# 個人資料保護法 ###### tags: `iPAS`, `資安`, `法規` - 筆記總表請參閱 [iPAS 資安法規及標準筆記](https://hackmd.io/@ywChen/H192F7VPC) [toc] ## 法源 - [個人資料保護法-全國法規資料庫](https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021) ## 個資權利 - 查詢或請求閱覽 - 請求製給複製本 - 請求補充或更正 - 請求停止蒐集、處理或利用 - 請求刪除 ### 權利細項 - 依當事人之請求查詢、提供閱覽或製給複製本 - 除外 - 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 - 妨害公務機關執行法定職務 - 妨害該蒐集機關或第三人之重大利益 - 公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之 - 正確性有爭議者應主動或依當事人之請求停止處理或利用 - 執行職務或業務所必須 or 經當事人書面同意 + 註明其爭議者除外 - 蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求刪除、停止處理或利用 - 違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求刪除、停止蒐集、處理或利用 - 可歸責於公務機關或非公務機關之事由未為更正或補充之個人資料，應於更正或補充後通知曾提供利用之對象 - 公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人 ### 特殊個資 - 病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用 - 除外 - 法律明文規定 - 執行、協助法定職務或履行法定義務必要範圍內，且事前或事後有適當安全維護措施 - 當事人自行公開或已合法公開 - 基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經去識別化 - 經當事人書面同意 ## 蒐集個人資料告知事項及除外 - 公務機關或非公務機關名稱 - 蒐集目的 - 個人資料類別 - 個人資料利用之期間、地區、對象及方式 - 當事人得行使之權利及方式 - 自由選擇提供個人資料時，不提供將對其權益之影響 ### 除外 - 依法律規定得免告知 - 公務機關執行法定職務或非公務機關履行法定義務所必要 - 告知將妨害公務機關執行法定職務 - 告知將妨害公共利益 - 當事人明知應告知之內容 - 蒐集非基於營利之目的，且對當事人顯無不利影響 - (非由當事人提供者) 當事人自行公開或已合法公開 - (非由當事人提供者) 不能向當事人或其法定代理人為告知 - (非由當事人提供者) 基於公共利益為統計或學術研究之目的而有必要，且經去識別化 - (非由當事人提供者) 基於新聞報導之公益目的 ## 公務機關對個人資料之蒐集、處理及利用 ### 對個人資料之蒐集或處理 - 有特定目的 - 應符合以下其一 - 執行法定職務必要範圍內 - 經當事人同意 - 對當事人權益無侵害 ### 對個人資料之利用 - 於執行法定職務必要範圍內 - 與蒐集特定目的相符 - 除外條件 - 法律明文規定 - 為維護國家安全或增進公共利益所必要 - 為免除當事人之生命、身體、自由或財產上之危險 - 為防止他人權益之重大危害 - 基於公共利益為統計或學術研究而有必要，且經去識別化 - 有利於當事人權益 - 經當事人同意 ### 應公開事項 - 個人資料檔案名稱 - 保有機關名稱及聯絡方式 - 個人資料檔案保有之依據及特定目的 - 個人資料之類別 ## 非公務機關對個人資料之蒐集、處理及利用 ### 對個人資料之蒐集或處理 - 有特定目的 - 應符合以下其一 - 法律明文規定 - 有契約或類似契約之關係，且已採取適當之安全措施 - 當事人自行公開或已合法公開 - 基於公共利益為統計或學術研究而有必要，且經去識別化 - 經當事人同意 - 為增進公共利益所必要 - 取自於一般可得之來源 - 對當事人權益無侵害 ### 對個人資料之利用 - 於蒐集之特定目的必要範圍內 - 除外條件 - 法律明文規定 - 為增進公共利益所必要 - 為免除當事人之生命、身體、自由或財產上之危險 - 為防止他人權益之重大危害 - 基於公共利益為統計或學術研究而有必要，且經去識別化 - 經當事人同意 - 有利於當事人權益 ### 為國際傳輸個人資料 - 限制條件 - 涉及國家重大利益 - 國際條約或協定有特別規定 - 接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞 - 以迂迴方法向第三國傳輸個人資料規避本法 ### 違法處分 - 禁止蒐集、處理或利用個人資料 - 命令刪除經處理之個人資料檔案 - 沒入或命銷燬違法蒐集之個人資料 - 公布非公務機關之違法情形，及其姓名或名稱與負責人 ## 損害賠償 - 每人每一事件新臺幣五百元以上二萬元以下 - 多數當事人權利受侵害之事件，合計最高總額以新臺幣二億元為限 - 超過新臺幣二億元者，以該所涉利益為限 ## 罰則 - 意圖為自己或第三人不法之利益或損害他人之利益蒐集、利用個資 - 五年以下有期徒刑 + 一百萬元以下罰金 - 意圖為自己或第三人不法之利益或損害他人之利益，非法變更、刪除或以其他非法方法致妨害個人資料檔案之正確 - 五年以下有期徒刑 or 拘役 or 一百萬元以下罰金 - 公務員 - 加重 1/2 - 非公務機關非法蒐集、利用、國際傳輸 - 五萬元以上五十萬元以下罰鍰 - 非公務機關未遵循個資權利、告知 - 二萬元以上二十萬元以下罰鍰 - 非公務機關資料外洩未處理 - 二萬元以上二百萬元以下罰鍰 or 十五萬元以上一千五百萬元以下罰鍰