修正名稱

現行名稱

說明

個人資料保護法施行細則

電腦處理個人資料保護法施行細則

配合本法名稱之修正，將名稱修正為「個人資料保護法施行細則」。

修正條文

現行條文

說明

第一條  本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。

第一條  本細則依電腦處理個人資料保護法（以下簡稱本法）第四十四條規定訂定之。

配合本法名稱及條文之修正，酌作文字修正。

 本法所稱個人，指現生存之自然人。

第二條  本法所定個人，指生存之特定或得特定之自然人。

本法第二條第一款對於個人資料之定義，已修正為得以直接或間接方式識別該個人之資料，規範意義即為特定或得特定之自然人之個人資料，故刪除現行條文特定或得特定等文字；另本法立法目的之一為個人人格權之隱私權保護，唯有生存之自然人方有隱私權受侵害之恐懼情緒及個人對其個人資料之自主決定權，故增訂「現」字，以資明確。

第三條  本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

一、本條新增。

二、由於社會態樣複雜，某些資料雖未直接指名道姓，但一經揭露仍足以識別為某一特定人，因而本法第二條第一款個人資料之定義，已將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」，為明瞭間接方式識別之意義，爰為本條之規定。

三、至於是否得以直接或間接方式識別者，需從蒐集者本身個別加以判斷，原無一致性之標準，此宜於個案中加以審認，為權衡個人資料之保護與個人資料之合理利用，並避免滋生疑義，應依本法相關規定加以判斷。至於各公務或非公務機關如在適用本條規定要件上有明確之必要者，各公務機關或目的事業主管機關得斟酌訂定裁量基準，俾供所屬機關或所管行業遵循。

第四條  本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列之各款資料。

    本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。

    本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。

    本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。

    本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。

    本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。

一、本條新增。

二、為使本法第二條第一款之病歷與第六條第一項之醫療、基因、性生活及健康檢查等概念，有統整性說明與定義規定，以避免概念混淆，爰為本條規定。

三、關於病歷之定義，醫療法第六十七條第二項已有明文，本法第二條第一款所定病歷，自宜與醫療法上開規定為相同定義，爰為第一項規定。

四、醫師法第二十八條對於未具合法醫師資格，擅自執行醫療業務者，定有相關處罰規定，故行政院衛生署七四年四月二十六日衛署醫字第五二七四五四號函及同年八月三十日衛署醫字第五四八八一二號函，對醫療行為作成釋示，認為在一定目的下，所為綜合可產生療效之行為，均認定為醫療行為。因此，以醫療行為所產生之個人資料，則認屬醫療之個人資料，爰為第二項規定。

五、本法第二條第一款所稱之基因，參酌去氧核醣核酸採樣條例第三條規定，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息，爰為第三項規定。

六、本法第二條第一款所稱之性生活（sexual life），應屬有關極為敏感且容易引起偏見或足使個人人格遭受歧視之性生活個人資料，依本法第六條修正說明認為性生活包括性取向等相關事項，並參考澳洲一九九八年隱私權法第六條規定及二○○七年澳洲法律改革委員會之修法建議，將性生活界定為性取向（sexual orientation）及性慣行（sexual practices），爰為第四項規定。

七、本法第二條第一款所稱健康檢查亦屬醫療行為之一種，惟其與其他疾病診斷、治療之不同，在於係對於外觀健康之人，非以特定疾病之治療或診斷為主要目的，爰為第五項規定。

八、本法第二條第一款所稱之犯罪前科，除法院判決有罪確定之部分外，依刑事訴訟法第二百五十三條及第二百五十三條之一規定，亦包括檢察官參酌刑法第五十七條所列事項及公共利益之維護，認以不起訴或緩起訴為適當者，得為不起訴處分或緩起訴處分等有罪認定部分。此外，有關上開有罪判決或有罪認定之執行之紀錄，亦屬之，以保護當事人之個人資料隱私權益，爰為第六項規定。

第三條  本法第三條第二款所稱電磁紀錄物或其他類似媒體，指錄製、記載有電磁紀錄之有體物，包括磁碟、磁帶、光碟、磁泡紀錄體、磁鼓及其他材質而具有儲存電磁紀錄之能力者。

      前項所稱電磁紀錄，指以電子、磁性或其他無法以人知覺直接認識之方式所製作之紀錄，而供電腦處理之用者。

一、本條刪除。

二、為配合本法修正第二條第二款關於「個人資料檔案」之定義，已將電磁紀錄物或其他類似媒體等文字刪除，本條已無為定義性規定之必要，爰予刪除。

第五條  本法第二條第二款所定個人資料檔案，包括備份檔案。

第四條  本法第三條第二款所定個人資料檔案，包括備份檔案。

一、條次變更。

二、配合本法條次變更，酌作文字修正。

第六條  本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。

本法第二條第四款所稱內部傳送，指公務機關或非公務機關本身內部之資料傳送。

第十條  本法第四條第五款所稱刪除，指依本法第十三條第三項規定，使已儲存之個人資料自個人資料檔案中消失而不復存在。

一、條次變更。

二、第一項刪除之定義除配合本法條次變更，酌作文字修正外，並以刪除係指使已儲存之個人資料自個人資料檔案中消失。而刪除行為之認定，應視刪除當時科技水準及技術，參酌適用主體之組織型態，使用一般社會通念之標準，所為使個人資料消失之行為，以作為參考標準，尚無需達「不復存在」之標準，始謂符合本法所稱之「刪除」，爰刪除現行條文所定「而不復存在」文字。

三、增訂第二項，明定內部傳送係指公務機關或非公務機關內部之資料傳送，例如公務機關內部各單位間之資料傳送（不包括上級機關傳送個人資料予下級機關），或者法人或團體或自然人之內部資料傳送。

第五條  本法第三條第三款所稱自動化機器，指具有類似電腦功能，而能接受指令、程式或其他指示自動進行事件處理之機器。

一、本條刪除。

二、本法不區分是否用自動化機器處理之個人資料，均適用相同之規定及法律效果，是本條已無規定之必要，爰予刪除。

第六條  本法第三條第五款所稱第三人，指保有個人資料檔案之公務機關或非公務機關以外之自然人、法人或其他團體。但不包括受委託處理資料之團體或個人。

一、本條刪除。

二、本法第二條第五款規定，已刪除修正前第三條第五款所定第三人等文字，本條已無規定之必要，爰予刪除。

第七條  本法第三條第七款第三目所稱事業、團體或個人，指其以電腦處理大量之個人資料，足以影響當事人之權益，而有規範之必要者。

一、本條刪除。

二、配合本法放寬規範主體之修正意旨，本法第二條第八款已修正刪除原第三條第七款第三目，本條已無規定之必要，爰予刪除。

第八條  當事人向公務機關行使本法第四條所定之權利，其程序由公務機關定之。

      當事人向非公務機關行使本法第四條所定之權利，其程序由其中央目的事業主管機關定之。

一、本條刪除。

二、有關公務機關對於當事人行使依本法第三條（原第四條）所定之權利，相關執行方式等細節，本得以行政規則訂定之(例如公務機關個人資料保護要點等)，為免重複，第一項規定爰予刪除。

三、有關非公務機關對於當事人行使依本法第三條所定之權利，為保持程序彈性並因應各行業特性，相關程序可納入本法第二十七條第三項個人資料檔案安全維護計畫及業務終止後個人資料處理方法之標準等相關事項辦法，或於消費者保護法第十七條定型化契約應記載或不得記載之事項中規範，第二項規定爰予刪除。

第九條  當事人行使本法第四條第一款及第二款所定權利時，其個人資料以自個人資料檔案中列印者為限。

一、本條刪除。

二、鑒於本法保護客體不再限於經電腦處理之個人資料，本法第二條第二款個人資料檔案，包括其他非自動化方式檢索、整理之個人資料之集合，故本條已無規定之必要，爰予刪除。

第七條  受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

第十一條  受公務機關或非公務機關委託電腦處理資料之團體或個人，應依本法規定處理個人資料。

      前項情形，當事人行使本法之權利，應向委託機關為之。

一、條次變更。

二、配合本法第四條，將受委託行為除個人資料之處理外，並包括蒐集及利用行為，爰修正第一項，並酌作文字修正。

三、受委託蒐集、處理或利用個人資料之法人、團體或自然人，依本法第四條規定，於本法適用範圍內視同委託機關，惟當事人行使依本法之相關權利，究應向委託人或受託人為之，允宜視個案狀況處理，未必以委託機關為唯一對象，爰刪除現行條文第二項規定。

第八條  委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。

前項監督至少應包含下列事項：

  一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

  二、受託者就第十二條第二項採取之措施。

  三、有複委託者，其約定之受託者。

  四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。

  五、委託機關如對受託者有保留指示者，其保留指示之事項。

  六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。

      第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。

      受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

一、本條新增。

二、由於本法第四條規定，受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。為釐清公務機關或非公務機關與其受託人之責任歸屬，參考日本個人資料保護法第二十二條規定，明定委託機關應對受託者採取適當之監督，以確保委託處理個人資料之安全管理，爰為第一項規定。

三、又為使委託機關與受託者之責任判斷有明確依據，乃參考德國聯邦個人資料保護法第十一條第二項規定，明定委託機關之監督事項，以便委託機關善盡其選任及監督義務，爰為第二項規定。

四、委託機關應定期確認受託者執行個人資料保護措施之狀況，委託機關並應將確認結果予以記錄，乃參考德國聯邦個人資料保護法第十一條第二項規定，為第三項規定；又該紀錄應妥予保存，以為舉證之便，至於應保存之期限，因涉及行業特性、個人資料屬性及蒐集者內部資源分配與自負舉證程度而有不同，無法統一規範，從而各目的事業主管機關可依所管行業或團體之性質，審酌於相關主管法規中加以訂定，或由該行業或團體以自律規範為之，或由蒐集者依其內部資源加以決定。

五、另於第四項明定受託者受託處理個人資料之範圍及委託機關之指示違反本法、其他法律或其法規命令涉有個人料保護之規定者，受託者應立即通知委託機關之規定。

第九條  本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律，指法律或法律具體明確授權之法規命令。

一、本條新增。

二、關於本法中所定「法律」是否包括法規命令，宜予明文，以杜爭議，爰於本條明定本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律，係指法律或法律具體明確授權之法規命令。

第十條  本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務，指於下列法規中所定公務機關之職務：

一、法律、法律授權之命令。

二、自治條例。

三、法律或自治條例授權之自治規則。

四、法律或中央法規授權之委辦規則。

一、本條新增。

二、關於本法中所定「法定職務」之「法定」，是否包括法規命令之規定，宜予明文，以杜爭議，爰定明本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務，係指法律、法律授權之命令(除依法律具體或概括授權之法規命令外，依法律授權之處務規程或辦事細則亦屬之）、自治條例、法律或自治條例授權之自治規則（除依法律或自治條例具體或概括授權之自治法規外，依法律或自治條例授權之組織規程亦屬之）、法律或中央法規授權之委辦規則所定公務機關之職務。

三、又蒐集個人資料涉及當事人權益甚鉅，不得僅以行政規則作為法定職掌之依據，以符合法律保留原則。是以，未涉及公共利益或實現人民基本權利之保障等重大事項之給付行政措施，其受法律規範之密度，雖較限制人民權益者寬鬆，而得以行政規則定之（司法院釋字第四四三號及六一四號解釋意旨參照），惟機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據，併予敘明。

第十一條  本法第六條第一項第二款、第八條第二項第二款所稱法定義務，指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

一、本條新增。

二、關於本法中所定「法定義務」之「法定」，是否包括法規命令之規定，宜予明文，以杜爭議，爰明定本法第六條第一項第二款、第八條第二項第二款所稱法定義務，係指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第十二條  本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。

     前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：

  一、配置管理之人員及相當資源。

二、界定個人資料之範圍。

三、個人資料之風險評估及管理機制。

四、事故之預防、通報及應變機制。

五、個人資料蒐集、處理及利用之內部管理程序。

六、資料安全管理及人員管理。

七、認知宣導及教育訓練。

八、設備安全管理。

九、資料安全稽核機制。

十、使用紀錄、軌跡資料及證據保存。

十一、個人資料安全維護之整體持續改善。

一、本條新增。

二、本法所稱適當安全維護措施、安全維護事項、適當之安全措施，參考德國聯邦個人資料保護法第九條規定，應係指技術上及組織上之措施，爰為第一項規定。

三、為確保個人資料檔案之合法且正當蒐集、處理或利用，辦理安全維護之適當措施內容宜予規範，爰為第二項規定。其目的為與國際接軌，乃以P-D-C-A方法論予以建立，使各企業得參考所列之十一款內容，考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上與組織上之措施。

第十三條  本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料，指當事人自行對不特定人或特定多數人揭露其個人資料。

    本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料，指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

第三十二條  本法第十八條第二款所稱類似契約之關係，指左列情形之一者：

  一、非公務機關與當事人間於契約成立前，為訂定契約或進行交易為目的，所為接觸，磋商所形成之信賴關係。

  二、契約因無效、撤銷、解除、終止或履行而消滅時，非公務機關與當事人為行使權利，履行義務或確保個人資料完整性之目的所形成之連繫關係。

      本法第十八條第三款所稱已公開之資料，指不特定之第三人得合法取得或知悉之個人資料。

一、條次變更。

二、現行第一項已移列修正條文第二十七條規範，爰予刪除。現行第二項則修正分列為二項規範。

三、參酌司法院釋字第六○三號解釋意旨，基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基本權利，而受憲法第二十二條所保障。就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權，乃明確當事人自行公開之方式。又參酌司法院釋字第一四五號解釋意旨，所謂多數人，係包括特定之多數人在內。至於特定多數人之計算，自應視其相關法規之立法意旨及實際情形已否達於公開之程度而定，爰為第一項規定。

四、本法規定已合法公開之個人資料，係指該個人資料乃依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式（例如置於閱覽室供人閱覽）公開者，爰為第二項規定。

第十四條  本法第七條所定書面意思表示之方式，依電子簽章法之規定，得以電子文件為之。

一、本條新增。

二、本法第七條所定書面意思表示之方式，包括無實體存在界面之意思表示方式，以目前對於以電子文件之方式表示意思者，僅有電子簽章法之規範，爰規定上開意思表示依電子簽章法之規定，得以電子文件為之，以解決實務上當事人利用網際網路及資訊通信設備所為同意之意思表示。

第十五條  本法第七條第二項所定單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

一、本條新增。

二、本法第七條第二項所定之書面同意，乃當事人同意資料蒐集者，將其個人資料作與蒐集目的不同之其他目的使用，因不符原先蒐集資料之特定目的，該書面同意自應特別審慎，故明文規範須為單獨所為之書面意思表示。因此，該意思表示如與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容後並確認將其個人資料作與蒐集目的不同之其他目的使用之同意，以避免當事人疏忽而為概括同意，爰為本條規定。

三、又使當事人得以知悉之內容，依本法第七條第二項規定，係指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響。

第十六條  依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

一、本條新增。

二、個人資料之蒐集，事涉當事人之隱私權益。為使當事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等，本法規定告知義務，俾使當事人能知悉其個人資料