跳到主要內容區

個資法施行細則

個人資料保護法施行細則

 

第一條    本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。

第二條    本法所稱個人,指現生存之自然人。

第三條    本法第二條第一款所稱得以間接方式識別該個人之資料,指僅以該資料不能識別,須與其他資料對照、組合、連結等,始能識別該特定個人者。但查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限。

第四條  本法第二條第一款所稱病歷之個人資料,指下列各款資料:

一、醫師依醫師法執行業務所製作之病歷。

二、各項檢查、檢驗報告資料。

三、其他各類醫事人員執行業務所製作之紀錄。(衛生署提供)

本法第二條第一款所稱醫療之個人資料,指除前項病歷以外,其他以治療、矯正或預防人體疾病、傷害、殘缺為目的,所為之診察、診斷及治療;或基於診察、診斷結果,以治療為目的,所為之處方、用藥、施術、或處置等行為全部或一部所產生之個人資料。(衛生署提供)

本法第二條第一款所稱基因之個人資料,指由一段去氧核醣核酸構成,為生物體控制特定功能之遺傳單位訊息。(衛生署提供)

本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。

本法第二條第一款所稱健康檢查之個人資料,指對於無明顯疾病症狀,非出於對特定疾病診斷或治療之目的,以醫療行為所為診察行為之全部或一部之總稱。(衛生署提供)

本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定之紀錄。

第五條  本法第二條第二款所稱個人資料檔案,包括備份檔案及軌跡資料。

第六條  本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。

前項規定,如為事後查核、比對或證明之需要而留存軌跡資料者,得不予刪除。

本法第二條第四款所稱內部傳送,係指公務機關或非公務機關本身內部之資料傳送。

第七條  受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。

前項情形,當事人行使本法之權利,應向委託機關為之。

第八條  委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人為適當之監督。

前項監督至少應包含下列事項:

一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

二、受託人就第九條第二項應採取之必要措施。

三、有複委託者,其約定之受託人。

四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。

五、委託人對受託人保留指示之事項。

六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。

第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。

受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。

第九條  本法所稱適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。

前項必要措施,應包括下列事項:

一、成立管理組織,配置相當資源。

二、界定個人資料之範圍。

三、個人資料之風險評估及管理機制。

四、事故之預防、通報及應變機制。

五、個人資料蒐集、處理及利用之內部管理程序。

六、資料安全管理及人員管理。

七、認知宣導及教育訓練。

八、設備安全管理。

九、資料安全稽核機制。

十、必要之使用紀錄、軌跡資料及證據之保存。

十一、個人資料安全維護之整體持續改善。

第一項必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。

第十條  本法所稱當事人自行公開,係指當事人自行對不特定人或特定多數人為揭露。

本法所稱已合法公開之個人資料,指依法規公示、公告或以其他合法方式公開之個人資料。

第十一條  本法第七條所定書面意思表示之方式,如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。

第十二條  本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。

第十三條  依本法第八條、第九條及第五十四條所定告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。

第十四條  本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名或其他揭露方式,無從辨識該特定個人,或需費過鉅或耗時過久始能予以辨識者。

第十五條  當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。

第十六條  本法第十一條第三項所稱特定目的消失,指下列各款情形之一:

一、公務機關經裁撤或改組而無承受業務機關者。

二、非公務機關歇業、解散或所營事業營業項目變更而與原蒐集目的不符者。

三、特定目的已達成而無繼續利用之必要者。

四、其他事由足認該特定目的已無法達成或不存在者。

第十七條  有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:

一、有法令規定或契約約定之保存期限。

二、有理由足認刪除將侵害當事人值得保護之利益。

三、儲存方式特殊致不能刪除或耗費過鉅始能刪除。

四、其他不能刪除之正當事由。

第十八條  本法第十二條所稱適當方式通知,係指即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。

依本法第十二條通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。

第十九條  公務機關依本法第十七條規定為公開時,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。

本法第十七條所稱其他適當方式,指利用新聞紙、雜誌、政府公報、電子報或其他可供公眾查閱之方式為公開。

第二十條  公務機關保有個人資料檔案者,應訂定個人資料安全維護規定,其內容應包括第九條第二項所定事項。

第二十一條  本法第十八條所稱專人,指具有管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員。

公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。

第二十二條  本法第十九條第一項第二款所稱契約或類似契約之關係,不以本法修正施行後成立者為限。

第二十三條  本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:

一、非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。

二、契約因無效、撤銷、解除、終止或履行而消滅時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。

第二十四條  檢查機關依本法第二十二條規定實施檢查時,應注意保守秘密及被檢查者之名譽。

第二十五條  中央目的事業主管機關或直轄市、縣(市)政府依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。

中央目的事業主管機關或直轄市、縣()政府依本法第二十二條規定實施檢查後,應作成紀錄。

前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。

紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。

第二十六條  本法第五十二條所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第二十七條  本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得依本法有關個人資料保護之規定,繼續為處理及特定目的內之利用。其為特定目的外之利用者,應依本法修正施行後之規定為之。

第二十八條  本細則自發布日施行。

本細則修正條文施行日期,由行政院以命令定之。