序言
為保障自然人之人格尊嚴與私人領域不受侵犯,規範個人資料之蒐集、處理、利用及跨境傳輸,並促進資料合理運用與資訊自由流通,特制定本法。
第 1 條
本法旨在規範個人資料之蒐集、處理、利用,以防止資料侵害、促進資料合理運用,並平衡公共利益與個人隱私權。
第 2 條
本法之主管機關為內政部「旗津個人資料保護委員會」(Cijin Data Protection Authority,簡稱 CDPA)。自該會成立日起,本法所列屬中央部門、地方政府及其他機關之權責,改由 CDPA 管轄。
第 3 條
本法用語定義如下:
1. 個人資料:指可直接或間接識別自然人身份之資料,包括姓名、出生年月、性別、聯絡方式、身分證號、護照號、特徵、指紋、病歷、財務、犯罪紀錄、基因、社會活動等。
2. 個人資料檔案:指以系統建立,得以自動化方式或其他方式檢索之個人資料之集合。
3. 蒐集:指以任何方式取得個人資料。
4. 處理:包括記錄、儲存、編輯、檢索、刪除、輸出、連結等行為。
5. 利用:指處理以外之使用。
6. 跨境傳輸:指個人資料在境內外之處理或利用。
7. 公務機關:指依法行使公權力之中央或地方機關。
8. 非公務機關:除前款以外之自然人、法人或團體。
9. 當事人:指個人資料之本人。
第 4 條
依本法,當事人享有下列權利,任何機關或契約事先放棄或限制之約定,不生效力:
1. 查詢或請求閱覽。
2. 製給複製本。
3. 補充或更正。
4. 停止蒐集、處理或利用。
5. 刪除。
第 5 條
對公務機關與非公務機關,其蒐集、處理、利用個人資料,均適用本法。但下列情形不適用:
1.自然人僅為個人或家庭活動之目的。
2.在公開場所所蒐集之影音資料,未與其他個人資料結合者。
第 6 條
蒐集、處理或利用個人資料,應遵守誠實信用原則,不得逾越特定目的必要範圍,且應與該目的具有合理關聯性。
第 7 條
關於種族、健康、基因、性生活、犯罪紀錄、宗教、政治傾向等敏感性資料,一般不得蒐集、處理或利用。但在下列情況得例外:
1.法律明文規定者。
2. 公務機關為履行法定職務或非公務機關履行法定義務者,且採安全措施。
3. 當事人明確同意。
4. 為公共利益、研究統計等目的,且經資料去識別化處理。
第 8-1 條
蒐集個人資料時,蒐集者應向當事人明確告知下列事項:
1. 蒐集者名稱與聯絡方式。
2. 蒐集之目的。
3. 資料類別。
4. 利用期間、地區、對象與方式。
5. 當事人得行使之權利與方式。
6.若拒絕提供資料,對其權益之影響。
第 8-2 條
有下列情形者,可免告知:
1. 法律規定免告知。
2. 告知將妨害公務。
3. 當事人已明知內容。
4. 蒐集非營利且對當事人明顯無不利影響等。
第 9 條
若蒐集之資料並非由當事人直接提供,蒐集者應於處理或利用前告知其來源與第 8 條各款內容。但若有合理例外情形,可免告知。
第 10 條
當事人得向蒐集者請求查詢、閱覽或製給複製本。但如涉及國家安全、外交、重大利益、第三人權益、業務秘密等,得以拒絕或限定方式回覆。
第 11 條
當事人得請求蒐集者對其所蒐集之個人資料為更正或補充。若資料內容有爭議,得請求停止處理或利用。特定情況下,亦得請求刪除資料。蒐集者對於更正後之資料,應通知先前利用者。
第 12 條
蒐集者應採適當技術與管理措施,防止個人資料被竊、竄改、毀損、滅失或洩漏。若發生資料安全事件,應儘速查明原因,並通知受影響當事人、主管機關,並公開說明。
第 13 條
蒐集者應於收到查詢、閱覽或更正、刪除請求後,於合理期限(例如 30 日)內為答覆。若需延長,應以書面通知利害關係人並說明原因。
第 14 條
公務機關蒐集、處理個人資料,應有特定目的,並符合下列之一:
1. 法定職務必須。
2. 當事人同意。
3. 對當事人無不利益。
第 15 條
公務機關利用資料,應維持與蒐集目的之相符性。但若有法律明文、公共利益、緊急情況、研究統計等情形,得為特定目的外利用。
第 16 條
公務機關應將其所保有之個人資料檔案名稱、保有機關、聯絡方式、蒐集目的、資料種類等公開於網站或其他方式,供公眾查閱。
第 17 條
公務機關應指定專責單位或人員,負責個人資料之安全維護措施,以防止資料安全風險。
第 18 條
非公務機關蒐集、處理、利用個人資料,應符合特定目的必要範圍,並採適當安全措施。除了敏感性資料外,蒐集須基於下列情形之一:
1. 法律明文規定。
2. 與當事人有契約或類似契約關係,且為履行契約所必需。
3. 當事人同意。
4. 公共利益、研究統計等目的。
5. 資料自一般可得來源,且當事人未以正當理由禁止處理。
第 19 條
利用資料時,除在蒐集目的必要範圍內外,得有限度為下列利用:法律明文、公共利益、緊急情況、研究統計、當事人同意、對當事人有利等。
若為行銷、廣告性利用,應於首次利用時提供拒絕方式;當事人表示拒絕,應停止該利用。
第 20 條
非公務機關進行個人資料跨境傳輸時,若符合下列情形,主管機關得限制:
1. 涉及國家重大利益。
2. 跨境傳輸對象國家資料保護法制不完善。
3. 傳輸方式為迂迴方式繞過限制。
4. 傳輸可能侵害當事人權益。
5. 主管機關可制定跨境傳輸標準或指導原則。
第 21 條
主管機關得因資料安全、違規情形或例行檢查需要,派員檢查非公務機關資料處理行為,要求說明、提供證明文件、複製或扣留資料。檢查人員應負保密義務。
第 22 條
若非公務機關違反本法規定,主管機關得命其限期改正、刪除違法資料、沒入或銷燬。情節重大者,公告其違法情形與負責人姓名。
第 23 條
非公務機關應訂定資料安全計畫與業務終止後的資料處理方式,並採相當技術與管理措施,防止資料遭侵害。
第 24 條
公務機關若違反本法,使個人資料遭不法蒐集、處理、利用或其他侵害當事人權利,應負損害賠償責任。非因不可抗力者,不得免責。名譽受侵害者,得請求恢復名譽等適當處置。
第 25 條
非公務機關若違反本法,致資料權益受侵害,應負賠償責任;惟若能證明無故意或過失者,可不負責。
第 26 條
賠償請求權,自當事人知有損害與賠償義務人時起算,於兩年內消滅;自損害發生時起,逾五年者亦不得請求。
第 27 條
若因同一事由造成多數當事人權益受侵害,符合一定條件之法人或團體得以自己名義為當事人提起集體訴訟,主張損害賠償。
第 28 條
有下列情形之一者,得處以刑事罰:
1. 為非法利益或損害他人利益,違反關於蒐集、處理或利用之基本義務者。
2. 非法變更、刪除、竄改個人資料檔案者。
3. 公務員藉職務之便違法者,加重處罰。
第 29 條
非公務機關違反本法規定者,主管機關得處罰金、限期改正、禁止蒐集/處理、命令刪除或公布違法事實。負責人亦應負責。
第 30 條
本法若與他法有衝突,以較高保障個人權益之規定為優先適用。
第 31 條
本法對於在本土以外對旗津國民之個人資料進行蒐集、處理、利用者,若其行為影響旗津國民權益者,仍適用本法。
第 32 條
主管機關得制定施行細則、技術規範、解釋令或指導原則,以協助本法施行。