的事業主管二、本法對非公務機關已取消行業別之
機關依本法所為之登記限制及登記制度，修正前第十九條規
、許可及發給執照所收定業已刪除，本條爰配合刪除。
之審查費、登記費、執
照費等規費之數額。
第三十五條第二十四條〈101.10.01 施行修正條文說明〉
第一項、第二十五條及一、本條刪除。
第三十四條規定，於非二、本條相關規定已分別明定於本法第
196
施行細則
公務機關準用之。十一條第五項、本細則修正條文第十
九條、本法第二十七條第一項及本細
則修正條文第十二條等規定，爰予刪
除。
第三十六條非公務機關〈101.10.01 施行修正條文說明〉
依本法第二十條第三項一、本條刪除。
規定為處理方法之陳報二、本條所定事項關涉本法第二十七條
時，應依其種類載明左第二項、第三項所定之處理方法，應
197
列各款：不限於銷毀、移轉之方式，為避免掛
一、銷毀：一漏萬，爰不予規定，由各中央目的
(一)銷毀之方法。事業主管機關依行業之特性於本法第
(二)銷毀之時間、地二十七條第三項之授權辦法中規定，
點。本條爰予刪除。
(三)以何種方式證明銷
毀。
二、移轉：
(一)移轉之原因，如出
售、贈與或其他原
因。
(二)移轉之對象，包括
197
施行細則
其屬性，為公務機
關或非公務機關。
(三)移轉對象得保有該
項個人資料檔案之
依據及證明。
(四)移轉之方法、時間
、地點。
目的事業主管機關
198
於必要時，得派員監督
其銷毀或移轉過程。
非公務機關於為第
一項銷毀或移轉後，應
向目的事業主管機關提
出證明。
第三十七條非公務機關〈101.10.01 施行修正條文說明〉
依本法第二十一條規定一、本條刪除。
為公告時，應於申請登二、本法對非公務機關已取消行業別之
記核准後二個月內為限制及登記制度，修正前第二十一條
之。變更時，亦同。規定業已刪除，本條爰配合刪除。
198
施行細則
第三十八條本法第二十〈101.10.01 施行修正條文說明〉
一條所定登載於當地新一、本條刪除。
聞紙，其期間不得少於二、刪除理由同前條說明二。
二日。
第三十九條非公務機關〈101.10.01 施行修正條文說明〉
依本法第二十一條所為一、本條刪除。
之公告並登載於當地新二、刪除理由同現行條文第三十七條說
聞紙，左列事項得不記明二。
199
載：
一、關於該非公務機關
之人事、勤務、薪
給、衛生、福利或
其他相關事項者。
二、專供試驗性電腦處
理者。
三、將於公告前刪除
者。
四、其他法律特別規定
者。
第二十九條依本法第二第四十條本法第二十五本條 105.03.15 未修正
199
施行細則
十二條規定實施檢查時條第一項所稱必要時，〈101.10.01 施行修正條文說明〉
，應注意保守秘密及被指有事實足認為該非公一、條次變更。
檢查者之名譽。務機關有違反本法第十二、現行條文第一項規定已明定於本法
八條至第二十四條之情第二十二條第一項前段，第二項則無
事，或有違反之虞者。規定必要，爰併予刪除。
本法第二十五條第三、現行條文第三項規定移列修正條文
一項所定證明文件，應，並配合本法條次變更酌作文字修
記載左列事項：正。
200
一、檢查機關名稱。
二、檢查人員之姓名及
職稱。
三、檢查依據。
檢查機關應保守秘
密，並應注意被檢查者
之名譽。
第三十條依本法第二十第四十一條目的事業主本條 105.03.15 未修正
二條第二項規定，扣留管機關依本法第二十五〈101.10.01 施行修正條文說明〉
或複製得沒入或可為證條第一項規定派員檢查一、條次變更。
據之個人資料或其檔案時，要求受檢查者提供二、第一項除配合本法第二十二條第一
時，應掣給收據，載明資料、書面說明或其他項規定作文字修正外，並以得扣留或
200
施行細則
其名稱、數量、所有人物品，或為扣押者，應複製之物為本法第二十二條第二項規
、地點及時間。掣給收據，載明其名稱定之得沒入或可為證據之個人資料或
依本法第二十二條、數量、所有人、地點其檔案者，應掣給收據，載明其名稱
第一項及第二項規定實及時間。、數量、所有人、地點及時間，以供
施檢查後，應作成紀目的事業主管機關查證，爰定明之。
錄。實施檢查後，應作成紀三、中央目的事業主管機關及直轄市、
前項紀錄當場作成錄，記載檢查程序、要縣（市）政府依本法第二十二條第一
者，應使被檢查者閱覽求提供之資料、檢查結項及第二項規定實施檢查後，應作成
201
及簽名，並即將副本交果及其他之配合措施。紀錄，至紀錄所記載之事項，衡諸行
付被檢查者；其拒絕簽有扣押物者，應載明前政程序法第三十八條、行政罰法第三
名者，應記明其事由。項收據應載明之事項。十四條有關製作書面紀錄之規定，均
紀錄於事後作成者前項紀錄當場作成未詳列記載內容，故宜視實際狀況由
，應送達被檢查者，並者，應使被檢查者閱覽中央各目的事業主管機關及直轄市、
告知得於一定期限內陳並簽名；被檢查者得以縣（市）政府本於權責酌定之，並避
述意見。另以書面陳述意見。紀免掛漏，且第一項已就扣留或複製得
錄於事後作成者，應另沒入或可為證據之個人資料或其檔案
寄副本與被檢查者，告時，其收據應記載事項予以明文，爰
以得陳述意見；被檢查第二項配合修正。
者於收受後得以書面表四、現行第三項前段紀錄係當場作成者
示意見。，除應使被檢查者閱覽及簽名之外，
201
施行細則
目的事業主管機關亦應將副本立即交付被檢查者，其拒
依檢查報告，並斟酌被絕簽名者，應記明其事由，以資證明
檢查者提出之意見，認，爰酌予修正；至於機關依行政程序
被檢查者違反法令時，法第一百零二條、第一百零四條或行
應依法處理。政罰法第四十二條規定告知被檢查人
扣押物無留存之必得陳述意見，事屬當然。
要者，應發還之。五、現行第三項後段移列至第四項，並
配合行政程序法送達規定，酌作文字
202
修正。
六、現行第四項及第五項規定，得依行
政程序法第四十三條規定處理或已明
定於本法第二十三條第二項，爰予刪
除。
第四十二條依本法第二〈101.10.01 施行修正條文說明〉
十七條或第二十八條規一、本條刪除。
定請求賠償者，以該違二、依法律不溯及既往原則，本條規定
法行為及其所生損害均內容乃為當然之理，毋庸再行規定，
在本法施行後者為限。爰予刪除。
第四十三條公務機關之〈101.10.01 施行修正條文說明〉
監督機關收受當事人依
202
施行細則
本法第三十一條第一項一、本條刪除。
所為之請求後，認其請二、本法修正前之第三十一條規定業已
求不合法或無理由者，刪除，本條爰配合刪除。
應敘明理由駁回之；認
其請求有理由者，應限
期命原公務機關依當事
人之請求改正之，並通
知當事人。
203
第三十一條本法第五十第四十四條本法第四十本條 105.03.15 未修正
二條第一項所稱之公益二條第三項所稱之公益〈101.10.01 施行修正條文說明〉
團體，指依民法或其他團體，指從事與該種類一、條次變更。
法律設立並具備個人資個人資料相關之公益活二、中央目的事業主管機關及直轄市、
料保護專業能力之公益動，依民法或其他特別縣（市）政府，依本法第五十二條第
社團法人、財團法人及法令組成之公益社團法一項規定於必要時得委託公益團體辦
行政法人。人、財團法人以及經中理相關管理事業，屬公權力之授予，
央目的事業主管機關核事關人民權益，爰對得受委託之公益
准之非法人團體。團體之資格明確規定，除依民法或其
他法律設立之外，並須具備個人資料
保護專業能力之公益團體；至所定公
益團體，參考公益勸募條例第五條規
203
施行細則
定，包括公益社團法人、財團法人及
行政法人者，爰併配合本法條次變更
，酌作修正。
第三十二條本法修正施本條 105.03.15 未修正
行前已蒐集或處理由當〈101.10.01 施行修正條文說明〉
事人提供之個人資料，一、本條新增。
於修正施行後，得繼續二、本法第五十四條係規範本法修正施
為處理及特定目的內之行前非由當事人提供之個人資料，雖
204
利用；其為特定目的外非違法，惟因當事人均不知資料被蒐
之利用者，應依本法修集情形，如未給予規範而繼續利用，
正施行後之規定為之。恐仍會損害當事人權益，故訂定過渡
條款，以資適用。反面解釋，如屬由
當事人提供之個人資料，為避免新舊
法銜接之適用疑慮，爰增訂本條，規
定本法修正施行前公務機關或非公務
機關已蒐集由當事人提供之個人資料
，於修正施行後，得繼續為蒐集、處
理及特定目的內之利用，以資明確。
至於如欲為特定目的外之利用，自當
依本法修正施行後之規定為之。
204
施行細則
第四十五條本法公布施〈101.10.01 施行修正條文說明〉
行前非公務機關已從事一、本條刪除。
個人資料之蒐集或電腦二、本法對非公務機關已取消行業別之
處理，而於依本法申請限制及登記制度，修正前第四十三條
登記或許可前，經告知規定業已刪除，本條爰配合刪除。
當事人而當事人未為反
對之意思表示者，得於
本法第四十三條第一項
205
所定期間內，繼續從事
該個人資料之蒐集或電
腦處理。
第三十三條本細則施行第四十六條本細則自發本條 105.03.15 未修正
日期，由法務部定之。布日施行。〈101.10.01 施行修正條文說明〉
二、本細則本次修正條文之施行日期，
修正為由法務部配合本法之施行日期
定之。
205
陸、個人資料保護法施行細則英譯
Enforcement Rules of the Personal Data Protection Act

Regulatory History
1. Promulgated by the Ministry of Justice on May 1, 1996 Per Ruling Ref.
No. (85) Law-10259
2. Amended on Sep 26, 2012
3. Amended on March 2, 2016
The joint announcement was made on January 10, 2019 by the Ministry
of Justice Order fa-lu-zi No. 10803500010 and the National Development
Council fa-fa-zi No. 1080080004A. The relevant matters set out in Article 33
pertaining to “The Ministry of Justice” shall be handled by “The National
Development Council” as governing body.
Article 1 The Enforcement Rules of the Personal Data Protection Act
(these "Enforcement Rules") are enacted in accordance with
Article 55 of the Personal Data Protection Act (the "PDPA").
Article 2 A "person" or "individual", as referred to under the PDPA, shall
mean a living natural person.
Article 3 The circumstances where a data subject can be "indirectly
identified", as referred to under Subparagraph 1, Paragraph 1,
Article 2 of the PDPA, shall mean the circumstances where a
government or non-government agency possessing such data
cannot directly identify the data subject, unless it compares,
combines or connects such data with other data.
Article 4 Personal data pertaining to a person's "medical records", as
referred to under Subparagraph 1, Paragraph 1, Article 2 of the
PDPA, shall mean the data specified in the subparagraphs of
Paragraph 2, Article 67 of the Medical Care Act.
Personal data pertaining to a person's "healthcare", as referred to
under Subparagraph 1, Paragraph 1, Article 2 of the PDPA, shall
mean medical histories and any other data pertaining to
checkups or treatments implemented by physicians or other
medical professionals for the purpose of treating, correcting or
preventing diseases, harms or disabilities of human body or for
other legitimate medical reasons, or shall mean other data
206
206
produced from the prescription, medication, operation or
disposition based on the findings of the above-mentioned
checkups.
Personal data pertaining to a person's "genetics", as referred to
mean the information on a heredity unit, consisting of one
segment of deoxyribonucleic acid (DNA) of human body, for
controlling the specific functions thereof.
Personal data pertaining to a person's "sex life", as referred to
mean the personal data on sexual orientation or sexual habits.
Personal data pertaining to a person's "physical examination", as
PDPA, shall mean the data produced by medical examinations
conducted not for the purpose of diagnosing or treating a
specific disease.
Personal data pertaining to a person's "criminal records", as
PDPA, shall mean the records of deferred prosecutions, ex
officio non-indictments, or a final guilty verdict rendered by a
court and its enforcement.
Article 5 "Personal data file", as referred to under Subparagraph 2,
Paragraph1, Article 2 of the PDPA, includes the backup file(s).
Article 6 "The act of deleting", as referred to under Subparagraph 4,
Paragraph 1, Article 2 of the PDPA, shall mean to erase the
personal data from the personal data file.
"Internal transfer", as referred to under Subparagraph 4,
Paragraph 1, Article 2 of the PDPA, shall mean the data transfer
within a government or non-government agency.
Article 7 The collection, processing or use of personal data by the
commissioned legal person, group or natural person shall
comply with the same laws and regulations applicable to the
commissioning agency.
Article 8 When commissioning another to collect, process or use personal
data, the commissioning agency shall properly supervise the
commissioned agency.
The scope of supervision prescribed in the preceding paragraph
shall include at least the followings:
207
207
1. the planned scope, category, specific purpose and time
period of the collection, processing or use of personal data;
2. the measures taken by the commissioned agency in
accordance with Paragraph 2 of Article 12;
3. the third party, if any, further commissioned by the
commissioned agency;
4. the information that must be notified to the commissioning
agency and the remedial measures that must be taken in the
event that the commissioned agency or its employees
violate(s) the PDPA or other laws and regulations relating to
the protection of personal data;
5. any reserved matters for which the commissioned agency is
required to obtain prior instructions from the commissioning
agency; and
6. the return of any medium containing personal data and the
deletion of any personal data stored and possessed by the
commissioned agency due to its performance of the
engagement contract between the commissioning agency
and the commissioned agency, upon the termination or
cancellation thereof.
For the purpose of supervision prescribed under Paragraph 1, the
commissioning agency shall carry out regular inspections to
verify the commissioned agency's performance of the
engagement contract and document the findings of such
inspections.
The commissioned agency may collect, process or use personal
data but only to the extent within the commissioning agency's
instructions. If the commissioned agency considers that the
commissioning agency's instructions are in contravention of the
PDPA or other laws and regulations relating to the protection of
personal data, the commissioned agency shall forthwith notify
the commissioning agency.
Article 9 "Law", as referred to under Subparagraph 1 of the proviso to
Paragraph 1 of Article 6, Subparagraph 1 of Paragraph 2 of
Article 8, Subparagraph 1 of the proviso to Paragraph 1 of
Article 16, Subparagraph 1 of Paragraph 1 of Article 19, and
Subparagraph 1 of the proviso to Paragraph 1 of Article 20 of the
PDPA, shall mean laws, or those regulations specifically and
208
208
expressly authorized by laws.
Article 10 "Statutory duties", as referred to under Subparagraphs 2 and 5 of
the proviso to Paragraph 1 of Article 6, Subparagraphs 2 and 3 of
Paragraph 2 of Article 8, Subparagraph 2 of the proviso to
Paragraph 1 of Article 10, Subparagraph 1 of Paragraph 1 of
Article 15, and Article 16 of the PDPA, shall mean the official
authority of government agencies prescribed in the following
legal instruments:
1. laws, or those regulations authorized by laws;
2. self-governance ordinances;
3. those self-governance regulations authorized by laws or
self- governance ordinances; or
4. those regulations authorized by laws or central government
regulations to govern the commissioning matters.
Article 11 "Statutory obligations", as referred to under Subparagraphs 2
and 5 of the proviso to Paragraph 1 of Article 6, and
Subparagraph 2 of Paragraph 2 of Article 8 of the PDPA, shall
mean the obligations of non-government agencies prescribed by
laws or those regulations specifically and expressly authorized
by laws.
Article 12 "Proper security and maintenance measures", as referred to
under Subparagraphs 2 and 5 of the proviso to Paragraph 1 of
Article 6, "security and maintenance measures", as referred to
under Article 18, and "proper security measures", as referred to
under Subparagraph 2 of Paragraph 1 of Article 19 and
Paragraph 1 of Article 27 of the PDPA, shall mean the technical
or organizational measures taken by a government agency or
non-government agency for the purpose of preventing personal
data from being stolen, altered, damaged, destroyed or disclosed.
The measures prescribed in the preceding paragraph may include
the following and shall be proportionate to the intended purposes
of personal data protection:
1. allocating management personnel and reasonable resources;
2. defining the scope of personal data;
3. establishing a mechanism of risk assessment and
management of personal data;
4. establishing a mechanism of preventing, giving notice of,
209
209
and responding to a data breach;
5. establishing an internal control procedure for the collection,
processing, and use of personal data;
6. managing data security and personnel;
7. promoting awareness, education and training;
8. managing facility security;
9. establishing an audit mechanism of data security;
10. keeping records, log files and relevant evidence; and
11. implementing integrated and persistent improvements on
the security and maintenance of personal data.
Article 13 "The personal data that has been disclosed to the public by the
data subject", as referred to under Subparagraph 3 of the proviso
to Paragraph 1 of Article 6, Subparagraph 2 of Paragraph 2 of
Article 9, and Subparagraph 3 of Paragraph 1 of Article 19 of the
PDPA, shall mean the personal data voluntarily disclosed by the
data subject to non-specific persons or a large number of specific
persons.
"The personal data that has been made public lawfully", as
referred to under Subparagraph 3 of the proviso to Paragraph 1
of Article 6, Subparagraph 2 of Paragraph 2 of Article 9, and
Subparagraph 3 of Paragraph 1 of Article 19 of the PDPA, shall
mean personal data that has been published, publicly announced
or disclosed to the public through other lawful means in
accordance with laws or those regulations specifically and
expressly authorized by laws.
Article 14 In accordance with the Electronic Signatures Act, a data subject's
"consent in writing", as referred to under Subparagraph 6 of the
proviso to Paragraph 1 of Article 6, Paragraph 2 and 3 of the
proviso to Article 11 of the PDPA, may be given in an electronic
form.
Article 15 If "a separate declaration of agreement", as referred to under
Paragraph 2, Article 7 of the PDPA, is to be provided
concurrently with other expressions of intent in the same
document, the data collector shall, where appropriate on the
document, make the data subject aware of the details of such
agreement and confirm his/her consent.
Article 16 The obligation to inform data subjects as required under Articles
210
210
8, 9, and 54 of the PDPA may be fulfilled via verbal words, in
writing, over the phone, via text messages, email, fax, electronic
documents or other means that can effectively make the
information known or available to the data subjects.
Article 17 The "data that may not lead to the identification of a specific
data subject", as referred to under Subparagraph 4 of the proviso
to Paragraph 1 of Article 6, Subparagraph 4 of Paragraph 2 of
Article 9, Subparagraph 5 of the proviso to Paragraph 1 of
Article 16, Subparagraph 4 of Paragraph 1 of Article 19, and
PDPA, shall mean the personal data replaced with codes, deleted
data subject’s name, partially concealed, or processed via other
means to the extent that the data subject may not be directly
identified.
Article 18 The circumstances "where the material interests of any third
parties may be adversely affected", as referred to under the
PDPA, shall mean the circumstances where any third parties'
life, body, freedom, properties or other material interests may be
harmed.
Article 19 When a data subject requests a government or non-government
agency to correct or supplement his/her personal data in
accordance with Paragraph 1, Article 11 of the PDPA, the data
subject shall provide the agency with an adequate explanation
therefor.
Article 20 The circumstances "where the specific purpose no longer exists"
referred to under Paragraph 3, Article 11 of the PDPA shall
mean any of the following circumstances:
1. the government agency has been dissolved or reorganized
without another agency to take over its tasks;
2. the non-government agency has ceased its business or been
dissolved without another agency to take over its business,
or the non-government agency has changed the scope of its
business, thereby causing the purpose for which the personal
data were collected to be no longer applicable;
3. the specific purpose has been reached, and there is therefore
no longer necessary to continue the processing and use of
personal data; or
4. other circumstances where the specific purpose evidently
211
211
can no longer be reached or no longer exists.
Article 21 The "necessity for the performance of an official or business
duty", as referred to in the proviso to Paragraph 3, Article 11 of
the PDPA, shall mean any of the following circumstances:
1. where a retention period is prescribed by laws or
regulations, or agreed upon under a contract;
2. where there are sufficient reasons to believe that the
deletion of the personal data will infringe upon the data
subject's interests that warrant protection; or
3. where there are other legitimate reasons for not erasing the
personal data.
Article 22 A notification given via "appropriate means", as referred to
under Article 12 of the PDPA, shall mean a notification that is
given in a prompt manner via verbal words, in writing, over the
phone, via text messages, email, fax, electronic documents or
other means that can effectively make the information known or
available to the data subjects. However, if such notification
entails disproportionate costs, a government or non-government
agency may, taking into consideration the technical feasibility
and privacy protection of the data subjects, notify the data
subjects through the Internet, the media or other proper and
public means.
A notification given under Article 12 of the PDPA shall include
the facts pertaining to the data breach and the response measures
already adopted to address such breach of personal data.
Article 23 A government agency shall make public of information under
Article 17 of the PDPA within one month after the establishment
of the personal data files; the same also applies to any
modification thereof. The methods of making information public
shall be specified and shall not be changed at random.
"Other appropriate means", as referred to under Article 17 of the
PDPA, shall mean making public such information via
government gazettes, newspapers, magazines, online newspapers
or other means that allows the general public to make inquiries
of such information.
Article 24 A government agency in possession of personal data files shall
set forth security and maintenance rules for personal data.
Article 25 "Dedicated personnel", as referred to under Article 18 of the
212
212
PDPA, shall mean personnel with the ability to manage and
maintain personal data files and to adequately perform the
regular task of securing and maintaining personal data and the
files thereof for the agency.
To equip the dedicated personnel with the ability to secure and
maintain personal data, the government agency shall hold
relevant professional training sessions or ensure that the
dedicated personnel undergo such professional training.
Article 26 A "contractual or quasi-contractual relationship", as referred to
under Subparagraph 2, Paragraph 1, Article 19 of the PDPA, is
not limited to the relationship formed after the amendment to the
PDPA has taken into effect.
Article 27 A "contractual relationship", as referred to under Subparagraph
2, Paragraph 1, Article 19 of the PDPA, shall include the
contractual relationship between a non-government agency and a
data subject, and also the relationship where a non-government
agency and a data subject are either contacting, negotiating or
communicating with, receiving delivery from or making delivery
to a necessary third party for the purpose of performing the
contract between the non-government agency and the data
subject.
A "quasi-contractual relationship", as referred to under
Subparagraph 2, Paragraph 1, Article 19 of the PDPA, shall
mean any of the following:
1. any relationships involving the contact and negotiation
between a non-government agency and a data subject before
the execution of a contract for the purpose of preparing for
or negotiating the terms of such contract or transaction; or
2. any relationships involving the communication between a
non-government agency and a data subject upon the
extinguishment of a contract due to the invalidation,
rescission, cancellation or termination thereof or upon the
complete performance of a contract, for the purpose of
exercising their rights, performing their obligations, or
ensuring the integrity of the personal data.
Article 28 "Publicly available sources", as referred to under Subparagraph
7, Paragraph 1, Article 19 of the PDPA, shall mean mass media,
the Internet, news, magazines, government gazettes and other
channels through which the general public may become aware of
213
213
or come in contact with and then subsequently obtain personal
data.
Article 29 When conducting the inspections in accordance with Article 22
of the PDPA, the inspectors shall fulfill their confidentiality
obligations and uphold the reputation of those being inspected.
Article 30 When retaining or duplicating the personal data or the files
thereof that may be confiscated or admitted as evidence in
accordance with Paragraph 2, Article 22 of the PDPA, a receipt
specifying the name, quantity, the owner, the location and time
of retaining or duplicating of such data or files shall be issued.
After an inspection has been conducted in accordance with
Paragraphs 1 and 2, Article 22 of the PDPA, a record thereof
shall be made.
If the record mentioned in the preceding paragraph is made
onsite, such record shall be reviewed and signed by the inspected
agency. A copy of the record shall be promptly given to the
inspected agency. If the inspected agency refuses to sign the
record, the reason thereof shall be specified on such record.
If the record is made off site afterwards, such record shall be
delivered to the inspected agency, which shall be informed that it
may submit relevant statements within a certain period of time.
Article 31 "Public interest groups", as referred to under Paragraph 1,
Article 52 of the PDPA, shall mean incorporated charities,
incorporated foundations or administrative entities established in
accordance with the Civil Code or other laws and having the
professional ability regarding the protection of personal data.
Article 32 The collected or processed personal data provided by a data
subject before the effective date of the amended PDPA can
continue to be processed and used within the scope of the
specific purpose of collection. The use for another purpose shall
comply with the provisions under the amended PDPA.
Article 33 The effective date of these Enforcement Rules shall be
promulgated by the Ministry of Justice.
214
214
柒、個人資料保護法及同法施行細則相關條文對照
表
個人資料保護法個人資料保護法施行細則
第五十五條本法施行細則，由法務部第一條本細則依個人資料保護法（以
定之。下簡稱本法）第五十五條規定訂定
之。
第一條為規範個人資料之蒐集、處理第二條本法所稱個人，指現生存之自
及利用，以避免人格權受侵害，並促然人。
進個人資料之合理利用，特制定本
法。
第二條本法用詞，定義如下：第三條本法第二條第一款所稱得以間
一、個人資料：指自然人之姓名、出接方式識別，指保有該資料之公務或
生年月日、國民身分證統一編號非公務機關僅以該資料不能直接識別
、護照號碼、特徵、指紋、婚姻，須與其他資料對照、組合、連結等
、家庭、教育、職業、病歷、醫，始能識別該特定之個人。
療、基因、性生活、健康檢查、第四條本法第二條第一款所稱病歷之
犯罪前科、聯絡方式、財務情況個人資料，指醫療法第六十七條第二
、社會活動及其他得以直接或間項所列之各款資料。
接方式識別該個人之資料。本法第二條第一款所稱醫療之個
二、個人資料檔案：指依系統建立而人資料，指病歷及其他由醫師或其他
得以自動化機器或其他非自動化之醫事人員，以治療、矯正、預防人
方式檢索、整理之個人資料之集體疾病、傷害、殘缺為目的，或其他
合。醫學上之正當理由，所為之診察及治
三、蒐集：指以任何方式取得個人資療；或基於以上之診察結果，所為處
料。方、用藥、施術或處置所產生之個人
四、處理：指為建立或利用個人資料資料。
檔案所為資料之記錄、輸入、儲本法第二條第一款所稱基因之個
存、編輯、更正、複製、檢索、人資料，指由人體一段去氧核醣核酸
刪除、輸出、連結或內部傳送。構成，為人體控制特定功能之遺傳單
五、利用：指將蒐集之個人資料為處位訊息。
理以外之使用。本法第二條第一款所稱性生活之
六、國際傳輸：指將個人資料作跨國個人資料，指性取向或性慣行之個人
（境）之處理或利用。資料。
七、公務機關：指依法行使公權力之本法第二條第一款所稱健康檢查
中央或地方機關或行政法人。之個人資料，指非針對特定疾病進行
八、非公務機關：指前款以外之自然診斷或治療之目的，而以醫療行為施
215
215
人、法人或其他團體。以檢查所產生之資料。
九、當事人：指個人資料之本人。本法第二條第一款所稱犯罪前科
之個人資料，指經緩起訴、職權不起
訴或法院判決有罪確定、執行之紀
錄。
第五條本法第二條第二款所定個人資
料檔案，包括備份檔案。
第六條本法第二條第四款所稱刪除，
指使已儲存之個人資料自個人資料檔
案中消失。
本法第二條第四款所稱內部傳送
，指公務機關或非公務機關本身內部
之資料傳送。
第三條當事人就其個人資料依本法規
定行使之下列權利，不得預先拋棄或
以特約限制之：
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第四條受公務機關或非公務機關委託第七條受委託蒐集、處理或利用個人
蒐集、處理或利用個人資料者，於本資料之法人、團體或自然人，依委託
法適用範圍內，視同委託機關。機關應適用之規定為之。
第八條委託他人蒐集、處理或利用個
人資料時，委託機關應對受託者為適
當之監督。
前項監督至少應包含下列事項：
一、預定蒐集、處理或利用個人資料
之範圍、類別、特定目的及其期
間。
二、受託者就第十二條第二項採取之
措施。
三、有複委託者，其約定之受託者。
四、受託者或其受僱人違反本法、其
他個人資料保護法律或其法規命
令時，應向委託機關通知之事項
216
216
及採行之補救措施。
五、委託機關如對受託者有保留指示
者，其保留指示之事項。
六、委託關係終止或解除時，個人資
料載體之返還，及受託者履行委
託契約以儲存方式而持有之個人
資料之刪除。
第一項之監督，委託機關應定期
確認受託者執行之狀況，並將確認結
果記錄之。
受託者僅得於委託機關指示之範
圍內，蒐集、處理或利用個人資料。
受託者認委託機關之指示有違反本法
、其他個人資料保護法律或其法規命
令者，應立即通知委託機關。
第五條個人資料之蒐集、處理或利用
，應尊重當事人之權益，依誠實及信
用方法為之，不得逾越特定目的之必
要範圍，並應與蒐集之目的具有正當
合理之關聯。
第六條有關病歷、醫療、基因、性生第四條本法第二條第一款所稱病歷之
活、健康檢查及犯罪前科之個人資料個人資料，指醫療法第六十七條第二
，不得蒐集、處理或利用。但有下列項所列之各款資料。
情形之一者，不在此限：本法第二條第一款所稱醫療之個
一、法律明文規定。人資料，指病歷及其他由醫師或其他
二、公務機關執行法定職務或非公務之醫事人員，以治療、矯正、預防人
機關履行法定義務必要範圍內，體疾病、傷害、殘缺為目的，或其他
且事前或事後有適當安全維護措醫學上之正當理由，所為之診察及治
施。療；或基於以上之診察結果，所為處
三、當事人自行公開或其他已合法公方、用藥、施術或處置所產生之個人
開之個人資料。資料。
四、公務機關或學術研究機構基於醫本法第二條第一款所稱基因之個
療、衛生或犯罪預防之目的，為人資料，指由人體一段去氧核醣核酸
統計或學術研究而有必要，且資構成，為人體控制特定功能之遺傳單
料經過提供者處理後或經蒐集者位訊息。
依其揭露方式無從識別特定之當本法第二條第一款所稱性生活之
事人。個人資料，指性取向或性慣行之個人
217
217
五、為協助公務機關執行法定職務或資料。
非公務機關履行法定義務必要範本法第二條第一款所稱健康檢查
圍內，且事前或事後有適當安全之個人資料，指非針對特定疾病進行
維護措施。診斷或治療之目的，而以醫療行為施
六、經當事人書面同意。但逾越特定以檢查所產生之資料。
目的之必要範圍或其他法律另有本法第二條第一款所稱犯罪前科
限制不得僅依當事人書面同意蒐之個人資料，指經緩起訴、職權不起
集、處理或利用，或其同意違反訴或法院判決有罪確定、執行之紀
其意願者，不在此限。錄。
依前項規定蒐集、處理或利用個第九條本法第六條第一項但書第一款
人資料，準用第八條、第九條規定；、第八條第二項第一款、第十六條但
其中前項第六款之書面同意，準用第書第一款、第十九條第一項第一款、
七條第一項、第二項及第四項規定，第二十條第一項但書第一款所稱法律
並以書面為之。，指法律或法律具體明確授權之法規
命令。
第十條本法第六條第一項但書第二款
及第五款、第八條第二項第二款及第
三款、第十條但書第二款、第十五條
第一款、第十六條所稱法定職務，指
於下列法規中所定公務機關之職務：
一、法律、法律授權之命令。
二、自治條例。
三、法律或自治條例授權之自治規
則。
四、法律或中央法規授權之委辦規
則。
第十一條本法第六條第一項但書第二
款及第五款、第八條第二項第二款所
稱法定義務，指非公務機關依法律或
法律具體明確授權之法規命令所定之
義務。
第十二條本法第六條第一項但書第二
款及第五款所稱適當安全維護措施、
第十八條所稱安全維護事項、第十九
條第一項第二款及第二十七條第一項
所稱適當之安全措施，指公務機關或
非公務機關為防止個人資料被竊取、
218
218
竄改、毀損、滅失或洩漏，採取技術
上及組織上之措施。
前項措施，得包括下列事項，並
以與所欲達成之個人資料保護目的間
，具有適當比例為原則：
三、個人資料之風險評估及管理機
制。
五、個人資料蒐集、處理及利用之內
部管理程序。
十、使用紀錄、軌跡資料及證據保
存。
十一、個人資料安全維護之整體持續
改善。
第十三條本法第六條第一項但書第三
款、第九條第二項第二款、第十九條
第一項第三款所稱當事人自行公開之
個人資料，指當事人自行對不特定人
或特定多數人揭露其個人資料。
本法第六條第一項但書第三款、
第九條第二項第二款、第十九條第一
項第三款所稱已合法公開之個人資料
，指依法律或法律具體明確授權之法
規命令所公示、公告或以其他合法方
第十四條本法第六條第一項但書第六
款、第十一條第二項及第三項但書所
定當事人書面同意之方式，依電子簽
章法之規定，得以電子文件為之。
第十七條本法第六條第一項但書第四
款、第九條第二項第四款、第十六條
219
219
但書第五款、第十九條第一項第四款
及第二十條第一項但書第五款所稱無
從識別特定當事人，指個人資料以代
碼、匿名、隱藏部分資料或其他方式
，無從辨識該特定個人者。
第七條第十五條第二款及第十九條第第十五條本法第七條第二項所定單獨
一項第五款所稱同意，指當事人經蒐所為之意思表示，如係與其他意思表
集者告知本法所定應告知事項後，所示於同一書面為之者，蒐集者應於適
為允許之意思表示。當位置使當事人得以知悉其內容並確
第十六條第七款、第二十條第一認同意。
項第六款所稱同意，指當事人經蒐集
者明確告知特定目的外之其他利用目
的、範圍及同意與否對其權益之影響
後，單獨所為之意思表示。
公務機關或非公務機關明確告知
當事人第八條第一項各款應告知事項
時，當事人如未表示拒絕，並已提供
其個人資料者，推定當事人已依第十
五條第二款、第十九條第一項第五款
之規定表示同意。
蒐集者就本法所稱經當事人同意
之事實，應負舉證責任。
第八條公務機關或非公務機關依第十第九條本法第六條第一項但書第一款
五條或第十九條規定向當事人蒐集個、第八條第二項第一款、第十六條但
人資料時，應明確告知當事人下列事書第一款、第十九條第一項第一款、
項：第二十條第一項但書第一款所稱法律
一、公務機關或非公務機關名稱。，指法律或法律具體明確授權之法規
二、蒐集之目的。命令。
三、個人資料之類別。第十條本法第六條第一項但書第二款
四、個人資料利用之期間、地區、對及第五款、第八條第二項第二款及第
象及方式。三款、第十條但書第二款、第十五條
五、當事人依第三條規定得行使之權第一款、第十六條所稱法定職務，指
利及方式。於下列法規中所定公務機關之職務：
六、當事人得自由選擇提供個人資料一、法律、法律授權之命令。
時，不提供將對其權益之影響。二、自治條例。
有下列情形之一者，得免為前項三、法律或自治條例授權之自治規
之告知：則。
220
220
一、依法律規定得免告知。四、法律或中央法規授權之委辦規
二、個人資料之蒐集係公務機關執行則。
法定職務或非公務機關履行法定第十一條本法第六條第一項但書第二
義務所必要。款及第五款、第八條第二項第二款所
三、告知將妨害公務機關執行法定職稱法定義務，指非公務機關依法律或
務。法律具體明確授權之法規命令所定之
四、告知將妨害公共利益。義務。
五、當事人明知應告知之內容。第十六條依本法第八條、第九條及第
六、個人資料之蒐集非基於營利之目五十四條所定告知之方式，得以言詞
的，且對當事人顯無不利之影、書面、電話、簡訊、電子郵件、傳
響。真、電子文件或其他足以使當事人知
悉或可得知悉之方式為之。
第九條公務機關或非公務機關依第十第十三條本法第六條第一項但書第三
五條或第十九條規定蒐集非由當事人款、第九條第二項第二款、第十九條
提供之個人資料，應於處理或利用前第一項第三款所稱當事人自行公開之
，向當事人告知個人資料來源及前條個人資料，指當事人自行對不特定人
第一項第一款至第五款所列事項。或特定多數人揭露其個人資料。
有下列情形之一者，得免為前項本法第六條第一項但書第三款、
之告知：第九條第二項第二款、第十九條第一
一、有前條第二項所列各款情形之項第三款所稱已合法公開之個人資料
一。，指依法律或法律具體明確授權之法
二、當事人自行公開或其他已合法公規命令所公示、公告或以其他合法方
開之個人資料。式公開之個人資料。
三、不能向當事人或其法定代理人為第十六條依本法第八條、第九條及第
告知。五十四條所定告知之方式，得以言詞
四、基於公共利益為統計或學術研究、書面、電話、簡訊、電子郵件、傳
之目的而有必要，且該資料須經真、電子文件或其他足以使當事人知
提供者處理後或蒐集者依其揭露悉或可得知悉之方式為之。
方式，無從識別特定當事人者為第十七條本法第六條第一項但書第四
限。款、第九條第二項第四款、第十六條
五、大眾傳播業者基於新聞報導之公但書第五款、第十九條第一項第四款
益目的而蒐集個人資料。及第二十條第一項但書第五款所稱無
第一項之告知，得於首次對當事從識別特定當事人，指個人資料以代
人為利用時併同為之。碼、匿名、隱藏部分資料或其他方式
第十條公務機關或非公務機關應依當第十條本法第六條第一項但書第二款
事人之請求，就其蒐集之個人資料，及第五款、第八條第二項第二款及第
221
221
答覆查詢、提供閱覽或製給複製本。三款、第十條但書第二款、第十五條
但有下列情形之一者，不在此限：第一款、第十六條所稱法定職務，指
一、妨害國家安全、外交及軍事機密於下列法規中所定公務機關之職務：
、整體經濟利益或其他國家重大一、法律、法律授權之命令。
利益。二、自治條例。
二、妨害公務機關執行法定職務。三、法律或自治條例授權之自治規
三、妨害該蒐集機關或第三人之重大則。
利益。四、法律或中央法規授權之委辦規
則。
第十八條本法第十條但書第三款所稱
妨害第三人之重大利益，指有害於第
三人個人之生命、身體、自由、財產
或其他重大利益。
第十一條公務機關或非公務機關應維第十四條本法第六條第一項但書第六
護個人資料之正確，並應主動或依當款、第十一條第二項及第三項但書所
事人之請求更正或補充之。定當事人書面同意之方式，依電子簽
個人資料正確性有爭議者，應主章法之規定，得以電子文件為之。
動或依當事人之請求停止處理或利第十九條當事人依本法第十一條第一
用。但因執行職務或業務所必須，或項規定向公務機關或非公務機關請求
經當事人書面同意，並經註明其爭議更正或補充其個人資料時，應為適當
者，不在此限。之釋明。
個人資料蒐集之特定目的消失或第二十條本法第十一條第三項所稱特
期限屆滿時，應主動或依當事人之請定目的消失，指下列各款情形之一：
求，刪除、停止處理或利用該個人資一、公務機關經裁撤或改組而無承受
料。但因執行職務或業務所必須或經業務機關。
當事人書面同意者，不在此限。二、非公務機關歇業、解散而無承受
違反本法規定蒐集、處理或利用機關，或所營事業營業項目變更
個人資料者，應主動或依當事人之請而與原蒐集目的不符。
求，刪除、停止蒐集、處理或利用該三、特定目的已達成而無繼續處理或
個人資料。利用之必要。
因可歸責於公務機關或非公務機四、其他事由足認該特定目的已無法
關之事由，未為更正或補充之個人資達成或不存在。
料，應於更正或補充後，通知曾提供第二十一條有下列各款情形之一者，
利用之對象。屬於本法第十一條第三項但書所定因
執行職務或業務所必須：
一、有法令規定或契約約定之保存期
限。
222
222
二、有理由足認刪除將侵害當事人值
得保護之利益。
三、其他不能刪除之正當事由。
第十二條公務機關或非公務機關違反第二十二條本法第十二條所稱適當方
本法規定，致個人資料被竊取、洩漏式通知，指即時以言詞、書面、電話
、竄改或其他侵害者，應查明後以適、簡訊、電子郵件、傳真、電子文件
當方式通知當事人。或其他足以使當事人知悉或可得知悉
之方式為之。但需費過鉅者，得斟酌
技術之可行性及當事人隱私之保護，
以網際網路、新聞媒體或其他適當公
開方式為之。
依本法第十二條規定通知當事人
，其內容應包括個人資料被侵害之事
實及已採取之因應措施。
第十三條公務機關或非公務機關受理
當事人依第十條規定之請求，應於十
五日內，為准駁之決定；必要時，得
予延長，延長之期間不得逾十五日，
並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事
人依第十一條規定之請求，應於三十
日內，為准駁之決定；必要時，得予
延長，延長之期間不得逾三十日，並
應將其原因以書面通知請求人。
第十四條查詢或請求閱覽個人資料或
製給複製本者，公務機關或非公務機
關得酌收必要成本費用。
第十五條公務機關對個人資料之蒐集第十條本法第六條第一項但書第二款
或處理，除第六條第一項所規定資料及第五款、第八條第二項第二款及第
外，應有特定目的，並符合下列情形三款、第十條但書第二款、第十五條
之一者：第一款、第十六條所稱法定職務，指
一、執行法定職務必要範圍內。於下列法規中所定公務機關之職務：
二、經當事人同意。一、法律、法律授權之命令。
三、對當事人權益無侵害。二、自治條例。
三、法律或自治條例授權之自治規
則。
四、法律或中央法規授權之委辦規
223
223
則。
第十六條公務機關對個人資料之利用第九條本法第六條第一項但書第一款
，除第六條第一項所規定資料外，應、第八條第二項第一款、第十六條但
於執行法定職務必要範圍內為之，並書第一款、第十九條第一項第一款、
與蒐集之特定目的相符。但有下列情第二十條第一項但書第一款所稱法律
形之一者，得為特定目的外之利用：，指法律或法律具體明確授權之法規
一、法律明文規定。命令。
二、為維護國家安全或增進公共利益第十條本法第六條第一項但書第二款
所必要。及第五款、第八條第二項第二款及第
三、為免除當事人之生命、身體、自三款、第十條但書第二款、第十五條
由或財產上之危險。第一款、第十六條所稱法定職務，指
四、為防止他人權益之重大危害。於下列法規中所定公務機關之職務：
五、公務機關或學術研究機構基於公一、法律、法律授權之命令。
共利益為統計或學術研究而有必二、自治條例。
要，且資料經過提供者處理後或三、法律或自治條例授權之自治規
經蒐集者依其揭露方式無從識別則。
特定之當事人。四、法律或中央法規授權之委辦規
六、有利於當事人權益。則。
七、經當事人同意。第十七條本法第六條第一項但書第四
第十七條公務機關應將下列事項公開第二十三條公務機關依本法第十七條
於電腦網站，或以其他適當方式供公規定為公開，應於建立個人資料檔案
眾查閱；其有變更者，亦同：後一個月內為之；變更時，亦同。公
一、個人資料檔案名稱。開方式應予以特定，並避免任意變
二、保有機關名稱及聯絡方式。更。
三、個人資料檔案保有之依據及特定本法第十七條所稱其他適當方式
目的。，指利用政府公報、新聞紙、雜誌、
四、個人資料之類別。電子報或其他可供公眾查閱之方式為
公開。
第十八條公務機關保有個人資料檔案第十二條本法第六條第一項但書第二
者，應指定專人辦理安全維護事項，款及第五款所稱適當安全維護措施、
防止個人資料被竊取、竄改、毀損、第十八條所稱安全維護事項、第十九
224
224
滅失或洩漏。條第一項第二款及第二十七條第一項
所稱適當之安全措施，指公務機關或
非公務機關為防止個人資料被竊取、
竄改、毀損、滅失或洩漏，採取技術
上及組織上之措施。
前項措施，得包括下列事項，並
以與所欲達成之個人資料保護目的間
，具有適當比例為原則：
制。
部管理程序。
存。
改善。
第二十四條公務機關保有個人資料檔
案者，應訂定個人資料安全維護規
定。
第二十五條本法第十八條所稱專人，
指具有管理及維護個人資料檔案之能
力，且足以擔任機關之個人資料檔案
安全維護經常性工作之人員。
公務機關為使專人具有辦理安全
維護事項之能力，應辦理或使專人接
受相關專業之教育訓練。
第十九條非公務機關對個人資料之蒐第九條本法第六條第一項但書第一款
集或處理，除第六條第一項所規定資、第八條第二項第一款、第十六條但
料外，應有特定目的，並符合下列情書第一款、第十九條第一項第一款、
形之一者：第二十條第一項但書第一款所稱法律
225
225
一、法律明文規定。，指法律或法律具體明確授權之法規
二、與當事人有契約或類似契約之關命令。
係，且已採取適當之安全措施。第十二條本法第六條第一項但書第二
三、當事人自行公開或其他已合法公款及第五款所稱適當安全維護措施、
開之個人資料。第十八條所稱安全維護事項、第十九
四、學術研究機構基於公共利益為統條第一項第二款及第二十七條第一項
計或學術研究而有必要，且資料所稱適當之安全措施，指公務機關或
經過提供者處理後或經蒐集者依非公務機關為防止個人資料被竊取、
其揭露方式無從識別特定之當事竄改、毀損、滅失或洩漏，採取技術
人。上及組織上之措施。
五、經當事人同意。前項措施，得包括下列事項，並
六、為增進公共利益所必要。以與所欲達成之個人資料保護目的間
七、個人資料取自於一般可得之來，具有適當比例為原則：
源。但當事人對該資料之禁止處一、配置管理之人員及相當資源。
理或利用，顯有更值得保護之重二、界定個人資料之範圍。
大利益者，不在此限。三、個人資料之風險評估及管理機
八、對當事人權益無侵害。制。
蒐集或處理者知悉或經當事人通四、事故之預防、通報及應變機制。
知依前項第七款但書規定禁止對該資五、個人資料蒐集、處理及利用之內
料之處理或利用時，應主動或依當事部管理程序。
人之請求，刪除、停止處理或利用該六、資料安全管理及人員管理。
個人資料。七、認知宣導及教育訓練。
存。
改善。
第十三條本法第六條第一項但書第三
款、第九條第二項第二款、第十九條
第一項第三款所稱當事人自行公開之
個人資料，指當事人自行對不特定人
或特定多數人揭露其個人資料。
本法第六條第一項但書第三款、
第九條第二項第二款、第十九條第一
項第三款所稱已合法公開之個人資料
，指依法律或法律具體明確授權之法
226
226
規命令所公示、公告或以其他合法方
第十七條本法第六條第一項但書第四
第二十六條本法第十九條第一項第二
款所定契約或類似契約之關係，不以
本法修正施行後成立者為限。
第二十七條本法第十九條第一項第二
款所定契約關係，包括本約，及非公
務機關與當事人間為履行該契約，所
涉及必要第三人之接觸、磋商或聯繫
行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱
類似契約之關係，指下列情形之一
者：
一、非公務機關與當事人間於契約成
立前，為準備或商議訂立契約或
為交易之目的，所進行之接觸或
磋商行為。
二、契約因無效、撤銷、解除、終止
而消滅或履行完成時，非公務機
關與當事人為行使權利、履行義
務，或確保個人資料完整性之目
的所為之連繫行為。
第二十八條本法第十九條第一項第七
款所稱一般可得之來源，指透過大眾
傳播、網際網路、新聞、雜誌、政府
公報及其他一般人可得知悉或接觸而
取得個人資料之管道。
第二十條非公務機關對個人資料之利第九條本法第六條第一項但書第一款
用，除第六條第一項所規定資料外，、第八條第二項第一款、第十六條但
應於蒐集之特定目的必要範圍內為書第一款、第十九條第一項第一款、
227
227
之。但有下列情形之一者，得為特定第二十條第一項但書第一款所稱法律
目的外之利用：，指法律或法律具體明確授權之法規
一、法律明文規定。命令。
二、為增進公共利益所必要。第十七條本法第六條第一項但書第四
三、為免除當事人之生命、身體、自款、第九條第二項第四款、第十六條
由或財產上之危險。但書第五款、第十九條第一項第四款
四、為防止他人權益之重大危害。及第二十條第一項但書第五款所稱無
五、公務機關或學術研究機構基於公從識別特定當事人，指個人資料以代
共利益為統計或學術研究而有必碼、匿名、隱藏部分資料或其他方式
要，且資料經過提供者處理後或，無從辨識該特定個人者。
經蒐集者依其揭露方式無從識別
特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人
資料行銷者，當事人表示拒絕接受行
銷時，應即停止利用其個人資料行
銷。
非公務機關於首次行銷時，應提
供當事人表示拒絕接受行銷之方式，
並支付所需費用。
第二十一條非公務機關為國際傳輸個
人資料，而有下列情形之一者，中央
目的事業主管機關得限制之：
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有
完善之法規，致有損當事人權益
之虞。
四、以迂迴方法向第三國（地區）傳
輸個人資料規避本法。
第二十二條中央目的事業主管機關或第二十九條依本法第二十二條規定實
直轄市、縣（市）政府為執行資料檔施檢查時，應注意保守秘密及被檢查
案安全維護、業務終止資料處理方法者之名譽。
、國際傳輸限制或其他例行性業務檢第三十條依本法第二十二條第二項規
查而認有必要或有違反本法規定之虞定，扣留或複製得沒入或可為證據之
時，得派員攜帶執行職務證明文件，個人資料或其檔案時，應掣給收據，
228
228
進入檢查，並得命相關人員為必要之載明其名稱、數量、所有人、地點及
說明、配合措施或提供相關證明資時間。
料。依本法第二十二條第一項及第二
中央目的事業主管機關或直轄市項規定實施檢查後，應作成紀錄。
、縣（市）政府為前項檢查時，對於前項紀錄當場作成者，應使被檢
得沒入或可為證據之個人資料或其檔查者閱覽及簽名，並即將副本交付被
案，得扣留或複製之。對於應扣留或檢查者；其拒絕簽名者，應記明其事
複製之物，得要求其所有人、持有人由。
或保管人提出或交付；無正當理由拒紀錄於事後作成者，應送達被檢
絕提出、交付或抗拒扣留或複製者，查者，並告知得於一定期限內陳述意
得採取對該非公務機關權益損害最少見。
之方法強制為之。
中央目的事業主管機關或直轄市
、縣（市）政府為第一項檢查時，得
率同資訊、電信或法律等專業人員共
同為之。
對於第一項及第二項之進入、檢
查或處分，非公務機關及其相關人員
不得規避、妨礙或拒絕。
參與檢查之人員，因檢查而知悉
他人資料者，負保密義務。
第二十三條對於前條第二項扣留物或
複製物，應加封緘或其他標識，並為
適當之處置；其不便搬運或保管者，
得命人看守或交由所有人或其他適當
之人保管。
扣留物或複製物已無留存之必要
，或決定不予處罰或未為沒入之裁處
者，應發還之。但應沒入或為調查他
案應留存者，不在此限。
第二十四條非公務機關、物之所有人
、持有人、保管人或利害關係人對前
二條之要求、強制、扣留或複製行為
不服者，得向中央目的事業主管機關
或直轄市、縣（市）政府聲明異議。
前項聲明異議，中央目的事業主
管機關或直轄市、縣（市）政府認為
229
229
有理由者，應立即停止或變更其行為
；認為無理由者，得繼續執行。經該
聲明異議之人請求時，應將聲明異議
之理由製作紀錄交付之。
對於中央目的事業主管機關或直
轄市、縣（市）政府前項決定不服者
，僅得於對該案件之實體決定聲明不
服時一併聲明之。但第一項之人依法
不得對該案件之實體決定聲明不服時
，得單獨對第一項之行為逕行提起行
政訴訟。
第二十五條非公務機關有違反本法規
定之情事者，中央目的事業主管機關
或直轄市、縣（市）政府除依本法規
定裁處罰鍰外，並得為下列處分：
一、禁止蒐集、處理或利用個人資
料。
二、命令刪除經處理之個人資料檔
案。
三、沒入或命銷燬違法蒐集之個人資
料。
四、公布非公務機關之違法情形，及
其姓名或名稱與負責人。
中央目的事業主管機關或直轄
市、縣（市）政府為前項處分時，應
於防制違反本法規定情事之必要範圍
內，採取對該非公務機關權益損害最
少之方法為之。
第二十六條中央目的事業主管機關或
直轄市、縣（市）政府依第二十二條
規定檢查後，未發現有違反本法規定
之情事者，經該非公務機關同意後，
得公布檢查結果。
第二十七條非公務機關保有個人資料第十二條本法第六條第一項但書第二
檔案者，應採行適當之安全措施，防款及第五款所稱適當安全維護措施、
止個人資料被竊取、竄改、毀損、滅第十八條所稱安全維護事項、第十九
失或洩漏。條第一項第二款及第二十七條第一項
230
230
中央目的事業主管機關得指定非所稱適當之安全措施，指公務機關或
公務機關訂定個人資料檔案安全維護非公務機關為防止個人資料被竊取、
計畫或業務終止後個人資料處理方竄改、毀損、滅失或洩漏，採取技術
法。上及組織上之措施。
前項計畫及處理方法之標準等相前項措施，得包括下列事項，並
關事項之辦法，由中央目的事業主管以與所欲達成之個人資料保護目的間
機關定之。，具有適當比例為原則：
制。
部管理程序。
存。
改善。
第二十八條公務機關違反本法規定，
致個人資料遭不法蒐集、處理、利用
或其他侵害當事人權利者，負損害賠
償責任。但損害因天災、事變或其他
不可抗力所致者，不在此限。
被害人雖非財產上之損害，亦得
請求賠償相當之金額；其名譽被侵害
者，並得請求為回復名譽之適當處
分。
依前二項情形，如被害人不易或
不能證明其實際損害額時，得請求法
院依侵害情節，以每人每一事件新臺
幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事
人權利受侵害之事件，經當事人請求
損害賠償者，其合計最高總額以新臺
231
231
幣二億元為限。但因該原因事實所涉
利益超過新臺幣二億元者，以該所涉
利益為限。
同一原因事實造成之損害總額逾
前項金額時，被害人所受賠償金額，
不受第三項所定每人每一事件最低賠
償金額新臺幣五百元之限制。
第二項請求權，不得讓與或繼
承。但以金額賠償之請求權已依契約
承諾或已起訴者，不在此限。
第二十九條非公務機關違反本法規定
，致個人資料遭不法蒐集、處理、利
用或其他侵害當事人權利者，負損害
賠償責任。但能證明其無故意或過失
者，不在此限。
依前項規定請求賠償者，適用前
條第二項至第六項規定。
第三十條損害賠償請求權，自請求權
人知有損害及賠償義務人時起，因二
年間不行使而消滅；自損害發生時起
，逾五年者，亦同。
第三十一條損害賠償，除依本法規定
外，公務機關適用國家賠償法之規定
，非公務機關適用民法之規定。
第三十二條依本章規定提起訴訟之財
團法人或公益社團法人，應符合下列
要件：
一、財團法人之登記財產總額達新臺
幣一千萬元或社團法人之社員人
數達一百人。
二、保護個人資料事項於其章程所定
目的範圍內。
第三十三條依本法規定對於公務機關
提起損害賠償訴訟者，專屬該機關所
在地之地方法院管轄。對於非公務機
關提起者，專屬其主事務所、主營業
232
232
所或住所地之地方法院管轄。
前項非公務機關為自然人，而其
在中華民國現無住所或住所不明者，
以其在中華民國之居所，視為其住所
；無居所或居所不明者，以其在中華
民國最後之住所，視為其住所；無最
後住所者，專屬中央政府所在地之地
方法院管轄。
第一項非公務機關為自然人以外
之法人或其他團體，而其在中華民國
現無主事務所、主營業所或主事務所
、主營業所不明者，專屬中央政府所
在地之地方法院管轄。
第三十四條對於同一原因事實造成多
數當事人權利受侵害之事件，財團法
人或公益社團法人經受有損害之當事
人二十人以上以書面授與訴訟實施權
者，得以自己之名義，提起損害賠償
訴訟。當事人得於言詞辯論終結前以
書面撤回訴訟實施權之授與，並通知
法院。
前項訴訟，法院得依聲請或依
職權公告曉示其他因同一原因事實受
有損害之當事人，得於一定期間內向
前項起訴之財團法人或公益社團法人
授與訴訟實施權，由該財團法人或公
益社團法人於第一審言詞辯論終結前
，擴張應受判決事項之聲明。
其他因同一原因事實受有損害之
當事人未依前項規定授與訴訟實施權
者，亦得於法院公告曉示之一定期間
內起訴，由法院併案審理。
其他因同一原因事實受有損害
之當事人，亦得聲請法院為前項之公
告。
前二項公告，應揭示於法院公
告處、資訊網路及其他適當處所；法
院認為必要時，並得命登載於公報或
233
233
新聞紙，或用其他方法公告之，其費
用由國庫墊付。
依第一項規定提起訴訟之財團
法人或公益社團法人，其標的價額超
過新臺幣六十萬元者，超過部分暫免
徵裁判費。
第三十五條當事人依前條第一項規定
撤回訴訟實施權之授與者，該部分訴
訟程序當然停止，該當事人應即聲明
承受訴訟，法院亦得依職權命該當事
人承受訴訟。
財團法人或公益社團法人依前條
規定起訴後，因部分當事人撤回訴訟
實施權之授與，致其餘部分不足二十
人者，仍得就其餘部分繼續進行訴
訟。
第三十六條各當事人於第三十四條第
一項及第二項之損害賠償請求權，其
時效應分別計算。
第三十七條財團法人或公益社團法人
就當事人授與訴訟實施權之事件，有
為一切訴訟行為之權。但當事人得限
制其為捨棄、撤回或和解。
前項當事人中一人所為之限制，
其效力不及於其他當事人。
第一項之限制，應於第三十四條
第一項之文書內表明，或以書狀提出
於法院。
第三十八條當事人對於第三十四條訴
訟之判決不服者，得於財團法人或公
益社團法人上訴期間屆滿前，撤回訴
訟實施權之授與，依法提起上訴。
財團法人或公益社團法人於收受
判決書正本後，應即將其結果通知當
事人，並應於七日內將是否提起上訴
之意旨以書面通知當事人。
第三十九條財團法人或公益社團法人
234
234
應將第三十四條訴訟結果所得之賠償
，扣除訴訟必要費用後，分別交付授
與訴訟實施權之當事人。
提起第三十四條第一項訴訟之財
團法人或公益社團法人，均不得請求
報酬。
第四十條依本章規定提起訴訟之財團
法人或公益社團法人，應委任律師代
理訴訟。
第四十一條意圖為自己或第三人不法
之利益或損害他人之利益，而違反第
六條第一項、第十五條、第十六條、
第十九條、第二十條第一項規定，或
中央目的事業主管機關依第二十一條
限制國際傳輸之命令或處分，足生損
害於他人者，處五年以下有期徒刑，
得併科新臺幣一百萬元以下罰金。
第四十二條意圖為自己或第三人不法
之利益或損害他人之利益，而對於個
人資料檔案為非法變更、刪除或以其
他非法方法，致妨害個人資料檔案之
正確而足生損害於他人者，處五年以
下有期徒刑、拘役或科或併科新臺幣
一百萬元以下罰金。
第四十三條中華民國人民在中華民國
領域外對中華民國人民犯前二條之罪
者，亦適用之。
第四十四條公務員假借職務上之權力
、機會或方法，犯本章之罪者，加重
其刑至二分之一。
第四十五條本章之罪，須告訴乃論。
但犯第四十一條之罪者，或對公務機
關犯第四十二條之罪者，不在此限。
第四十六條犯本章之罪，其他法律有
較重處罰規定者，從其規定。
第四十七條非公務機關有下列情事之
一者，由中央目的事業主管機關或直
235
235
轄市、縣（市）政府處新臺幣五萬元
以上五十萬元以下罰鍰，並令限期改
正，屆期未改正者，按次處罰之：
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依
第二十一條規定限制國際傳輸
之命令或處分。
第四十八條非公務機關有下列情事之
一者，由中央目的事業主管機關或直
轄市、縣（市）政府限期改正，屆期
未改正者，按次處新臺幣二萬元以上
二十萬元以下罰鍰：
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十
二條或第十三條規定。
三、違反第二十條第二項或第三項
規定。
四、違反第二十七條第一項或未依
第二項訂定個人資料檔案安全
維護計畫或業務終止後個人資
料處理方法。
第四十九條非公務機關無正當理由違
反第二十二條第四項規定者，由中央
目的事業主管機關或直轄市、縣（市
）政府處新臺幣二萬元以上二十萬元
以下罰鍰。
第五十條非公務機關之代表人、管理
人或其他有代表權人，因該非公務機
關依前三條規定受罰鍰處罰時，除能
證明已盡防止義務者外，應並受同一
額度罰鍰之處罰。
第五十一條有下列情形之一者，不適
用本法規定：
一、自然人為單純個人或家庭活動之
目的，而蒐集、處理或利用個人
236
236
資料。
二、於公開場所或公開活動中所蒐集
、處理或利用之未與其他個人資
料結合之影音資料。
公務機關及非公務機關，在中華
民國領域外對中華民國人民個人資料
蒐集、處理或利用者，亦適用本法。
第五十二條第二十二條至第二十六條第三十一條本法第五十二條第一項所
規定由中央目的事業主管機關或直轄稱之公益團體，指依民法或其他法律
市、縣（市）政府執行之權限，得委設立並具備個人資料保護專業能力之
任所屬機關、委託其他機關或公益團公益社團法人、財團法人及行政法
體辦理；其成員因執行委任或委託事人。
務所知悉之資訊，負保密義務。
前項之公益團體，不得依第三十
四條第一項規定接受當事人授與訴訟
實施權，以自己之名義提起損害賠償
訴訟。
第五十三條法務部應會同中央目的事
業主管機關訂定特定目的及個人資料
類別，提供公務機關及非公務機關參
考使用。
第五十四條本法中華民國九十九年五第十六條依本法第八條、第九條及第
月二十六日修正公布之條文施行前，五十四條所定告知之方式，得以言詞
非由當事人提供之個人資料，於本法、書面、電話、簡訊、電子郵件、傳
一百零四年十二月十五日修正之條文真、電子文件或其他足以使當事人知
施行後為處理或利用者，應於處理或悉或可得知悉之方式為之。
利用前，依第九條規定向當事人告第三十二條本法修正施行前已蒐集或
知。處理由當事人提供之個人資料，於修
前項之告知，得於本法中華民國正施行後，得繼續為處理及特定目的
一百零四年十二月十五日修正之條文內之利用；其為特定目的外之利用者
施行後首次利用時併同為之。，應依本法修正施行後之規定為之。
未依前二項規定告知而利用者，
以違反第九條規定論處。
第五十六條本法施行日期，由行政院第三十三條本細則施行日期，由法務

定之。部定之。
現行條文第十九條至第二十二條
237
237
及第四十三條之刪除，自公布日施
行。
前項公布日於現行條文第四十三
條第二項指定之事業、團體或個人應
於指定之日起六個月內辦理登記或許
可之期間內者，該指定之事業、團體
或個人得申請終止辦理，目的事業主
管機關於終止辦理時，應退還已繳規
費。已辦理完成者，亦得申請退費。
前項退費，應自繳費義務人繳納
之日起，至目的事業主管機關終止辦
理之日止，按退費額，依繳費之日郵
政儲金之一年期定期存款利率，按日
加計利息，一併退還。已辦理完成者
，其退費，應自繳費義務人繳納之日
起，至目的事業主管機關核准申請之
日止，亦同。
238
238
捌、本會發布之函釋
一、
發文字號：發法字第 1072002035 號
發文日期：民國 107 年 11 月 07 日
主旨：有關貴局於 107 年 11 月 5 日召開之「○○○○○○公司
涉及違反個人資料保護法案」第 2 次個資審查會議涉及個
人資料保護法第 6 條之解釋，本會意見詳如說明，請查
照。
說明：
一、依貴局 107 年 11 月 5 日工電字第 10701106680 號開會
通知單辦理。
二、按法務部 105 年 7 月印編之「個人資料保護法規及參考
資料彙編」（第二版）「玖、個人資料保護法問答」
Q12 記載：「本法第 6 條第 1 項但書第 2 款及第 5 款分
別規定『公務機關執行法定職務或非公務機關履行法定
義務必要範圍內，且事前或事後有適當安全維護措施』
及『為協助公務機關執行法定職務或非公務機關履行法
定義務必要範圍內，且事前或事後有適當安全維護措施
』，其中『事前或事後有適當安全維護措施』所指為何
？A:公務機關或非公務機關蒐集、處理或利用個人資料
依本法第 18 條或第 27 條第 1 項規定，對於保有之個人
資料檔案，本即應採取適當安全維護措施，惟為提醒注
意，本次修法爰分別於本法第 6 條第 1 項但書第 2 款及
第 5 款後段再為提示性規定。至於本法第 6 條第 1 項其
他各款之蒐集、處理及利用行為，雖無增加注意文字之
規定，仍有上開安全維護措施規定適用，乃屬當然解
釋。」
三、據此，個人資料保護法（下稱個資法）第 6 條第 1 項但
書第 2 款及第 5 款後段「事前或事後有適當安全維護措
施」應為促請注意所為之提示性規定，並非針對基於「
（協助）執行法定職務或履行法定義務」蒐集、處理或
239
239
利用特種個人資料所規範之「特別要件」，爰倘非公務
機關因未採取適當之安全維護措施，致合法蒐集之特種
個人資料外洩，係構成個資法第 27 條第 1 項規定之違反
，應依同法第 48 條第 4 款規定論處之。
正本：經濟部工業局
二、
發文日期：民國 107 年 11 月 07 日
主旨：有關貴署擬將 Google Android 作業系統手機之緊急定位服
務(Emergency Location Service,ELS)之定位資訊與 119 勤
務指揮派遣系統介接，涉及個人資料保護法之適法性，復
如說明，請查照。
說明：
一、復法務部 107 年 10 月 22 日法律決字第 10700193490 號
移文單函轉貴署 107 年 10 月 18 日消署指字第
1071000141 號函。
二、旨揭所詢事項，分述如下：
（一）有關貴署蒐集 ELS 定位資訊之適法性：
1. 按個人資料保護法（以下簡稱個資法）第 15 條規定
第 1 款規定：「公務機關對個人資料之蒐集或處理，
除第 6 條第 1 項所規定資料外，應有特定目的，並符
合下列情形之一者：一、執行法定職務必要範圍內。
」
2. 查災害防救法第 4 條第 1 項規定：「本法主管機關：
在中央為內政部；在直轄市為直轄市政府；在縣（市
）為縣（市）政府。」第 7 條規定：「內政部消防署
執行災害防救業務。（第 5 項）中央災害防救業務主
管機關執行災害資源統籌、資訊彙整與防救業務…。
（第 6 項）」是貴署基於「災害防救行政(045)」之特
定目的，得於執行上開災害防救職務之必要範圍內，
蒐集撥打 119 緊急電話之定位資訊，應可認屬符合個
240
240
資法第 15 條第 1 款所定「執行法定職務」之情形而
得提供。
（二）有關貴署將蒐集 ELS 定位資訊提供地方政府 119 指揮
派遣系統之適法性：
1. 按個資法第 16 條本文規定：「公務機關對個人資料
之利用，除第 6 條第 1 項所規定資料外，應於執行法
定職務必要範圍內為之，並與蒐集之特定目的相符。
」是貴署依上開災害防救法之規定，於執行災害防救
之法定職務及與蒐集之特定目的必要範圍內，將定位
資訊提供地方政府 119 指揮派遣系統，應認符合個資
法前揭規定。
2. 各直轄市及縣（市）政府依上開災害防救法及消防法
第 24 條第 2 項授權訂定之緊急救護辦法第 4 條第 1
項規定：「直轄市、縣（市）消防機關受理緊急傷病
事故之申請或知悉有緊急事故發生時，應確認該事故
之發生場所…並立即出動所需之救護隊前往救護。」
除應執行消防及災害防救業務，並應確認緊急事故發
生之場所，是其 119 指揮派遣系統蒐集貴署提供之定
位資訊，係基於「災害防救行政(045)」之特定目的，
並為執行法定職務必要範圍內，應可認符合個資法第
15 條第 1 款規定。
（三）按個資法第 5 條規定：「個人資料之蒐集、處理或利
用，應尊重當事人之權益，依誠實及信用方法為之，
不得逾越特定目的之必要範圍，並應與蒐集之目的具
有正當合理之關聯。」爰個人資料之蒐集、處理、利
用過程中，縱符合前揭規定，仍應注意比例原則之要
求，併此敘明供參。
正本：內政部消防署
副本：本會法制協調中心
三、
241
241
發文日期：民國 107 年 11 月 21 日
主旨：有關貴公司詢問「蒐集、處理或利用一般民眾測量『生理
數據資訊』與個人資料保護法（下稱個資法）適用關係」
，復如說明，請查照。
說明：
一、有關「業者蒐集、處理、利用民眾自行操作器材所得之
生理數據資訊，是否屬醫療或健康檢查之特種個人資料
範疇」乙節：
（一）業者依個資法第 4 條之規定受醫療院所委託，為供醫
師或其他醫事人員以醫學目的所為之診察治療或基於
醫療行為檢查，取得民眾自行操作器材所測量之生理
數據資訊，而符合個資法施行細則第 4 條第 2 項及第
5 項規定醫療或健康檢查個人資料之定義，對該等個
人資料之蒐集、處理或利用，應依個資法第 6 條特種
個人資料之規定辦理。
（二）民眾自行操作器材所得之生理數據資訊直接提供予業
者蒐集、處理、利用，若未涉及醫事人員診察（診斷
）、治療，或以醫療行為施以檢查，即未符合前述醫
療或健康檢查之個人資料定義，非屬個資法第 6 條之
特種個人資料類型，惟因該等資料仍得以直接或間接
方式識別特定個人，爰屬個資法第 2 條第 1 款規定之
個人資料，業者對該等資料之蒐集、處理或利用，應
依個資法第 19 條及第 20 條等規定辦理。
二、有關「在原蒐集、處理或利用之目的下，倘服務延伸所
衍生之資料蒐集範圍變更，就業者告知義務部分，是否
得僅就變更項目進行告知？或仍須依個資法第 8 條第 1
項告知各款項目？或是否得依同法第 8 條第 2 項第 5 款
『當事人明知應告知之內容』免除告知義務」乙節：
業者倘因服務延伸致需衍生蒐集新的個人資料，於蒐集
該次變更項目之個人資料前，不論特定目的是否改變，
皆須依個資法第 8 條第 1 項規定履行告知義務。惟業者
242
242
對於過去已告知當事人之相同事項，得斟酌個案情形，
依據個資法施行細則第 16 條之規定，運用各種技術以簡
化或便利之方式通知當事人（例如：透過超連結之方式
，顯示先前已告知之相同內容，由當事人自行點選檢視
）。
三、有關「就取得當事人同意部分，是否得以當事人未表示
拒絕，依個資法第 7 條第 3 項『推定同意』之方式取得
同意」乙節：
（一）按個資法第 7 條第 3 項規定「公務機關或非公務機關
明確告知當事人第 8 條第 1 項各款應告知事項時，當
事人如未表示拒絕，並已提供其個人資料者，推定當
事人已依第 15 條第 2 款、第 19 條第 1 項第 5 款之規
定表示同意」。因此業者如欲透過「推定同意」之方
式取得個人資料，除應盡告知義務且明確告知外，尚
須符合「當事人未表示拒絕」及「當事人已提供其個
人資料」兩項要件，始得為之。
（二）查業者擬於 APP 之「在我附近的健康餐飲資訊」功能
欄位畫面，提示「正在蒐集您的定位資訊」文字，並
同時於畫面角落出現「□ 暫不提供定位資訊」部分：
1. 關於「正在蒐集您的定位資訊」之提示，建議修正用
語為「本服務需要蒐集您的定位資訊」。
2. 參照法務部 98 年 1 月 8 日法律字第 0970038035 號函
釋意旨「當事人不同意提供利用，並無以書面簽名表
示不同意之義務」，本件若欲符合推定同意要件之「
當事人未表示拒絕」，應係當事人在正面選擇同意與
否之模式下進行（例如：上開畫面宜顯示「□ 提供
定位資訊」），否則有類似「預設同意」效果之虞。
（三）至於本件若欲符合推定同意要件之「當事人已提供其
個人資料」，應係指當事人有自行提供個人資料之積
極行為（例如：自主開啟藍芽設定並選擇同步資料，
並將資料傳送予業者）；倘業者預設自動上傳資料之
243
243
功能，在當事人未有任何積極行為之情形下即取得個
人資料，則縱使當事人未表示拒絕，仍不得視為當事
人已提供其個人資料，因此應不符合推定同意之要
件。
正本： ○○科技股份有限公司
副本：衛生福利部、經濟部
四、
發文日期：民國 108 年 01 月 22 日
主旨：有關貴部函詢「警察機關辦理失蹤人口查尋所需，向戶政
事務所請求提供失蹤個案當事人及其親（家）屬洽辦戶政
業務留存之聯絡電話」所涉個人資料保護法（下稱個資法
）適用疑義一案，復如說明，請查照。
說明：
一、復貴部 108 年 1 月 14 日台內戶字第 1080100123 號函。
二、有關警察機關蒐集旨揭資料部分：
按個資法第 15 條第 1 款規定：「公務機關對個人資料之
蒐集或處理，除第 6 條第 1 項所規定資料外，應有特定
目的，並符合下列情形之一者：一、執行法定職務必要
範圍內。…」上開規定所稱「法定職務」係指法律、法
律授權之命令、自治條例、法律或自治條例授權之自治
規則、法律或中央法規授權之委辦規則等法規中所定公
務機關之職務（個資法施行細則第 10 條規定參照）。又
依內政部警政署組織法第 2 條第 1 項第 6 款及處務規程
第 12 條第 6 款，貴部警政署負責失蹤人口查尋之規劃及
督導；各直轄（縣）市政府警察局之組織規程亦均明定
掌理失蹤人口查尋事項。是警察機關基於特定目的（例
如：警政，代號：167），並於執行失蹤人口查尋職務必
要範圍內，向戶政事務所請求提供旨揭資料，以查明失
蹤人口之行蹤，俾能早日尋獲失蹤人口，應可認為符合
前揭個資法第 15 條第 1 款規定。
244
244
三、有關戶政事務所向警察機關提供（即利用）旨揭資料部
分：
再按個資法第 16 條但書第 3 款及第 4 款規定：「公務機
關對個人資料之利用…。但有下列情形之一者，得為特
定目的外之利用：…三、為免除當事人之生命、身體、
自由或財產上之危險。四、為防止他人權益之重大危
害。…」是戶政事務所基於特定目的（例如：戶政，代
號：015）留存洽辦戶政業務民眾之聯絡電話，經民眾同
意蒐集其個人電話號碼，以利辦理戶政業務有疑義時聯
繫當事人，原應於蒐集之特定目的必要範圍內為利用，
惟如係為免除當事人之生命、身體、自由或財產上危險
，將失蹤個案當事人之聯絡電話提供予警察機關；或係
為防止他人權益之重大危害，而提供失蹤個案當事人之
親（家）屬聯絡電話，以協助儘速查明失蹤人口之行蹤
，應可認分別符合個資法第 16 條但書第 3 款或第 4 款規
定，而得為特定目的外之利用。
四、末按個資法第 5 條規定：「個人資料之蒐集、處理或利
用，應尊重當事人之權益，依誠實及信用方法為之，不
得逾越特定目的之必要範圍，並應與蒐集之目的具有正
當合理之關聯。」是警察機關及戶政事務所蒐集、處理
或利用旨揭資料時，仍應注意比例原則之規定，併此敘
明供參。
正本：內政部
五、
發文日期：民國 108 年 03 月 12 日
主旨：有關教材業者以贈品利誘學童提供個人資料所涉之個人資
料保護法適用疑義案，復如說明，請查照。
說明：
一、復貴府 108 年 1 月 30 日府授法消保字第 1080021020 號
函。
245
245
二、按個人資料保護法（下稱「個資法」）就未成年人權利
行使之年齡並無特別規定，是關於未成年人行使個資法
上相關權利，應回歸適用民法有關行為能力之一般性規
定，合先敘明。
三、次按個資法第 5 條規定：「個人資料之蒐集…應尊重當
事人之權益，依誠實信用方法為之…」。此外，同法第
7 條第 1 項規定：「…第 19 條第 1 項第 5 款所稱同意，
指當事人經蒐集者告知本法所定應告知事項後，所為允
許之意思表示。」第 8 條第 1 項規定：「公務機關或非
公務機關依第 15 條或第 19 條規定向當事人蒐集個人資
料時，應明確告知當事人下列事項：…」其立法理由係
以同意對於當事人權益有重大影響，自應經明確告知應
告知事項，使當事人充分瞭解後審慎為之。又同法施行
細則第 16 條規定，告知之方式，應以足以使當事人知悉
或可得知悉之方式為之。
四、據此，本件教材業者欲基於當事人同意，蒐集未成年學
童之個人資料，除應注意業者以贈品誘使學童提供個人
資料，是否已違反個資法第 5 條之誠實信用原則外，業
者另應踐行個資法第 8 條第 1 項相關法定應告知事項，
徵諸上開立法理由，應使當事人得以充分瞭解後審慎為
之，是業者之告知方式應符合學童之年齡、生活經驗及
理解能力，以容易理解、清楚簡單之語言或文字為之，
並使該學童得以充分瞭解其個人資料之後續利用。倘教
材業者未完整踐行告知，或其告知對象無法充分瞭解其
個人資料之後續利用，則未能符合個資法第 7 條第 1 項
之規定。另蒐集者就當事人同意合法要件之事實，應負
舉證責任（同法第 7 條第 4 項規定參照），併予敘明。
五、是有關本件教材業者以贈品利誘學童提供個人資料一節
，是否踐行告知，抑或有其他違法蒐集、處理或利用個
人資料之行為（如前述違反誠實信用原則之情事），仍
應依個案事實審認之。
246
246
正本：臺中市政府
六、
發文日期：民國 108 年 03 月 19 日
主旨：「電腦處理個人資料保護法」（下稱電資法）共 54 則函
釋（如附一覽表），自即日起停止適用，請查照並轉知所
屬。
說明：按「個人資料保護法」（下稱個資法）法律主政機關自
107 年 7 月 25 日起已移由本會職掌（本會 107 年 7 月 25
日發法字第 1072001389 號函參照），考量旨揭函釋依據
之電資法業修正為個資法，部分見解亦有所變更，爰停止
適用。
正本：總統府秘書長、立法院秘書長、司法院秘書長、考試院秘
書長、監察院秘書長、行政院秘書長、行政院各部會行總
處署、各直轄市政府、各縣市政府、各縣市議會
副本：本會法制協調中心（含附件）
（停止適用函釋一覽表可至本會主管法規查閱系統查閱。路徑：本會全
球資訊網/查詢專區/法規查詢/行政函釋。）
七、
發文日期：民國 108 年 03 月 27 日
主旨：有關貴局函詢執行公務檢查所涉個人資料保護法（下稱個
資法）適用疑義一案，復如說明，請查照。
說明：
一、復貴局 108 年 3 月 18 日北市觀產字第 1083012873 號
函。
二、按個資法第 15 條第 1 款規定：「公務機關對個人資料
之蒐集或處理，除第 6 條第 1 項所規定資料外，應有特
定目的，並符合下列情形之一者：一、執行法定職務必
要範圍內。…」；次按同法第 5 條規定：「個人資料之
蒐集、處理或利用，應尊重當事人之權益，依誠實及信
247
247
用方法為之，不得逾越特定目的之必要範圍，並應與蒐
集之目的具有正當合理之關聯」。貴局依發展觀光條例
第 53 條、第 55 條及旅館業管理規則第 24 條、第 26 條
及第 29 條等規定，為查察旅館業是否有媒介色情、妨礙
善良風俗或違法擴大經營等事實，基於特定目的（例
如：觀光行政、觀光旅館業、旅館業…及民宿經營管理
業務，代號：170），於必要範圍內要求旅館業者提供旅
客個人資料，始可認為符合上開個資法第 15 條第 1 款及
同法第 5 條比例原則之規定，合先敘明。
三、查貴局來函固稱蒐集旅客登記資料之目的係為查察色情
媒介與違法擴大營業，惟查察色情媒介部分，是否需要
蒐集所有旅客之登記資料，抑或可依據貴局彙整之可疑
特徵，自登記資料中挑選出以一人或一個代號連續入住
多房多天之對象為蒐集；又查察違法擴大營業部分，是
否需要蒐集旅客詳細之登記資料，抑或可透過統計資料
之比對，佐證實際經營與登記經營之房間數量是否一
致。是以倘全面性蒐集所有旅客之登記資料而逾特定目
的之必要範圍，恐有違反比例原則。
正本：臺北市政府觀光傳播局
副本：交通部觀光局
八、
發文日期：民國 108 年 03 月 29 日
主旨：有關貴所詢問召開部落會議提供部落原住民家戶名冊疑義
一案，復如說明，請查照。
說明：
一、依法務部 108 年 3 月 12 日法律決字第 10800043500 號
移文單轉貴所 108 年 3 月 7 日東市原字第 1080007570 號
函辦理。
二、按個人資料保護法（下稱個資法）第 15 條第 1 款規定
，公務機關對個人資料之蒐集、處理，除第 6 條第 1 項
248
248
所規定資料外，應有特定目的，於執行法定職務必要範
圍內，始得為之。次按原住民族基本法第 21 條授權訂定
之諮商取得原住民族部落同意參與辦法(下稱諮商參與辦
法)第 17 條第 2 項第 2 款規定：「關係部落所在地之鄉
（鎮、市、區）公所應於部落會議召集前 10 日，將下列
文件置於村（里）辦公處、部落公布欄及其他適當場所
，供公眾閱覽、複印：二、申請時之原住民家戶清冊。
」是以，部落所在地之鄉（鎮、市、區）公所如基於原
住民行政之特定目的（代號 083），符合執行法定職務
必要範圍內，得向當地戶政機關申請提供符合資格之原
住民家戶名冊，並應遵守個資法第 5 條比例原則規定。
三、再按個資法第 16 條規定，公務機關對個人資料之利用
，原則上應於蒐集之特定目的必要範圍內為之，如符合
但書各款之一（例如法律明文規定）規定，得為特定目
的外利用。末按戶籍法第 67 條第 2 項授權訂定之各機關
申請提供戶籍資料及親等關聯資料辦法第 5 條第 3 項規
定，戶政事務所應依個資法規定審核其申請事由。如戶
政機關審核申請事由確實符合特定目的外利用之要件，
得依規定之方式，將其保有之個人資料提供予關係部落
所在地之鄉（鎮、市、區）公所，並應遵守個資法第 5
條比例原則規定。
四、查原住民族委員會 108 年 2 月 25 日原民綜字第
1080009243 號函釋略以「為符個資法及各機關申請提供
戶籍資料及親等關聯資料辦法之規定，原住民家戶名冊
僅顯示原住民家戶地址，仍得以出席人員所出示之身分
證明（例如戶籍謄本等）以區辨其原住民家戶代表身分
，確認其表決權人資格。」爰諮商參與辦法第 17 條第 2
項第 2 款「原住民家戶清冊」之資料範圍，仍宜以前開
函釋為據。
正本：臺東縣臺東市公所
九、
249
249
發文日期：民國 108 年 05 月 03 日
主旨：有關貴署詢以醫院透過當事人書面同意上傳血壓數值至貴
署建置之中央資料庫平台供醫生醫療該當事人之參考，是
否有違反個人資料保護法第 6 條一案，本會意見如說明，
請查照。
說明：
一、依貴署 108 年 4 月 15 日國健慢病字第 1080600357 號開
會通知單辦理。
二、按個人資料保護法（下稱個資法）第 6 條第 1 項規定「
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科
之個人資料，不得蒐集、處理或利用。但有下列情形之
一者，不在此限：…六、經當事人書面同意。…」；同
條第 2 項規定「依前項規定蒐集、處理或利用個人資料
，準用第八條、第九條規定；其中前項第六款之書面同
意，準用第七條第一項、第二項及第四項規定，並以書
面為之。」。同法第 7 條第 1 項規定：「…所稱同意，
指當事人經蒐集者告知本法所定應告知事項後，所為允
許之意思表示。」。同法第 8 條第 1 項規定：「公務機
關…向當事人蒐集個人資料時，應明確告知當事人下列
事項：…」。
三、本案貴署於心血管疾病防治之法定職掌範圍內，透過當
事人書面同意蒐集其醫療資料，尚無違反個資法第 6 條
之問題；次按個資法第 7 條第 1 項規定，同意係指當事
人經蒐集者告知本法所定應告知事項後，所為允許之意
思表示，因此貴署於取得當事人同意時，應明確告知當
事人個資法第 8 條第 1 項各款事項，包括公務機關名稱
、蒐集目的、利用對象等。貴署如規劃將該等醫療資料
作醫療以外之目的（如：心血管疾病研究）使用，應一
併明確告知相關事項。
正本：衛生福利部國民健康署
250
250
十、
發文日期：民國 108 年 05 月 28 日
主旨：有關貴署所詢「全國藥物不良反應通報中心所接獲之通報
案件副知藥品許可證持有商」是否牴觸個人資料保護法規
定一案，復如說明，請查照。
說明：
一、依法務部 108 年 5 月 10 日法律決字第 10800083790 號
移文單函轉貴署 108 年 5 月 8 日 FDA 藥字第
1081404483 號函辦理。
二、依中央法規標準法第 16 條前段規定，法規對其他法規
所規定之同一事項而為特別之規定者，應優先適用之。
個人資料保護法（下稱個資法）之性質為普通法，其他
特別法有關個人資料蒐集、處理或利用之規定，依特別
法優先於普通法之法理，自應優先適用各該特別規定，
若無其他法令應優先適用，方適用個資法之相關規定。
次依個資法第 16 條規定，公務機關對於該個人資料之利
用，除個資法第 6 條第 1 項所規定資料外，應於執行法
定職務必要範圍內為之，並與蒐集之特定目的相符；如
為特定目的外利用，則應符合同條但書各款情形之一（
例如：法律明文規定、經當事人同意），並應遵守個資
法第 5 條比例原則。
三、有關貴署擬透過「藥品不良反應通報資訊系統」將全國
藥物不良反應通報中心所接獲之死亡及危及生命等不良
反應通報案件副知藥品許可證持有藥商一節，因藥事法
第 45 條之 1 及其授權之「嚴重藥品不良反應通報辦法」
（下稱通報辦法）第 5 條第 1 項已就相關資料通報為規
定，如涉及個人資料之利用依前開特別法優先於普通法
之法理，自應優先於個資法適用；至其餘嚴重不良反應
通報案件（通報辦法第 4 條第 3 款至第 6 款），擬由通
報者自行勾選是否同意將通報資料副知藥品許可證持有
251
251
藥商一節，因通報辦法就此部分未有規定，而應適用個
資法之規定，惟通報義務人（醫療機構、藥局、藥商）
並非個人資料當事人而無法代為同意，與個資法第 6 條
第 1 項第 6 款經當事人書面同意或第 16 條但書第 7 款經
當事人同意之規定不符，爰建議宜於通報辦法增訂相關
規定以杜爭議。
正本：衛生福利部食品藥物管理署
十一、
發文日期：民國 108 年 08 月 01 日
主旨：有關貴府函詢個人資料保護法（下稱個資法）第 47 條及
第 48 條主政機關之認定疑義一事，本會復如說明，請查
照。
說明：
一、復貴府 108 年 7 月 17 日新北府經司字第 1081284481 號
函。
二、按個資法第 47 條及第 48 條規定，中央目的事業主管機
關或直轄市、縣（市）政府對於違反個資法之非公務機
關均有裁罰權，另按行政程序法第 11 條第 1 項規定「行
政機關之管轄權，依其組織法規或其他行政法規定之」
，如不能依此定土地管轄權者，則依行政程序法第 12 條
規定辦理。
三、有關貴府接獲民眾陳情所涉旨揭主政機關疑義一節，因
本案所涉違反個資法情事之業別為零售業，依行政院核
定之「個人資料保護法非公務機關之中央目的事業主管
機關」列表，經濟部為本案之中央目的事業主管機關；
又因營業之行為發生地為新北市，依行政程序法第 12 條
第 2 款規定「關於企業之經營或其他繼續性事業之事件
，依經營企業或從事事業之處所，或應經營或應從事之
處所」，爰貴府亦有管轄權。至數個管轄機關因執行而
生衝突，則依行政程序法第 13 條第 1 項規定，應由受理
252
252
在先之機關管轄。
正本：新北市政府
十二、
發文日期：民國 108 年 10 月 07 日
主旨：有關貴部所詢「個人資料保護法非公務機關之中央目的事
業主管機關」認定一事，復如說明，請查照。
說明：
一、依貴部 108 年 9 月 5 日文版字第 10830247451 號函辦
理。
二、按個人資料保護法（下稱個資法）第 22 條就行政監督
權定有明文，經審酌該條文之立法理由略以，個人資料
之蒐集、處理或利用，與該事業之經營關係密切，自宜
由原各該主管機關，一併監督管理其業務相關之個人資
料保護事項；又法務部報請行政院核可之「個人資料保
護法非公務機關之中央目的事業主管機關」列表，亦以
非公務機關所營業務行為作認定。爰有關個資法非公務
機關之中央目的事業主管機關之判準，應以具體個案中
非公務機關蒐集、處理或利用個人資料之實際業務所涉
行業為斷，非以公司登記之營業項目為準（法務部 102
年 12 月 26 日法律字第 10203513720 號函意旨參照）。
三、經檢視○○股份有限公司所經營之○○電子報網站內容
，查其主要業務係透過網路向公眾提供國內外各類新聞
時事，故該公司於本案之實際所營項目仍應屬「新聞、
雜誌（期刊）、書籍及其他出版業」（「個人資料保護
法非公務機關之中央目的事業主管機關」列表代碼 581
，亦未限於印刷或網路形式）之範圍，是以，本案○○
電子報疑似洩露民眾個資事件，應以貴部為個資法之中
央目的事業主管機關。
正本：文化部
副本：經濟部
253
253
十三、
發文日期：民國 108 年 11 月 27 日
主旨：有關貴部函請本會認定「個人資料保護法非公務機關之中
央目的事業主管機關」一事，復如說明，請查照。
說明：
一、復貴部 108 年 10 月 31 日經授工字第 10820428250 號
函。
二、查個資法第 22 條立法說明第 2 點係記載「查現今社會
中個人資料已為各個行業不可或缺之資訊，上至銀行、
電信公司，下至私人診所、錄影帶店均會蒐集顧客之個
人資料並建立檔案，成為經營該業務重要之一環。由於
各個行業均有其目的事業主管機關，有屬中央者，有屬
地方者，而個人資料之蒐集、處理或利用，與該事業之
經營關係密切，應屬該事業之附屬業務，自宜由原各該
主管機關，一併監督管理與其業務相關之個人資料保護
事項，較為妥適。」；又查電信號碼管理辦法及電信事
業處理有關機關（構）查詢電信使用者資料實施辦法，
係分別依電信法第 20 條之 1 第 6 項及第 7 條第 2 項授權
訂定，其規範對象為經營利用電信設備提供通信服務供
公眾使用之電信事業。按○APP 之營運模式，係協助使
用者辨識來電之相關資訊，非利用電信設備提供通信服
務，故非屬電信事業或其附屬業務，尚難逕予認定通傳
會為其個資法之中央目的事業主管機關。
三、依行政院 103 年 5 月 28 日院臺法字第 1030135223 號函
所附會議決議，有關「入口網站經營、資料處理、網站
代管及相關服務業」已有明確之中央目的事業主管機關
者，維持由該機關為主管機關；其餘尚無明確之中央目
的事業主管機關者，為結合推動電子商務、網路產業發
展事項，由貴部擔任個資法之中央目的事業主管機關。
四、綜上，考量○APP 非屬電信事業或其附屬業務，其營運
254
254
模式既屬資料處理服務業，徵諸前開行政院函所附之會
議決議，應以貴部為中央目的事業主管機關為宜。
正本：經濟部
副本：國家通訊傳播委員會
十四、
發文日期：民國 108 年 11 月 27 日
主旨：有關貴府函詢民眾陳情訴願人將其個人資料檢送被訴願機
關及貴府訴願委員會，是否符合個人資料保護法規定一事
，復如說明。
說明：
一、復貴府 108 年 11 月 20 日府消保字第 1080176824 號
函。
二、按中央法規標準法第 16 條前段規定：「法規對其他法
規所規定之同一事項而為特別之規定者，應優先適用
之。」個資法之性質為普通法，其他特別法有關個人資
料蒐集、處理或利用之規定，依特別法優先於普通法之
法理，自應優先適用各該特別規定，若無其他法令應優
先適用，方適用個資法之相關規定（法務部 103 年 4 月
16 日法律字第 10303504680 號函參照）。
三、次按訴願法第 56 條第 1 項第 5 款及第 8 款規定：「訴
願應具訴願書，載明左列事項，由訴願人或代理人簽名
或蓋章：…五、訴願之事實及理由。…八、證據。其為
文書者，應添具繕本或影本。…」、第 68 條本文規定：
「訴願人或參加人得提出證據書類或證物。」及第 76 條
規定：「訴願人或參加人對受理訴願機關於訴願程序進
行中所為之程序上處置不服者，應併同訴願決定提起行
政訴訟。」，故訴願法就訴願程序中相關證據資料提出
已有規範，倘訴願人提出之證據資料涉及個人資料，應
優先適用訴願法之規定。
正本：新竹市政府
255
255
十五、
發文日期：民國 109 年 05 月 04 日
主旨：有關審計單位函請貴處提供駕駛人身分名冊相關資料一案
，復如說明，請查照。
說明：
一、復貴處 109 年 4 月 14 日基車營字第 1090001749 號函。
二、依個人資料保護法（下稱個資法）第 15 條第 1 款規定
，公務機關對個人資料之蒐集或處理，應有特定目的，
並於執行法定職務必要範圍內，始得為之，並應遵守同
法第 5 條之比例原則，不得逾越特定目的之必要範圍，
並應與蒐集之目的具有正當合理之關聯。
三、按審計法第 2 條規定「審計職權如左：一、監督預算之
執行。二、核定收支命令。三、審核財務收支，審定決
算。四、稽察財物及財政上之不法或不忠於職務之行
為。五、考核財務效能。六、核定財務責任。七、其他
依法律應行辦理之審計事項。」；同法第 14 條第 1 項規
定:「審計人員為行使職權，向各機關查閱簿籍、憑證或
其他文件，或檢查現金、財物時，各該主管人員不得隱
匿或拒絕…，並應為詳實之答復或提供之。」。
四、本件審計單位為查核臺灣地區各地方市區汽車客運駕駛
人管理情形，固可依前開審計法相關規定向貴處調取資
料，惟其蒐集資料之範圍包括所有駕駛人之姓名、身分
證號碼及出生日期等個人資料，查個資法第 5 條及第 15
條規定，個人資料之蒐集不得逾越特定目的之必要範圍
，其利用並應與原蒐集目的具有正當合理之關聯，是以
本案仍宜請審計單位釐明上開資料蒐集之必要性及關聯
性。
正本：基隆市公共汽車管理處
十六、
256
256
發文日期：民國 109 年 05 月 29 日
主旨：有關民眾檢舉臉書帳號「○○」於臉書社團散布他人個資
之個人資料保護法（下稱個資法）權責劃分一案，復如說
明，請查照。
說明：
一、復貴府 109 年 5 月 13 日府授產業商字第 1090003884 號
函。
二、有關本案是否違反個資法相關規定，涉及事實認定，尚
須由貴府進一步查處，至於究應由貴府民政、警政或其
他機關為權責機關，則屬貴府內部事務之分工。
三、另本案相關行為若有侵害民眾人格權或隱私權者，民眾
尚得依民法第 18 條、第 184 條及第 195 條等規定，請求
法院除去或防止侵害及損害賠償，併予敘明。
正本：臺北市政府
十七、
發文日期：民國 109 年 07 月 24 日
主旨：有關貴會所詢電信事業客服人員洩漏民眾申訴之來電顯示
號碼是否違反個人資料保護法一案，復如說明，請查照。
說明：
一、復貴會本（109）年 7 月 7 日通傳平臺決字第
10941020410 號函。
二、謹就貴會函詢重點及本會意見，說明如次：
（一）本案陳情人並非○○股份有限公司（下稱○○公司）
用戶，○○公司未保有其個人資料，再查陳情人與上
揭客服人員交談內容，陳情人亦未提及其個人身分識
別資訊，於陳情人來電顯示號碼（下稱系爭電話號碼
）未連結個人資料之情形下，該電話號碼是否屬個人
資料保護法（下稱個資法）所稱個人資料？
1. 按個資法第 2 條第 1 款規定「本法用詞，定義如
下：一、個人資料：指自然人之…、聯絡方式…及
257
257
其他得以直接或間接方式識別該個人之資料」；同
法施行細則第 3 條規定「本法第 2 條第 1 款所稱得
以間接方式識別，指保有該資料之公務或非公務機
關僅以該資料不能直接識別，須與其他資料對照、
組合、連結等，始能識別該特定之個人」。
2. 查陳情人固非○○公司之用戶，惟陳情人之電話號
碼得透過其所屬電信公司所保有之資料對照、組合
、連結，而得以識別該陳情人，即屬上開個資法及
其施行細則所稱間接識別之個人資料。
3. 又我國個資法主要係參考歐盟 1995 年個人資料保
護指令（下稱 95 指令）制定，關於個人資料之定
義亦與 95 指令相仿。參考歐盟法院（CJEU）2016
年判決（Case C-582/14）亦明確指出，所稱「個人
資料」，並未要求所有足使特定資料主體被識別之
資料都必須由同一人掌握，例如保有動態 IP 位址
（dynamic IP address）資料之服務提供者得以可能
、合理之方式，透過其他網路服務提供者取得對照
、組合之資料識別特定資料主體，即可認定動態 IP
位址屬於個人資料。
（二）系爭電話號碼是否符合個資法第 2 條第 2 款個人資料
檔案之定義？本案○○公司對該電話號碼，是否有個
資法第 27 條第 1 項規定「保有個人資料檔案者」之適
用？
1. 按個資法第 2 條第 2 款規定「本法用詞，定義如
下：…二、個人資料檔案：指依系統建立而得以自
動化機器或其他非自動化方式檢索、整理之個人資
料之集合」；第 27 條第 1 項規定「非公務機關保
有個人資料檔案者，應採行適當之安全措施，防止
個人資料被竊取、竄改、毀損、滅失或洩漏」。
2. 陳情人進線○○公司，而○○公司倘就進線之電話
號碼以系統自動化機器予以留存，即屬上開個資法
258
258
第 2 條第 2 款規定之個人資料檔案；○○公司即應
依個資法第 27 條規定就該個人資料檔案採行相關
安全措施，以防止個資侵害事故之發生。
（三）○○公司表示已採行門禁管理、教育訓練、資料存取
管理及勞動契約相關罰則等措施，仍無法避免客服人
員透過來電顯示自行記下號碼並洩漏至外部行銷網站
之行為，則○○公司是否仍有違反個資法第 27 條第 1
項「應採行適當之安全措施，防止個人資料被竊取、
竄改、毀損、滅失或洩漏」之規定？按個資法第 27 條
第 1 項所稱「適當安全措施」，依同法施行細則第 12
條規定，包括配置管理之人員及相當資源、資料安全
管理及人員管理、設備安全管理、資料安全稽核機制
等。有關○○公司主張已盡安全措施是否有違個資法
第 27 條第 1 項規定一節，事涉事實認定，應由貴會本
於權責審認。
正本：國家通訊傳播委員會
十八、
發文日期：民國 109 年 08 月 05 日
主旨：有關貴局函詢檢舉人要求提供被檢舉人因違反行政罰受裁
罰法條及罰鍰金額，是否違反個人資料保護法（下稱個資
法）相關規定一案，復如說明，請查照。
說明：
一、復貴局 109 年 7 月 30 日彰衛稽字第 1090040518 號函。
二、按個資法第 3 條第 1 款規定「當事人就其個人資料依本
法規定行使之下列權利，不得預先拋棄或以特約限制
之：一、查詢或請求閱覽。…」係保障個人資料當事人
對其個人資料之使用有知悉權，僅由該筆個人資料之當
事人所享有，亦即個資法僅賦予資料本人查詢、閱覽及
複製本人資料之權利，並未賦予人民得請求公務機關提
供他人個人資料之權利（法務部 105 年 7 月 21 日法律字
259
259
第 10503509200 號函參照）。查本件檢舉人所申請者係
他人因違反行政法受裁罰法條及罰鍰金額等個人資料，
因其非該等資料之當事人，爰無法依上開個資法規定，
向貴局主張答覆查詢、請求閱覽或製給複製本之權利。
三、次按個資法第 15 條及第 16 條規定，公務機關除同法第
6 條第 1 項所規定資料外，於具有特定目的，並符合法
定要件時，得蒐集、處理個人資料，並應於蒐集之特定
目的必要範圍內利用該個人資料；如為特定目的外利用
，則須符合個資法第 16 條但書各款情形之一，始得為
之。查貴局蒐集、處理本件被檢舉人裁罰之相關資料，
原係基於行政裁罰、行政調查之特定目的，如擬提供非
該裁罰案件之當事人查詢，則屬特定目的外之利用，應
有個資法第 16 條但書所列各款情形之一（例如：法律明
文規定），始得為之。
正本：彰化縣衛生局
260
260
玖、個人資料保護法之特定目的及個人資料之類
別
中華民國 101 年 10 月 1 日法務部法令字第 10103107360 號令會銜各中央目
的事業主管機關修正發布；並自 101 年 10 月 1 日生效
個人資料保護法(簡稱新法)第五十三條規定：「本法所定特
定目的及個人資料類別，由法務部會同中央目的事業主管機關指
定之」，其修正理由係將電腦處理個人資料保護法(簡稱舊法)第
三條第九款及第十條第二項規定合併之。查上開舊法條文立法理
由略以：關於特定目的及個人資料之類別，宜有細目規定，以便
作為公告或其他相關作業之依據。尤其舊法適用之非公務機關採
登記執照公告制度，故參考英國個人資料保護法申報登記制度有
關例示兼概括「特定目的及個人資料類別」等文件，頒訂「電腦
處理個人資料保護法之特定目的及個人資料之類別」，以供各界
參考。
雖新法已廢除非公務機關取得執照後始得蒐集、處理及利用
個人資料之制度(新法第五十六條第二項規定)，自無需再申請登
記及公告相關事項，惟公務機關及非公務機關為確保個人資料檔
案之合法且正當蒐集、處理或利用，宜保存相關之證據文件(新法
施行細則第十二條第二項第十款規定意旨)，包含蒐集、處理或利
用之「特定目的」內涵，屬安全維護之適當措施之一部分；且公
務機關辦理個人資料檔案公開事項作業，尚須說明特定目的及個
人資料之類別。故參考歐盟個人資料保護指令第二十九條工作小
組於二○○六年有關成員國「申報登記要求事項手冊(Vademecum
on Notification Requirements)」調查報告，有提供特定目的及個人
資料類別清單文件之國家(例如：英國、比利時、西班牙等)，係
採例示兼概括並得自由敘述補充之立法例；同時參酌各機關函復
法務部有關特定目的及個人資料類別之修正意見，適度修正項目
與類別，並避免過度繁瑣，以免掛一漏萬。另例示或概括之特定
目的及個人資料類別，並非可包含所有可能之活動，公務機關或
非公務機關於參考本規定，選擇特定目的及個人資料類別時，仍
宜提出詳盡之業務活動說明，列入證據文件或個人資料檔案公開
事項作業內，以補充澄清特定目的及個人資料類別實質內涵。
261
261
代號修正特定目的項目
○○一人身保險
○○二人事管理(包含甄選、離職及所屬員工基本資訊、現職、
學經歷、考試分發、終身學習訓練進修、考績獎懲、銓
審、薪資待遇、差勤、福利措施、褫奪公權、特殊查核
或其他人事措施)
○○三入出國及移民
○○四土地行政
○○五工程技術服務業之管理
○○六工業行政
○○七不動產服務
○○八中小企業及其他產業之輔導
○○九中央銀行監理業務
○一○ 公立與私立慈善機構管理
○一一公共造產業務
○一二公共衛生或傳染病防治
○一三公共關係
○一四公職人員財產申報、利益衝突迴避及政治獻金業務
○一五戶政
○一六文化行政
○一七文化資產管理
○一八水利、農田水利行政
○一九火災預防與控制、消防行政
○二○ 代理與仲介業務
○二一外交及領事事務
○二二外匯業務
○二三民政
○二四民意調查
○二五犯罪預防、刑事偵查、執行、矯正、保護處分、犯罪被
害人保護或更生保護事務
○二六生態保育
○二七立法或立法諮詢
○二八交通及公共建設行政
○二九公民營(辦)交通運輸、公共運輸及公共建設
○三○ 仲裁
○三一全民健康保險、勞工保險、農民保險、國民年金保險或
其他社會保險
262
262
○三二刑案資料管理
○三三多層次傳銷經營
○三四多層次傳銷監管
○三五存款保險
○三六存款與匯款
○三七有價證券與有價證券持有人登記
○三八行政執行
○三九行政裁罰、行政調查
○四○ 行銷(包含金控共同行銷業務)
○四一住宅行政
○四二兵役、替代役行政
○四三志工管理
○四四投資管理
○四五災害防救行政
○四六供水與排水服務
○四七兩岸暨港澳事務
○四八券幣行政
○四九宗教、非營利組織業務
○五○ 放射性物料管理
○五一林業、農業、動植物防疫檢疫、農村再生及土石流防災
管理
○五二法人或團體對股東、會員(含股東、會員指派之代表)、
董事、監察人、理事、監事或其他成員名冊之內部管理
○五三法制行政
○五四法律服務
○五五法院執行業務
○五六法院審判業務
○五七社會行政
○五八社會服務或社會工作
○五九金融服務業依法令規定及金融監理需要，所為之蒐集處
理及利用
○六○ 金融爭議處理
○六一金融監督、管理與檢查
○六二青年發展行政
○六三非公務機關依法定義務所進行個人資料之蒐集處理及利
用
○六四保健醫療服務
○六五保險經紀、代理、公證業務
263
263
○六六保險監理
○六七信用卡、現金卡、轉帳卡或電子票證業務
○六八信託業務
○六九契約、類似契約或其他法律關係事務
○七○ 客家行政
○七一建築管理、都市更新、國民住宅事務
○七二政令宣導
○七三政府資訊公開、檔案管理及應用
○七四政府福利金或救濟金給付行政
○七五科技行政
○七六科學工業園區、農業科技園區、文化創業園區、生物科
技園區或其他園區管理行政
○七七訂位、住宿登記與購票業務
○七八計畫、管制考核與其他研考管理
○七九飛航事故調查
○八○ 食品、藥政管理
○八一個人資料之合法交易業務
○八二借款戶與存款戶存借作業綜合管理
○八三原住民行政
○八四捐供血服務
○八五旅外國人急難救助
○八六核子事故應變
○八七核能安全管理
○八八核貸與授信業務
○八九海洋行政
○九○ 消費者、客戶管理與服務
○九一消費者保護
○九二畜牧行政
○九三財產保險
○九四財產管理
○九五財稅行政
○九六退除役官兵輔導管理及其眷屬服務照顧
○九七退撫基金或退休金管理
○九八商業與技術資訊
○九九國內外交流業務
一○○ 國家安全行政、安全查核、反情報調查
一〇一國家經濟發展業務
一〇二國家賠償行政
264
264
一〇三專門職業及技術人員之管理、懲戒與救濟
一〇四帳務管理及債權交易業務
一〇五彩券業務
一〇六授信業務
一〇七採購與供應管理
一〇八救護車服務
一〇九教育或訓練行政
一一〇產學合作
一一一票券業務
一一二票據交換業務
一一三陳情、請願、檢舉案件處理
一一四勞工行政
一一五博物館、美術館、紀念館或其他公、私營造物業務
一一六場所進出安全管理
一一七就業安置、規劃與管理
一一八智慧財產權、光碟管理及其他相關行政
一一九發照與登記
一二〇稅務行政
一二一華僑資料管理
一二二訴願及行政救濟
一二三貿易推廣及管理
一二四鄉鎮市調解
一二五傳播行政與管理
一二六債權整貼現及收買業務
一二七募款 (包含公益勸募)
一二八廉政行政
一二九會計與相關服務
一三〇會議管理
一三一經營郵政業務郵政儲匯保險業務
一三二經營傳播業務
一三三經營電信業務與電信加值網路業務
一三四試務、銓敘、保訓行政
一三五資(通)訊服務
一三六資(通)訊與資料庫管理
一三七資通安全與管理
一三八農產品交易
一三九農產品推廣資訊
一四〇農糧行政
265
265
一四一遊說業務行政
一四二運動、競技活動
一四三運動休閒業務
一四四電信及傳播監理
一四五僱用與服務管理
一四六圖書館、出版品管理
一四七漁業行政
一四八網路購物及其他電子商務服務
一四九蒙藏行政
一五〇輔助性與後勤支援管理
一五一審計、監察調查及其他監察業務
一五二廣告或商業行為管理
一五三影視、音樂與媒體管理
一五四徵信
一五五標準、檢驗、度量衡行政
一五六衛生行政
一五七調查、統計與研究分析
一五八學生(員)(含畢、結業生)資料管理
一五九學術研究
一六〇憑證業務管理
一六一輻射防護
一六二選民服務管理
一六三選舉、罷免及公民投票行政
一六四營建業之行政管理
一六五環境保護
一六六證券、期貨、證券投資信託及顧問相關業務
一六七警政
一六八護照、簽證及文件證明處理
一六九體育行政
一七〇觀光行政、觀光旅館業、旅館業、旅行業、觀光遊樂業
及民宿經營管理業務
一七一其他中央政府機關暨所屬機關構內部單位管理、公共事
務監督、行政協助及相關業務
一七二其他公共部門(包括行政法人、政府捐助財團法人及其他
公法人)執行相關業務
一七三其他公務機關對目的事業之監督管理
一七四其他司法行政
一七五其他地方政府機關暨所屬機關構內部單位管理、公共事
266
266
務監督、行政協助及相關業務
一七六其他自然人基於正當性目的所進行個人資料之蒐集處理
及利用
一七七其他金融管理業務
一七八其他財政收入
一七九其他財政服務
一八〇其他經營公共事業(例如：自來水、瓦斯等)業務
一八一其他經營合於營業登記項目或組織章程所定之業務
一八二其他諮詢與顧問服務
代號識別類：
Ｃ○○一辨識個人者。
例如：姓名、職稱、住址、工作地址、以前地址、住家電話號碼、
行動電話、即時通帳號、網路平臺申請之帳號、通訊及戶籍地址、
相片、指紋、電子郵遞地址、電子簽章、憑證卡序號、憑證序號、
提供網路身分認證或申辦查詢服務之紀錄及其他任何可辨識資料本
人者等。
Ｃ○○二辨識財務者。
例如：金融機構帳戶之號碼與姓名、信用卡或簽帳卡之號碼、保險
單號碼、個人之其他號碼或帳戶等。
Ｃ○○三政府資料中之辨識者。
例如：身分證統一編號、統一證號、稅籍編號、保險憑證號碼、殘
障手冊號碼、退休證之號碼、證照號碼、護照號碼等。
代號特徵類：
Ｃ○一一個人描述。
例如：年齡、性別、出生年月日、出生地、國籍、聲音等。
Ｃ○一二身體描述。
例如：身高、體重、血型等。
Ｃ○一三習慣。
例如：抽菸、喝酒等。
Ｃ○一四個性。
例如：個性等之評述意見。
代號家庭情形：
267
267
Ｃ○二一家庭情形。
例如：結婚有無、配偶或同居人之姓名、前配偶或同居人之姓名、
結婚之日期、子女之人數等。
Ｃ○二二婚姻之歷史。
例如：前次婚姻或同居、離婚或分居等細節及相關人之姓名等。
Ｃ○二三家庭其他成員之細節。
例如：子女、受扶養人、家庭其他成員或親屬、父母、同居人及旅
居國外及大陸人民親屬等。
Ｃ○二四其他社會關係。
例如：朋友、同事及其他除家庭以外之關係等。
代號社會情況：
Ｃ○三一住家及設施。
例如：住所地址、設備之種類、所有或承租、住用之期間、租金或
稅率及其他花費在房屋上之支出、房屋之種類、價值及所有人之姓
名等。
Ｃ○三二財產。
例如：所有或具有其他權利之動產或不動產等。
Ｃ○三三移民情形。
例如：護照、工作許可文件、居留證明文件、住居或旅行限制、入
境之條件及其他相關細節等。
Ｃ○三四旅行及其他遷徙細節。
例如：過去之遷徙、旅行細節、外國護照、居留證明文件及工作證
照及工作證等相關細節等。
Ｃ○三五休閒活動及興趣。
例如：嗜好、運動及其他興趣等。
Ｃ○三六生活格調。
例如：使用消費品之種類及服務之細節、個人或家庭之消費模式
等。
Ｃ○三七慈善機構或其他團體之會員資格。
例如：俱樂部或其他志願團體或持有參與者紀錄之單位等。
Ｃ○三八職業。
例如：學校校長、民意代表或其他各種職業等。
Ｃ○三九執照或其他許可。
例如：駕駛執照、行車執照、自衛槍枝使用執照、釣魚執照等。
268
268
Ｃ○四○ 意外或其他事故及有關情形。
例如：意外事件之主體、損害或傷害之性質、當事人及證人等。
Ｃ○四一法院、檢察署或其他審判機關或其他程序。
例如：關於資料主體之訴訟及民事或刑事等相關資料等。
代號教育、考選、技術或其他專業：
Ｃ○五一學校紀錄。
例如：大學、專科或其他學校等。
Ｃ○五二資格或技術。
例如：學歷資格、專業技術、特別執照 (如飛機駕駛執照等)、政府
職訓機構學習過程、國家考試、考試成績或其他訓練紀錄等。
Ｃ○五三職業團體會員資格。
例如：會員資格類別、會員資格紀錄、參加之紀錄等。
Ｃ○五四職業專長。
例如：專家、學者、顧問等。
Ｃ○五五委員會之會員資格。
例如：委員會之詳細情形、工作小組及會員資格因專業技術而產生
之情形等。
Ｃ○五六著作。
例如：書籍、文章、報告、視聽出版品及其他著作等。
Ｃ○五七學生(員)、應考人紀錄。
例如：學習過程、相關資格、考試訓練考核及成績、評分評語或其
他學習或考試紀錄等。
Ｃ○五八委員工作紀錄。
例如：委員參加命題、閱卷、審查、口試及其他試務工作情形紀
錄。
代號受僱情形：
Ｃ○六一現行之受僱情形。
例如：僱主、工作職稱、工作描述、等級、受僱日期、工時、工作
地點、產業特性、受僱之條件及期間、與現行僱主有關之以前責任
與經驗等。
Ｃ○六二僱用經過。
例如：日期、受僱方式、介紹、僱用期間等。
Ｃ○六三離職經過。
例如：離職之日期、離職之原因、離職之通知及條件等。
269
269
Ｃ○六四工作經驗。
例如：以前之僱主、以前之工作、失業之期間及軍中服役情形等。
Ｃ○六五工作、差勤紀錄。
例如：上、下班時間及事假、病假、休假、娩假各項請假紀錄在職
紀錄或未上班之理由、考績紀錄、獎懲紀錄、褫奪公權資料等。
Ｃ○六六健康與安全紀錄。
例如：職業疾病、安全、意外紀錄、急救資格、旅外急難救助資訊
等。
Ｃ○六七工會及員工之會員資格。
例如：會員資格之詳情、在工會之職務等。
Ｃ○六八薪資與預扣款。
例如：薪水、工資、佣金、紅利、費用、零用金、福利、借款、繳
稅情形、年金之扣繳、工會之會費、工作之基本工資或工資付款之
方式、加薪之日期等。
Ｃ○六九受僱人所持有之財產。
例如：交付予受僱人之汽車、工具、書籍或其他設備等。
Ｃ○七○ 工作管理之細節。
例如：現行義務與責任、工作計畫、成本、用人費率、工作分配與
期間、工作或特定工作所花費之時間等。
Ｃ○七一工作之評估細節。
例如：工作表現與潛力之評估等。
Ｃ○七二受訓紀錄。
例如：工作必須之訓練與已接受之訓練，已具有之資格或技術等。
Ｃ○七三安全細節。
例如：密碼、安全號碼與授權等級等。
代號財務細節：
Ｃ○八一收入、所得、資產與投資。
例如：總收入、總所得、賺得之收入、賺得之所得、資產、儲蓄、
開始日期與到期日、投資收入、投資所得、資產費用等。
Ｃ○八二負債與支出。
例如：支出總額、租金支出、貸款支出、本票等信用工具支出等。
Ｃ○八三信用評等。
例如：信用等級、財務狀況與等級、收入狀況與等級等。
270
270
Ｃ○八四貸款。
例如：貸款類別、貸款契約金額、貸款餘額、初貸日、到期日、應
付利息、付款紀錄、擔保之細節等。
Ｃ○八五外匯交易紀錄。
Ｃ○八六票據信用。
例如：支票存款、基本資料、退票資料、拒絕往來資料等。
Ｃ○八七津貼、福利、贈款。
Ｃ○八八保險細節。
例如：保險種類、保險範圍、保險金額、保險期間、到期日、保險
費、保險給付等。
Ｃ○八九社會保險給付、就養給付及其他退休給付。
例如：生效日期、付出與收入之金額、受益人等。
Ｃ○九一資料主體所取得之財貨或服務。
例如：貨物或服務之有關細節、資料主體之貸款或僱用等有關細節
等。
Ｃ○九二資料主體提供之財貨或服務。
例如：貨物或服務之有關細節等。
Ｃ○九三財務交易。
例如：收付金額、信用額度、保證人、支付方式、往來紀錄、保證
金或其他擔保等。
Ｃ○九四賠償。
例如：受請求賠償之細節、數額等。
代號商業資訊：
Ｃ一○一資料主體之商業活動。
例如：商業種類、提供或使用之財貨或服務、商業契約等。
Ｃ一○二約定或契約。
例如：關於交易、商業、法律或其他契約、代理等。
Ｃ一○三與營業有關之執照。
例如：執照之有無、市場交易者之執照、貨車駕駛之執照等。
代號健康與其他：
Ｃ一一一健康紀錄。
例如：醫療報告、治療與診斷紀錄、檢驗結果、身心障礙種類、等
級、有效期間、身心障礙手冊證號及聯絡人等。
271
271
Ｃ一一二性生活。
Ｃ一一三種族或血統來源。
例如：去氧核醣核酸資料等。
Ｃ一一四交通違規之確定裁判及行政處分。
例如：裁判及行政處分之內容、其他與肇事有關之事項等。
Ｃ一一五其他裁判及行政處分。
例如：裁判及行政處分之內容、其他相關事項等。
Ｃ一一六犯罪嫌疑資料。
例如：作案之情節、通緝資料、與已知之犯罪者交往、化名、足資
證明之證據等。
Ｃ一一七政治意見。
例如：政治上見解、選舉政見等。
Ｃ一一八政治團體之成員。
例如：政黨黨員或擔任之工作等。
Ｃ一一九對利益團體之支持。
例如：係利益團體或其他組織之會員、支持者等。
Ｃ一二○ 宗教信仰。
Ｃ一二一其他信仰。
代號其他各類資訊：
Ｃ一三一書面文件之檢索。
例如：未經自動化機器處理之書面文件之索引或代號等。
Ｃ一三二未分類之資料。
例如：無法歸類之信件、檔案、報告或電子郵件等。
Ｃ一三三輻射劑量資料。
例如：人員或建築之輻射劑量資料等。
Ｃ一三四國家情報工作資料。
例如：國家情報工作法、國家情報人員安全查核辦法等有關資料。
272
272
拾、個人資料保護法問答
Q1：何謂「個人資料」？何謂「特種資料」？又什麼是「個人
資料檔案」？
A：
1. 「個人資料」：依本法第 2 條第 1 款規定，個人資料指自
然人之姓名、出生年月日、國民身分證統一編號、護照號
碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療
、基因、性生活（包括性取向）、健康檢查、犯罪前科、
聯絡方式、財務情況、社會活動等及其他得以直接或間接
方式識別該個人之資料。
2. 個人資料中有部分資料性質較為特殊或具敏感性，如任意
蒐集、處理或利用，恐會造成社會不安或對當事人造成難
以彌補之傷害，故另規定較嚴格之蒐集、處理或利用要件
，稱為特種（敏感）資料。該特種資料包括病歷、醫療、
基因、性生活、健康檢查及犯罪前科之 6 種個人資料。
3. 「個人資料檔案」：將以上所列的個人資料，依系統建立
而得以自動化機器（例如電腦）或其他非自動化方式（例
如紙本）檢索、整理的集合，就是個人資料檔案；備份檔
案也包括在內（本法第 2 條第 2 款規定；施行細則第 5 條
規定）。
Q2：本法的「個人資料」，是否以生存的人為限？
A：本法的立法目的之一，即在保護人格權中的資料隱私權，唯
有現生存的自然人，方有隱私權受到侵害的恐懼情緒，因
此已死亡的人不在本法保護之列（本法第 2 條第 1 款規定
；施行細則第 2 條規定）。
Q3：本法所規範的「蒐集」、「處理」及「利用」行為，分別
是指什麼？
A：
1. 「蒐集」：指以任何方式取得的個人資料（本法第 2 條第
3 款規定）。例如：內政部警政署依法向衛生福利部中央
健康保險署蒐集失蹤人口之就醫時間及地點等個人資料。
273
273
2. 「處理」：指為建立或利用個人資料檔案，所為資料的記
錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出
、連結或內部傳送（本法第 2 條第 4 款規定）。例如：公
司行號建置職員勤惰管理系統儲存或編輯員工上下班情
形。
3. 「利用」：指將已蒐集的個人資料為處理以外的使用（本
法第 2 條第 5 款規定）。例如：(1)金融機構將蒐集之存款
戶個人資料提供行政執行分署依行政執行法令辦理相關執
行事項。(2)公司行號運用員工差勤系統之個人差勤資料，
作為年終考核或抽查員工差勤之用。
Q4：為什麼本法規定蒐集、處理或利用個人資料，需要有「特
定目的」？又所謂的「特定目的」究何所指？特種資料的
蒐集、處理或利用是否亦需有「特定目的」？
A：依經濟合作暨發展組織（OECD）所揭示之「目的明確化
原則」及「限制利用原則」，個人資料於蒐集時其目的即
應明確化，其後的利用亦應與蒐集目的相符合，個人資料
的利用，除符合法定要件外，不得為特定目的以外的利
用。本法第 53 條規定：「法務部應會同中央目的事業主管
機關訂定特定目的及個人資料類別，提供公務機關及非公
務機關參考使用。」蓋法務部會同中央目的事業主管機關
訂定之「個人資料保護法之特定目的及個人資料之類別」
雖列有 182 項之特定目的，惟上開法規命令之總說明略以:
例示或概括之特定目的及個人資料類別，並非可包含所有
可能之活動，公務機關或非公務機關於參考本規定，選擇
特定目的及個人資料類別時，仍宜提出詳盡之業務活動說
明，以補充澄清特定目的及個人資料類別實質內涵。換言
之，只要可以表明其合法蒐集、處理及利用之特定目的及
個人資料類別即可，故依本條所訂之特定目的及個人資料
類別僅係供公務機關及非公務機關參考使用。（「個人資
料保護法之特定目的及個人資料之類別」可至本會個人資
料保護專區查閱。路徑：本會全球資訊網/個人資料保護專
區/法令及執行措施/法令）。
274
274
又依本法第 5 條規定：「個人資料之蒐集、處理或利用，
應尊重當事人之權益，依誠實及信用方法為之，不得逾越
特定目的之必要範圍，並應與蒐集之目的具有正當合理之
關聯。」蒐集、處理或利用特種資料，亦適用上開規定，
故其蒐集、處理或利用應有特定目的，乃屬當然。
Q5：什麼是個人資料的國際傳輸？
A：依本法第 2 條第 6 款規定，國際傳輸係指將個人資料作跨
國（境）之處理或利用。例如：(1)總公司將資料傳送給國
外其他公司、機關（構）等。(2)公務機關將資料傳送給國
外（境外）辦事處或國外其他公務機關（構）、公司等。
Q6：中央目的事業主管機關在哪些情形下，得限制非公務機關
為國際傳輸個人資料？
A：中央目的事業主管機關在有下列情形之一時，得限制非公
務機關為國際傳輸個人資料（本法第 21 條規定）：
1. 涉及國家重大利益。
2. 國際條約或協定有特別規定。
3. 接受國對於個人資料之保護未有完善之法規，致有損當事
人權益之虞。
4. 以迂迴方法向第三國（地區）傳輸個人資料規避本法。
Q7：本法的「公務機關」及「非公務機關」分別有那些？
A：
1. 「公務機關」：指依法行使公權力之中央或地方機關或行
政法人（本法第 2 條第 7 款規定）。
2. 「非公務機關」：指公務機關以外所有之自然人、法人或
其他團體（本法第 2 條第 8 款規定），通通都是本法所定
的「非公務機關」。
Q8：在哪些情形下，不適用本法的規定？理由為何？
A：不適用本法規定的情形有（本法第 51 條第 1 項規定）：
1. 自然人為單純個人或家庭活動之目的，而蒐集、處理或利
用個人資料。因該情形屬於私生活目的所為之行為，與其
275
275
職業或業務職掌無關，如納入本法之適用，恐造成民眾之
不便，亦無必要，故不適用本法之規定。
2. 於公開場所或公開活動中所蒐集、處理或利用之未與其他
個人資料結合之影音資料。由於資訊科技及網際網路的發
達，個人資料之蒐集、處理或利用甚為普遍，尤其在網際
網路上張貼的影音個人資料，亦屬表現自由之一部分。為
解決合照或其他在合理範圍內的影音資料須經其他當事人
的書面同意始得為蒐集、處理或利用個人資料的不便，且
合照當事人彼此間均有同意的表示，其本身共同使用之合
法目的亦相當清楚，因此，對於在公開場所或公開活動中
所蒐集、處理或利用，而未與其他個人資料結合的影音資
料，不適用本法之規定。
Q9：於何種情形下得蒐集、處理或利用特種資料？
A：依本法第 6 條第 1 項規定，原則上不得蒐集、處理或利用
特種資料，除非符合下列情形之一，始得為之：
1. 法律明文規定。
2. 公務機關執行法定職務或非公務機關履行法定義務必要範
圍內，且事前或事後有適當安全維護措施。
3. 當事人自行公開或其他已合法公開之個人資料。
4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目
的，為統計或學術研究而有必要，且資料經過提供者處理
後或經蒐集者依其揭露方式無從識別特定之當事人。
5. 為協助公務機關執行法定職務或非公務機關履行法定義務
必要範圍內，且事前或事後有適當安全維護措施。
6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法
律另有限制不得僅依當事人書面同意蒐集、處理或利用，
或其同意違反其意願者，不在此限。
Q10：本法第 6 條第 1 項但書第 2 款及第 5 款所規定之「事前或

事後有適當安全維護措施」所指為何？
A：公務機關或非公務機關蒐集、處理或利用個人資料，依本法
第 18 條及第 27 條第 1 項規定，對於保有之個人資料檔案
276
276
，本即應採取適當安全維護措施，惟為提醒注意，於本法
第 6 條第 1 項但書第 2 款及第 5 款後段再為提示性規定。
至於本法第 6 條第 1 項其他各款之蒐集、處理及利用行為
，雖未增加相關提醒文字，仍有上開安全維護措施規定適
用，乃屬當然解釋。
Q11：依本法第 6 條第 1 項但書第 6 款規定，得以「經當事人書

面同意」之方式蒐集、處理或利用特種資料，惟於「逾越
特定目的之必要範圍」、「其他法律另有限制不得僅依當
事人書面同意蒐集、處理或利用」或「其同意違反其意願
」之情況下，不在此限。上開規定所稱「逾越特定目的之
必要範圍」所指為何？又蒐集特種資料是否須踐行告知義
務？
A：
1. 依「經當事人書面同意」方式所取得之特種資料，其蒐集
、處理或利用應不得超過當事人書面同意之範圍，惟此尚
非指一律不得為特定目的外利用，若另經當事人書面同意
為目的外之利用，或符合本法第 6 條第 1 項但書其他各款
規定情形之一，仍得為之。例如蒐集者原依「當事人書面
同意」所蒐集之特種資料，其他公務機關為執行法定職務
或非公務機關為履行法定義務而有蒐集該當事人特種資料
之必要，則蒐集者為協助他公務機關執行法定職務或非公
務機關履行法定義務必要範圍內，得依本法第 6 條第 1 項
但書第 5 款規定或再經當事人書面同意，將其所蒐集之特
種資料提供予其他公務機關或非公務機關，亦即為特定目
的外利用。
2. 依本法第 6 條第 2 項規定，蒐集、處理或利用特種資料，
準用同法第 8 條、第 9 條規定，故直接或間接蒐集特種資
料，除有免為告知之事由外，亦應向當事人告知相關法定
事項；另依本法第 6 條第 1 項但書第 6 款規定以「經當事
人書面同意」方式取得特種個資者，依同條第 2 項後段規
定，準用第 7 條第 1 項、第 2 項及第 4 項有關蒐集、特定
目的外利用之同意及蒐集者應就當事人同意之事實負舉證
277
277
責任之規定，並以書面為之。
Q12：公務機關在哪些情形下，可以蒐集、處理或利用一般個人
資料？
A：
1. 公務機關蒐集或處理「一般個人資料」，必須有「特定目
的」，並且符合下列情形之一（本法第 15 條、第 7 條規定
；施行細則第 10 條規定）：
(1) 執行法定職務必要範圍內。
(2) 經當事人同意。
(3) 對當事人權益無侵害。
2. 公務機關利用「一般個人資料」，應區分「特定目的內利
用」或「特定目的外利用」，其要件如下（本法第 16 條、
第 7 條規定；施行細則第 9 條、第 10 條、第 15 條、第 17
條規定）：
(1) 「特定目的內利用」：公務機關利用當事人之一般個
人資料，原則上應在執行法定職務必要範圍內為之，
並與蒐集之特定目的相符。
(2) 「特定目的外利用」：公務機關於有下列情形之一時
，得將一般個人資料為特定目的外之利用：
①法律明文規定。
②為維護國家安全或增進公共利益所必要。
③為免除當事人之生命、身體、自由或財產上之危
險。
④為防止他人權益之重大危害。
⑤公務機關或學術研究機構基於公共利益為統計或學
術研究而有必要，且資料經過提供者處理後或經蒐集
者依其揭露方式無從識別特定之當事人。
⑥有利於當事人權益。
⑦經當事人同意。
Q13：非公務機關在哪些情形下，可以蒐集、處理或利用一般個
人資料？
278
278
A：
1. 非公務機關蒐集或處理「一般個人資料」，必須有「特定
目的」，並符合下列情形之一（本法第 19 條、第 7 條規定
；施行細則第 9 條、第 13 條、第 17 條、第 26 條、第 27
條、第 28 條規定）：
(1) 法律明文規定。
(2) 與當事人有契約或類似契約之關係，且已採取適當之
安全措施。
(3) 當事人自行公開或其他已合法公開之個人資料。
(4) 學術研究機構基於公共利益為統計或學術研究而有必
要，且資料經過提供者處理後或經蒐集者依其揭露方
式無從識別特定之當事人。
(5) 經當事人同意。
(6) 為增進公共利益所必要。
(7) 個人資料取自於一般可得之來源。但當事人對該資料
之禁止處理或利用，顯有更值得保護之重大利益者，
不在此限。
(8) 對當事人權益無侵害。
2. 非公務機關利用「一般個人資料」時，應區分「特定目的
內利用」或「特定目的外利用」，其要件如下（本法第 20
條、第 7 條規定；施行細則第 9 條、第 15 條、第 17 條規
定）：
(1) 「特定目的內利用」：非公務機關利用一般性個人資
料，原則上應在蒐集的特定目的必要範圍內為之。
(2) 「特定目的外利用」：非公務機關於有下列情形之一
時，得將一般個人資料為特定目的外之利用：
①法律明文規定。
②為增進公共利益所必要。
③為免除當事人之生命、身體、自由或財產上之危
險。
④為防止他人權益之重大危害。
⑤公務機關或學術研究機構基於公共利益為統計或學
術研究而有必要，且資料經過提供者處理後或經蒐集
279
279
者依其揭露方式無從識別特定之當事人。
⑥經當事人同意。
⑦有利於當事人權益。
Q14：為保障個人資料之自主控制，依本法規定，該個人資料之
本人可以行使哪些權利？
A：為保障個人生活私密領域免於他人侵擾及個人資料之自主
控制，隱私權乃為不可或缺之基本權利，而受憲法第 22 條
所保障。其中對個人自主控制個人資料之資訊隱私權而言
，乃保障人民決定是否揭露其個人資料、及在何種範圍內
、於何時、以何種方式、向何人揭露之決定權，並保障人
民對其個人資料之使用有知悉與控制權及資料記載錯誤之
更正權（司法院釋字第 585、603、689 號解釋參照）。因
此，本法第 3 條規定，當事人對其個人資料依本法規定行
使之下列權利，不得預先拋棄或以特約限制之：一、查詢
或請求閱覽。二、請求製給複製本。三、請求補充或更
正。四、請求停止蒐集、處理或利用。五、請求刪除。（
另請參照本法第 10 條、第 11 條、第 13 條、第 14 條規定
；施行細則第 10 條、第 18 條至第 21 條規定）
Q15：當事人對其個人資料正確性有爭議時，如該個人資料為公
務機關或非公務機關執行業務所必須，是否仍得繼續利用
？
A：公務機關或非公務機關應維護個人資料之正確，本應主動
或依當事人之請求更正或補充之。而當事人對其個人資料
正確性有爭議時，原得請求公務機關或非公務機關停止處
理或利用；惟按本法第 11 條第 2 項但書規定，如果該個人
資料為公務機關或非公務機關執行職務或業務所必須，或
已經當事人書面同意時，並同時註明其爭議，應可允許公
務機關或非公務機關繼續處理或利用該個人資料。至於爭
議釐清後，自應依同條第 1 項規定予以更正，如實記載。
Q16：何謂「推定同意」？本法有關推定同意之規定（本法第 7
280
280
條第 3 項）對當事人權利之保障是否充足？
A：
1. 公務機關或非公務機關如是基於「經當事人同意」之要件
蒐集、處理個人資料，應由蒐集者就其經當事人同意之事
實負舉證責任（本法第 7 條第 4 項規定）。惟倘若公務機
關或非公務機關已明確告知當事人法定應告知事項，而當
事人未表示拒絕，並已提供其個人資料予該公務機關或非
公務機關時，應推定當事人已表示同意，當事人須提出反
證始得推翻該推定之事實。
2. 又有關「推定同意」之規定，僅限於公務機關或非公務機
關基於「經當事人同意」（本法第 15 條第 2 款、第 19 條
第 1 項第 5 款規定）而蒐集、處理一般個資時方有適用，
且尚須符合「已明確告知當事人法定應告知事項」及「當
事人未表示拒絕，並已提供其個人資料予該公務機關或非
公務機關」之要件。倘若是「經當事人書面同意」蒐集、
處理或利用特種個資（本法第 6 條第 1 項第 6 款規定），
或是「經當事人同意」為一般個資特定目的外之利用（本
法第 16 條第 7 款、第 20 條第 1 項第 6 款規定），對當事
人權利影響較大，則不適用「推定同意」之規定。
Q17：若當事人就是否同意之事實認定發生爭執時，應由何人負
擔舉證責任？
A：「舉證責任」是指當待證事實陷入真偽不明時，應由何人
承擔不利益之問題。公務機關或非公務機關如是基於「經
當事人同意」之要件蒐集、處理個人資料，為保障當事人
權利，且因當事人「同意」之方式不限於書面同意，爰倘
就當事人是否同意之事實認定發生爭執時，應由蒐集者就
其經當事人同意之事實負舉證責任（本法第 7 條第 4 項規
定）。
Q18：本法之告知義務所指為何?
A：公務機關或非公務機關在蒐集當事人的個人資料時，應同
時向當事人告知法定事項；除非有法律所規定的例外情形
281
281
，才能不履行此項告知義務。其詳細規定如下（本法第 8
條、第 9 條規定；施行細則第 9 條、第 10 條、第 11 條、
第 13 條、第 16 條、第 17 條規定）：
1. 「由當事人提供」（直接蒐集）其個人資料時，應明確告
知之事項：
(1) 該蒐集個人資料的公務機關或非公務機關之名稱。
(2) 蒐集之目的。
(3) 所蒐集的個人資料類別。
(4) 該個人資料利用的期間、地區、對象及方式。
(5) 當事人依本法第 3 條規定得行使的權利及方式。
(6) 當事人得自由選擇提供個人資料時，不提供將對其權
益之影響。
2. 「非由當事人提供」（間接蒐集）其個人資料時，應告知
之事項：
公務機關或非公務機關若非直接向當事人蒐集個人資料時
，應於處理或利用當事人的個人資料前，告知該個人資料
來源及(1)~(5)所列事項。
3. 「由當事人提供」其個人資料時，該蒐集個人資料之公務
機關或非公務機關得例外不向當事人履行告知義務之情形
有：
(1) 依法律規定可以不用告知。
(2) 個人資料的蒐集為公務機關執行法定職務所必要。
(3) 個人資料的蒐集為非公務機關履行法定義務所必要。
(4) 告知將妨害公務機關執行法定職務。
(5) 告知將妨害公共利益。
(6) 當事人明知應告知之內容。
(7) 個人資料之蒐集非基於營利之目的，且對當事人顯無
不利之影響。
4. 「非由當事人提供」其個人資料時，該蒐集個人資料之公
務機關或非公務機關得例外不向當事人履行告知義務之情
形有：
(1) 有本法第 8 條第 2 項所列各款情形之一。
(2) 當事人自行公開或其他已合法公開之個人資料。
282
282
(3) 不能向當事人或其法定代理人為告知。
(4) 基於公共利益為統計或學術研究之目的而有必要，且
該資料須經提供者處理後或蒐集者依其揭露方式，無
從識別特定當事人者為限。
(5) 大眾傳播業者基於新聞報導之公益目的而蒐集個人資
料。
5. 依本法第 6 條第 2 項規定，蒐集、處理或利用特種資料，
準用同法第 8 條、第 9 條規定，故直接或間接蒐集特種資
料，除有免為告知之事由外，亦應向當事人告知相關法定
事項。
Q19：非公務機關合法利用個人資料從事商品行銷時，為方便當
事人拒絕接受該產品之行銷，該非公務機關應有何作為？
又被拒絕行銷時應如何處理?
A：
1. 為便利當事人表達拒絕接受行銷之意思表示，本法第 20
條第 3 項規定，非公務機關對當事人進行首次行銷時，應
支付當事人拒絕行銷之費用，例如，提供免付費電話、免
費回郵等。至於當事人日後得隨時以自費方式，表示拒絕
再接受行銷，非公務機關應即停止再利用其個人資料進行
行銷。即使當事人已經同意非公務機關將其個人資料為目
的外利用，非公務機關如有依此同意對於利用個人資料行
銷時，本法規定，非公務機關仍應建立「退場」機制，於
當事人表示拒絕接受行銷時，應即停止利用其個人資料行
銷；且非公務機關於首次行銷時，應提供當事人表示拒絕
接受行銷之方式，並支付所需費用。
2. 非公務機關依本法第 20 條第 1 項規定，利用個人資料從事
商品行銷時（包括特定目的內與特定目的外之利用），如
當事人欲拒絕接受該產品之行銷，只能依第 3 條規定請求
停止處理或利用或刪除其個人資料，往往緩不濟急。為尊
重當事人拒絕接受行銷之權利，爰參考 1995 年歐盟資料保
護指令（95/46/EC）第 14 條、德國聯邦個人資料保護法第
28 條第 4 項規定，於本法第 20 條第 2 項明定當事人表示
283
283
拒絕接受行銷時，非公務機關即應停止再利用其個人資料
進行行銷。
Q20：個人資料外洩時，公務機關或非公務機關是否有通報或告
知當事人之義務？
A：公務機關或非公務機關管理之個人資料，如有被竊取、洩
漏、竄改或其他侵害者，應於查明後通知當事人（本法第
12 條規定），以使當事人得以知悉個人資料遭違法侵害之
情事，以及時採取補救措施或提起救濟。至於通知之方式
，依本法施行細則第 22 條規定，應即時以言詞、書面、電
話、簡訊、電子郵件、傳真、電子文件或其他足以使當事
人知悉或可得知悉之方式為之。但通知需費過鉅者，得斟
酌技術之可行性及當事人隱私之保護（不揭示可直接或間
接識別當事人之個人資料），以網際網路、新聞媒體或其
他適當之公開方式為之。通知之內容，應包括個人資料被
侵害之事實以及已採取之因應措施，以使當事人得有效採
取適當補救措施以降低損害之擴大。
Q21：公務機關或非公務機關委託其他法人、團體或個人，進行
個人資料之蒐集、處理或利用行為，如果受託者將個人資
料外洩，委託機關是否要負賠償責任?
A：法人、團體或個人辦理公務機關或非公務機關所委託業務
涉及處理個人資料，則該受託處理個人資料之法人、團體
或個人，視同委託機關，並以委託機關為權責歸屬機關，
由委託機關負賠償責任。例如：委託機關為公務機關時，
則受託之個人、法人或團體於受託範圍內，視同委託機關
，而應適用本法有關公務機關之規範。（本法第 4 條規定
；施行細則第 7 條規定）
Q22：如非公務機關蒐集、處理或利用民眾個人資料違反本法規
定，民眾應向哪個機關反映？
A：本法採取分散式管理之監督機制，且自本法第 22 條之立
284
284
法理由觀之，主要係因各個行業均有其目的事業主管機關
，而個資之蒐集、處理或利用，與該事業之經營關係密切
，應屬該事業之附屬業務，宜由各該目的事業主管機關，
一併監督管理與其業務相關之個資保護事項。若民眾認非
公務機關蒐集、處理或利用個人資料違反本法規定，請檢
具相關具體事證向該非公務機關之中央目的事業主管機關
反映。
（「個人資料保護法非公務機關中央目的事業主管機關列
表」可至本會個人資料保護專區查閱。路徑：本會全球資
訊網/個人資料保護專區/法令及執行措施/執行措施）。
Q23：違反本法會有哪些相關責任？
A：違反本法規定，可能發生民事損害賠償責任、刑事責任和
行政責任三部分：
1. 民事損害賠償責任：
(1) 公務機關違反本法規定，致當事人權益受損害者，應
負損害賠償責任。但損害是因天災、事變或其他不可
抗力所致者，則不在此限。（本法第 28 條第 1 項規定
）
(2) 非公務機關違反本法規定，致當事人權益受損害者，
應負損害賠償責任。但如果能證明其無故意或過失者
，不在此限。（本法第 29 條第 1 項規定）
(3) 對於基於同一原因事實應對當事人負損害賠償責任之
最高總額，原則上以 2 億元為限，被害人不易或不能
證明其實際損害額時，得請求法院依侵害情節以每人
每一事件 5 百元以上 2 萬元以下計算之。（本法第 28
條第 3 項、第 4 項及第 29 條第 2 項規定）
2. 刑事責任：
針對行為人之可受非難性程度較高者，規範刑事責任：
(1) 意圖為自己或第三人之不法利益或損害他人利益，違
反本法第 15 條、第 16 條、第 19 條、第 20 條第 1 項
規定，或中央目的事業主管機關依第 21 條限制國際傳
輸命令或處分，足生損害於他人，處 5 年以下有期徒
285
285
刑，得併科 1 百萬以下罰金。（本法第 41 條規定）
(2) 意圖為自己或第三人之不法利益或損害他人利益，而
對於個人資料檔案為非法變更、刪除或以其他非法方
式，致妨害個人資料檔案正確而足生損害於他人，處 5
年以下有期徒刑、拘役或科或併科 1 百萬以下罰金。
（本法第 42 條規定）
又我國人民在我國領域外對我國人民犯第 41 條、第 42 條
之罪，亦適用之。（本法第 43 條規定）
3. 行政責任：
本法針對非公務機關違反本法相關規定時，賦予各中央目
的事業主管機關或直轄市、縣（市）政府命其所監督管理
之非公務機關限期改善、對該非公務機關處以罰鍰等權限
；而該非公務機關之代表人、管理人或其他有代表權人，
除非能證明已盡防止義務者外，並應課以同一額度之罰鍰
，以加強其監督之責任。（本法第 47 條至第 50 條規定）
Q24：依本法規定請求損害賠償時，是否有時間上之限制？
A：依法當事人必須在知有損害及賠償義務人時起 2 年間行使
損害賠償請求權；如果沒有在期間內行使的話，請求權就
會罹於消滅時效，而且在損害發生已經超過 5 年之後，請
求權也會罹於消滅時效（本法第 30 條規定）。
286
286
國家圖書館出版品預行編目(CIP)資料
個人資料保護法規及參考資料彙編 / 國家發展委員會法制
協調中心編輯 -- 第 3 版 -- 臺北市: 國家發展委員會,
民 109.11
面；公分
ISBN 978-986-5457-37-2(平裝)
1.資訊法規 2.資訊安全
584.111 109017546
個人資料保護法規及參考資料彙編
編輯者：國家發展委員會法制協調中心
出版機關：國家發展委員會
電話：(02)2316-5300
網址：http：//www.ndc.gov.tw
地址：臺北市寶慶路3號
版次：第3版
出版年月：中華民國109年11月
電子出版品：本書同時刊載於國家發展委員會個人資料保護專區網站
，網址為 https://pipa.ndc.gov.tw/
定價：新臺幣貳佰貳拾元整
編號：(109)021.0905
G P N ：1010901715
I S B N ：978-986-5457-37-2
展售處
1.三民書局：100臺北市重慶南路1段61號
TEL：886-2-23617511 FAX：886-2-23613355
http://www.sanmin.com.tw/
2.臺中五楠文化廣場：406臺中市中區中山路6號
TEL：886-4-24378010 FAX：886-4-24377010
http://www.wunan.com.tw/
3.國家書店松江門市：104臺北市松江路209號1樓
TEL：886-2-25180207 Fax：886-2-25180778
國家網路書店：http://www.govbooks.com.tw
287
287

個人資料保護法規及參考資料彙編ed3

Uploaded by

Copyright:

Available Formats

You might also like

個人資料保護法規及參考資料彙編ed3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

個人資料保護法規及參考資料彙編ed3

Uploaded by

Copyright:

Available Formats

個人資料保護法規

參、個人資料保護法英譯 ............................................................. 128

肆、個人資料保護法施行細則 ..................................................... 149

伍、個人資料保護法施行細則修正條文對照表 ........................ 156

陸、個人資料保護法施行細則英譯 ............................................. 206

柒、個人資料保護法及同法施行細則相關條文對照表 ............ 215

捌、本會發布之函釋 ..................................................................... 239

玖、個人資料保護法之特定目的及個人資料之類別 ................ 261

拾、個人資料保護法問答 ............................................................. 273

中華民國 99 年 5 月 26 日總統華總一義字第 09900125121 號令修正公布名

105 年 3 月 15 日施行 101 年 10 月 1 日施行 說 明

Personal Data Protection Act

Chapter I General Provisions

Article 2 The terms used herein denote the following meanings:

Article 4 Whoever is commissioned by a government agency or non-

Article 5 The collection, processing and use of personal data shall be

Article 7 "Consent", as referred to in Subparagraph 2, Paragraph 1, Article

Article 10 Upon the request of a data subject, the government or non-

Article 12 If any personal data is stolen, disclosed, altered, or otherwise

Article 13 Where a request is made by a data subject to a government or

Article 14 A government or non-government agency may charge a fee to

Chapter II Data Collection, Processing and Use by a Government Agency

Chapter III Data Collection, Processing and Use by a Non-government

Article 21 If a cross-border transfer of personal data is carried out by a non-

Article 24 The non-government agency, owner, holder, keeper or interested

Article 26 The findings of the inspections conducted by the central

Chapter IV Damages and Class Action

Article 29 A non-government agency shall be liable for the damages arising

Article 35 If a data subject withdraws his/her delegation of the litigation

Article 37 An incorporated foundation or an incorporated charity that has

Article 39 The incorporated foundation or the incorporated charity shall

Article 42 If a person, with the intention of obtaining unlawful gains for

Article 43 The preceding two articles also apply to nationals of the

Article 44 A government official who abuses the power, opportunity or

Article 45 A person who committed any of the offenses identified in this

Article 46 If a more severe punishment is provided for under other laws

Article 47 If a non-government agency violates any of the following

Article 48 If a non-government agency violates any of the following

Article 49 If a non-government agency is in violation of Paragraph 4,

Chapter VI Supplementary Provisions

Article 52 The duties of the central government authorities in charge of the

Article 54 After the enactment of the amendments to the PDPA on

Article 55 The Enforcement Rule of the PDPA shall be prescribed by the

中華民國 101 年 9 月 26 日法務部法令字第 10103107360 號令修正發布名

105 年 3 月 15 日 施 行 101 年 10 月 1 日 施 行 電腦處理個人資料保護法

Enforcement Rules of the Personal Data Protection Act

第五十六條 本法施行日期，由行政院 第三十三條 本細則施行日期，由法務

Q10：本法第 6 條第 1 項但書第 2 款及第 5 款所規定之「事前或

Q11：依本法第 6 條第 1 項但書第 6 款規定，得以「經當事人書

You might also like

105 年 3 月 15 日施行 101 年 10 月 1 日施行說明

105 年 3 月 15 日施行 101 年 10 月 1 日施行電腦處理個人資料保護法

第五十六條本法施行日期，由行政院第三十三條本細則施行日期，由法務