个人资料保护法 (民国112年)
← | 个人资料保护法 (民国104年) | 个人资料保护法 立法于民国112年5月16日(现行条文) 中华民国112年(2023年)5月16日 中华民国112年(2023年)5月31日 公布于民国112年5月31日 总统华总一经字第11200045441号令 |
|
第一章 总则
编辑第一条
- 为规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法。
第一条之一
- 本法之主管机关为个人资料保护委员会。
- 自个人资料保护委员会成立之日起,本法所列属中央目的事业主管机关、直辖市、县(市)政府及第五十三条、第五十五条所列机关之权责事项,由该会管辖。
第二条
- 本法用词,定义如下:
- 一、个人资料:指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。
- 二、个人资料档案:指依系统建立而得以自动化机器或其他非自动化方式检索、整理之个人资料之集合。
- 三、搜集:指以任何方式取得个人资料。
- 四、处理:指为建立或利用个人资料档案所为资料之记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。
- 五、利用:指将搜集之个人资料为处理以外之使用。
- 六、国际传输:指将个人资料作跨国(境)之处理或利用。
- 七、公务机关:指依法行使公权力之中央或地方机关或行政法人。
- 八、非公务机关:指前款以外之自然人、法人或其他团体。
- 九、当事人:指个人资料之本人。
第三条
- 当事人就其个人资料依本法规定行使之下列权利,不得预先抛弃或以特约限制之:
- 一、查询或请求阅览。
- 二、请求制给复制本。
- 三、请求补充或更正。
- 四、请求停止搜集、处理或利用。
- 五、请求删除。
第四条
- 受公务机关或非公务机关委托搜集、处理或利用个人资料者,于本法适用范围内,视同委托机关。
第五条
- 个人资料之搜集、处理或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围,并应与搜集之目的具有正当合理之关联。
第六条
- 有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。但有下列情形之一者,不在此限:
- 一、法律明文规定。
- 二、公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施。
- 三、当事人自行公开或其他已合法公开之个人资料。
- 四、公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。
- 五、为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施。
- 六、经当事人书面同意。但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限。
- 依前项规定搜集、处理或利用个人资料,准用第八条、第九条规定;其中前项第六款之书面同意,准用第七条第一项、第二项及第四项规定,并以书面为之。
第七条
- 第十五条第二款及第十九条第一项第五款所称同意,指当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。
- 第十六条第七款、第二十条第一项第六款所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示。
- 公务机关或非公务机关明确告知当事人第八条第一项各款应告知事项时,当事人如未表示拒绝,并已提供其个人资料者,推定当事人已依第十五条第二款、第十九条第一项第五款之规定表示同意。
- 搜集者就本法所称经当事人同意之事实,应负举证责任。
第八条
- 公务机关或非公务机关依第十五条或第十九条规定向当事人搜集个人资料时,应明确告知当事人下列事项:
- 一、公务机关或非公务机关名称。
- 二、搜集之目的。
- 三、个人资料之类别。
- 四、个人资料利用之期间、地区、对象及方式。
- 五、当事人依第三条规定得行使之权利及方式。
- 六、当事人得自由选择提供个人资料时,不提供将对其权益之影响。
- 有下列情形之一者,得免为前项之告知:
- 一、依法律规定得免告知。:
- 二、个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要。
- 三、告知将妨害公务机关执行法定职务。
- 四、告知将妨害公共利益。
- 五、当事人明知应告知之内容。
- 六、个人资料之搜集非基于营利之目的,且对当事人显无不利之影响。
第九条
- 公务机关或非公务机关依第十五条或第十九条规定搜集非由当事人提供之个人资料,应于处理或利用前,向当事人告知个人资料来源及前条第一项第一款至第五款所列事项。
- 有下列情形之一者,得免为前项之告知:
- 一、有前条第二项所列各款情形之一。
- 二、当事人自行公开或其他已合法公开之个人资料。
- 三、不能向当事人或其法定代理人为告知。
- 四、基于公共利益为统计或学术研究之目的而有必要,且该资料须经提供者处理后或搜集者依其揭露方式,无从识别特定当事人者为限。
- 五、大众传播业者基于新闻报导之公益目的而搜集个人资料。
- 第一项之告知,得于首次对当事人为利用时并同为之。
第十条
- 公务机关或非公务机关应依当事人之请求,就其搜集之个人资料,答复查询、提供阅览或制给复制本。但有下列情形之一者,不在此限:
- 一、妨害国家安全、外交及军事机密、整体经济利益或其他国家重大利益。
- 二、妨害公务机关执行法定职务。
- 三、妨害该搜集机关或第三人之重大利益。
第十一条
- 公务机关或非公务机关应维护个人资料之正确,并应主动或依当事人之请求更正或补充之。
- 个人资料正确性有争议者,应主动或依当事人之请求停止处理或利用。但因执行职务或业务所必须,或经当事人书面同意,并经注明其争议者,不在此限。
- 个人资料搜集之特定目的消失或期限届满时,应主动或依当事人之请求,删除、停止处理或利用该个人资料。但因执行职务或业务所必须或经当事人书面同意者,不在此限。
- 违反本法规定搜集、处理或利用个人资料者,应主动或依当事人之请求,删除、停止搜集、处理或利用该个人资料。
- 因可归责于公务机关或非公务机关之事由,未为更正或补充之个人资料,应于更正或补充后,通知曾提供利用之对象。
第十二条
- 公务机关或非公务机关违反本法规定,致个人资料被窃取、泄漏、窜改或其他侵害者,应查明后以适当方式通知当事人。
第十三条
- 公务机关或非公务机关受理当事人依第十条规定之请求,应于十五日内,为准驳之决定;必要时,得予延长,延长之期间不得逾十五日,并应将其原因以书面通知请求人。
- 公务机关或非公务机关受理当事人依第十一条规定之请求,应于三十日内,为准驳之决定;必要时,得予延长,延长之期间不得逾三十日,并应将其原因以书面通知请求人。
第十四条
- 查询或请求阅览个人资料或制给复制本者,公务机关或非公务机关得酌收必要成本费用。
第二章 公务机关对个人资料之搜集、处理及利用
编辑第十五条
- 公务机关对个人资料之搜集或处理,除第六条第一项所规定资料外,应有特定目的,并符合下列情形之一者:
- 一、执行法定职务必要范围内。
- 二、经当事人同意。
- 三、对当事人权益无侵害。
第十六条
- 公务机关对个人资料之利用,除第六条第一项所规定资料外,应于执行法定职务必要范围内为之,并与搜集之特定目的相符。但有下列情形之一者,得为特定目的外之利用:
- 一、法律明文规定。
- 二、为维护国家安全或增进公共利益所必要。
- 三、为免除当事人之生命、身体、自由或财产上之危险。
- 四、为防止他人权益之重大危害。
- 五、公务机关或学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。
- 六、有利于当事人权益。
- 七、经当事人同意。
第十七条
- 公务机关应将下列事项公开于电脑网站,或以其他适当方式供公众查阅;其有变更者,亦同:
- 一、个人资料档案名称。
- 二、保有机关名称及联络方式。
- 三、个人资料档案保有之依据及特定目的。
- 四、个人资料之类别。
第十八条
- 公务机关保有个人资料档案者,应指定专人办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏。
第三章 非公务机关对个人资料之搜集、处理及利用
编辑第十九条
- 非公务机关对个人资料之搜集或处理,除第六条第一项所规定资料外,应有特定目的,并符合下列情形之一者:
- 一、法律明文规定。
- 二、与当事人有契约或类似契约之关系,且已采取适当之安全措施。
- 三、当事人自行公开或其他已合法公开之个人资料。
- 四、学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。
- 五、经当事人同意。
- 六、为增进公共利益所必要。
- 七、个人资料取自于一般可得之来源。但当事人对该资料之禁止处理或利用,显有更值得保护之重大利益者,不在此限。
- 八、对当事人权益无侵害。
- 搜集或处理者知悉或经当事人通知依前项第七款但书规定禁止对该资料之处理或利用时,应主动或依当事人之请求,删除、停止处理或利用该个人资料。
第二十条
- 非公务机关对个人资料之利用,除第六条第一项所规定资料外,应于搜集之特定目的必要范围内为之。但有下列情形之一者,得为特定目的外之利用:
- 一、法律明文规定。
- 二、为增进公共利益所必要。
- 三、为免除当事人之生命、身体、自由或财产上之危险。
- 四、为防止他人权益之重大危害。
- 五、公务机关或学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。
- 六、经当事人同意。
- 七、有利于当事人权益。
- 非公务机关依前项规定利用个人资料行销者,当事人表示拒绝接受行销时,应即停止利用其个人资料行销。
- 非公务机关于首次行销时,应提供当事人表示拒绝接受行销之方式,并支付所需费用。
第二十一条
- 非公务机关为国际传输个人资料,而有下列情形之一者,中央目的事业主管机关得限制之:
- 一、涉及国家重大利益。
- 二、国际条约或协定有特别规定。
- 三、接受国对于个人资料之保护未有完善之法规,致有损当事人权益之虞。
- 四、以迂回方法向第三国(地区)传输个人资料规避本法。
第二十二条
- 中央目的事业主管机关或直辖市、县(市)政府为执行资料档案安全维护、业务终止资料处理方法、国际传输限制或其他例行性业务检查而认有必要或有违反本法规定之虞时,得派员携带执行职务证明文件,进入检查,并得命相关人员为必要之说明、配合措施或提供相关证明资料。
- 中央目的事业主管机关或直辖市、县(市)政府为前项检查时,对于得没入或可为证据之个人资料或其档案,得扣留或复制之。对于应扣留或复制之物,得要求其所有人、持有人或保管人提出或交付;无正当理由拒绝提出、交付或抗拒扣留或复制者,得采取对该非公务机关权益损害最少之方法强制为之。
- 中央目的事业主管机关或直辖市、县 (市)政府为第一项检查时,得率同资讯、电信或法律等专业人员共同为之。
- 对于第一项及第二项之进入、检查或处分,非公务机关及其相关人员不得规避、妨碍或拒绝。
- 参与检查之人员,因检查而知悉他人资料者,负保密义务。
第二十三条
- 对于前条第二项扣留物或复制物,应加封缄或其他标识,并为适当之处置;其不便搬运或保管者,得命人看守或交由所有人或其他适当之人保管。
- 扣留物或复制物已无留存之必要,或决定不予处罚或未为没入之裁处者,应发还之。但应没入或为调查他案应留存者,不在此限。
第二十四条
- 非公务机关、物之所有人、持有人、保管人或利害关系人对前二条之要求、强制、扣留或复制行为不服者,得向中央目的事业主管机关或直辖市、县(市)政府声明异议。
- 前项声明异议,中央目的事业主管机关或直辖市、县(市)政府认为有理由者,应立即停止或变更其行为;认为无理由者,得继续执行。经该声明异议之人请求时,应将声明异议之理由制作纪录交付之。
- 对于中央目的事业主管机关或直辖市、县(市)政府前项决定不服者,仅得于对该案件之实体决定声明不服时一并声明之。但第一项之人依法不得对该案件之实体决定声明不服时,得单独对第一项之行为迳行提起行政诉讼。
第二十五条
- 非公务机关有违反本法规定之情事者,中央目的事业主管机关或直辖市、县(市)政府除依本法规定裁处罚锾外,并得为下列处分:
- 一、禁止搜集、处理或利用个人资料。
- 二、命令删除经处理之个人资料档案。
- 三、没入或命销毁违法搜集之个人资料。
- 四、公布非公务机关之违法情形,及其姓名或名称与负责人。
- 中央目的事业主管机关或直辖市、县(市)政府为前项处分时,应于防制违反本法规定情事之必要范围内,采取对该非公务机关权益损害最少之方法为之。
第二十六条
- 中央目的事业主管机关或直辖市、县(市)政府依第二十二条规定检查后,未发现有违反本法规定之情事者,经该非公务机关同意后,得公布检查结果。
第二十七条
- 非公务机关保有个人资料档案者,应采行适当之安全措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏。
- 中央目的事业主管机关得指定非公务机关订定个人资料档案安全维护计画或业务终止后个人资料处理方法。
- 前项计画及处理方法之标准等相关事项之办法,由中央目的事业主管机关定之。
第四章 损害赔偿及团体诉讼
编辑第二十八条
- 公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但损害因天灾、事变或其他不可抗力所致者,不在此限。
- 被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为回复名誉之适当处分。
- 依前二项情形,如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币五百元以上二万元以下计算。
- 对于同一原因事实造成多数当事人权利受侵害之事件,经当事人请求损害赔偿者,其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者,以该所涉利益为限。
- 同一原因事实造成之损害总额逾前项金额时,被害人所受赔偿金额,不受第三项所定每人每一事件最低赔偿金额新台币五百元之限制。
- 第二项请求权,不得让与或继承。但以金额赔偿之请求权已依契约承诺或已起诉者,不在此限。
第二十九条
- 非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限。
- 依前项规定请求赔偿者,适用前条第二项至第六项规定。
第三十条
- 损害赔偿请求权,自请求权人知有损害及赔偿义务人时起,因二年间不行使而消灭;自损害发生时起,逾五年者,亦同。
第三十一条
- 损害赔偿,除依本法规定外,公务机关适用国家赔偿法之规定,非公务机关适用民法之规定。
第三十二条
- 依本章规定提起诉讼之财团法人或公益社团法人,应符合下列要件:
- 一、财团法人之登记财产总额达新台币一千万元或社团法人之社员人数达一百人。
- 二、保护个人资料事项于其章程所定目的范围内。
- 三、许可设立三年以上。
第三十三条
- 依本法规定对于公务机关提起损害赔偿诉讼者,专属该机关所在地之地方法院管辖。对于非公务机关提起者,专属其主事务所、主营业所或住所地之地方法院管辖。
- 前项非公务机关为自然人,而其在中华民国现无住所或住所不明者,以其在中华民国之居所,视为其住所;无居所或居所不明者,以其在中华民国最后之住所,视为其住所;无最后住所者,专属中央政府所在地之地方法院管辖。
- 第一项非公务机关为自然人以外之法人或其他团体,而其在中华民国现无主事务所、主营业所或主事务所、主营业所不明者,专属中央政府所在地之地方法院管辖。
第三十四条
- 对于同一原因事实造成多数当事人权利受侵害之事件,财团法人或公益社团法人经受有损害之当事人二十人以上以书面授与诉讼实施权者,得以自己之名义,提起损害赔偿诉讼。当事人得于言词辩论终结前以书面撤回诉讼实施权之授与,并通知法院。
- 前项诉讼,法院得依声请或依职权公告晓示其他因同一原因事实受有损害之当事人,得于一定期间内向前项起诉之财团法人或公益社团法人授与诉讼实施权,由该财团法人或公益社团法人于第一审言词辩论终结前,扩张应受判决事项之声明。
- 其他因同一原因事实受有损害之当事人未依前项规定授与诉讼实施权者,亦得于法院公告晓示之一定期间内起诉,由法院并案审理。
- 其他因同一原因事实受有损害之当事人,亦得声请法院为前项之公告。
- 前二项公告,应揭示于法院公告处、资讯网路及其他适当处所;法院认为必要时,并得命登载于公报或新闻纸,或用其他方法公告之,其费用由国库垫付。
- 依第一项规定提起诉讼之财团法人或公益社团法人,其标的价额超过新台币六十万元者,超过部分暂免征裁判费。
第三十五条
- 当事人依前条第一项规定撤回诉讼实施权之授与者,该部分诉讼程序当然停止,该当事人应即声明承受诉讼,法院亦得依职权命该当事人承受诉讼。
- 财团法人或公益社团法人依前条规定起诉后,因部分当事人撤回诉讼实施权之授与,致其馀部分不足二十人者,仍得就其馀部分继续进行诉讼。
第三十六条
- 各当事人于第三十四条第一项及第二项之损害赔偿请求权,其时效应分别计算。
第三十七条
- 财团法人或公益社团法人就当事人授与诉讼实施权之事件,有为一切诉讼行为之权。但当事人得限制其为舍弃、撤回或和解。
- 前项当事人中一人所为之限制,其效力不及于其他当事人。
- 第一项之限制,应于第三十四条第一项之文书内表明,或以书状提出于法院。
第三十八条
- 当事人对于第三十四条诉讼之判决不服者,得于财团法人或公益社团法人上诉期间届满前,撤回诉讼实施权之授与,依法提起上诉。
- 财团法人或公益社团法人于收受判决书正本后,应即将其结果通知当事人,并应于七日内将是否提起上诉之意旨以书面通知当事人。
第三十九条
- 财团法人或公益社团法人应将第三十四条诉讼结果所得之赔偿,扣除诉讼必要费用后,分别交付授与诉讼实施权之当事人。
- 提起第三十四条第一项诉讼之财团法人或公益社团法人,均不得请求报酬。
第四十条
- 依本章规定提起诉讼之财团法人或公益社团法人,应委任律师代理诉讼。
第五章 罚则
编辑第四十一条
- 意图为自己或第三人不法之利益或损害他人之利益,而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定,或中央目的事业主管机关依第二十一条限制国际传输之命令或处分,足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。
第四十二条
- 意图为自己或第三人不法之利益或损害他人之利益,而对于个人资料档案为非法变更、删除或以其他非法方法,致妨害个人资料档案之正确而足生损害于他人者,处五年以下有期徒刑、拘役或科或并科新台币一百万元以下罚金。
第四十三条
- 中华民国人民在中华民国领域外对中华民国人民犯前二条之罪者,亦适用之。
第四十四条
- 公务员假借职务上之权力、机会或方法,犯本章之罪者,加重其刑至二分之一。
第四十五条
- 本章之罪,须告诉乃论。但犯第四十一条之罪者,或对公务机关犯第四十二条之罪者,不在此限。
第四十六条
- 犯本章之罪,其他法律有较重处罚规定者,从其规定。
第四十七条
- 非公务机关有下列情事之一者,由中央目的事业主管机关或直辖市、县(市)政府处新台币五万元以上五十万元以下罚锾,并令限期改正,届期未改正者,按次处罚之:
- 一、违反第六条第一项规定。
- 二、违反第十九条规定。
- 三、违反第二十条第一项规定。
- 四、违反中央目的事业主管机关依第二十一条规定限制国际传输之命令或处分。
第四十八条
- 非公务机关有下列情事之一者,由中央目的事业主管机关或直辖市、县(市)政府限期改正,届期未改正者,按次处新台币二万元以上二十万元以下罚锾:
- 一、违反第八条或第九条规定。
- 二、违反第十条、第十一条、第十二条或第十三条规定。
- 三、违反第二十条第二项或第三项规定。
- 非公务机关违反第二十七条第一项或未依第二项订定个人资料档案安全维护计画或业务终止后个人资料处理方法者,由中央目的事业主管机关或直辖市、县(市)政府处新台币二万元以上二百万元以下罚锾,并令其限期改正,届期未改正者,按次处新台币十五万元以上一千五百万元以下罚锾。
- 非公务机关违反第二十七条第一项或未依第二项订定个人资料档案安全维护计画或业务终止后个人资料处理方法,其情节重大者,由中央目的事业主管机关或直辖市、县(市)政府处新台币十五万元以上一千五百万元以下罚锾,并令其限期改正,届期未改正者,按次处罚。
第四十九条
- 非公务机关无正当理由违反第二十二条第四项规定者,由中央目的事业主管机关或直辖市、县(市)政府处新台币二万元以上二十万元以下罚锾。
第五十条
- 非公务机关之代表人、管理人或其他有代表权人,因该非公务机关依前三条规定受罚锾处罚时,除能证明已尽防止义务者外,应并受同一额度罚锾之处罚。
第六章 附则
编辑第五十一条
- 有下列情形之一者,不适用本法规定:
- 一、自然人为单纯个人或家庭活动之目的,而搜集、处理或利用个人资料。
- 二、于公开场所或公开活动中所搜集、处理或利用之未与其他个人资料结合之影音资料。
- 公务机关及非公务机关,在中华民国领域外对中华民国人民个人资料搜集、处理或利用者,亦适用本法。
第五十二条
- 第二十二条至第二十六条规定由中央目的事业主管机关或直辖市、县(市)政府执行之权限,得委任所属机关、委托其他机关或公益团体办理;其成员因执行委任或委托事务所知悉之资讯,负保密义务。
- 前项之公益团体,不得依第三十四条第一项规定接受当事人授与诉讼实施权,以自己之名义提起损害赔偿诉讼。
第五十三条
- 法务部应会同中央目的事业主管机关订定特定目的及个人资料类别,提供公务机关及非公务机关参考使用。
第五十四条
- 本法中华民国九十九年五月二十六日修正公布之条文施行前,非由当事人提供之个人资料,于本法一百零四年十二月十五日修正之条文施行后为处理或利用者,应于处理或利用前,依第九条规定向当事人告知。
- 前项之告知,得于本法中华民国一百零四年十二月十五日修正之条文施行后首次利用时并同为之。
- 未依前二项规定告知而利用者,以违反第九条规定论处。
第五十五条
- 本法施行细则,由法务部定之。
第五十六条
- 本法施行日期,由行政院定之。
- 本法中华民国九十九年五月二十六日修正公布之现行条文第十九条至第二十二条、第四十三条之删除及一百十二年五月十六日修正之第四十八条,自公布日施行。