推薦序

前言

第一章　認識個資法

Q1 「隱私」與「個人資料」是不是相同的概念？

Q2 個資法會不會溯及既往？

Q3 個資法修正歷程重點為何？

第二章　何謂個人資料

壹、個人資料基本概念

Q1 何謂個人資料？

Q2 哪些人的資料是個人資料？

Q3 哪些資訊可以被認為是個人資料？

Q4 「就業服務法」第5條所謂隱私資料是否受個資法所保護？

Q5 有無不適用個資法之個人資料？

Q6 已經去識別化的資料是否仍有個資法之適用？

Q7 何謂個人資料檔案？

貳、特種個人資料

Q1 何謂特種個人資料？

Q2 特種個人資料之六類資料分別規定為何？

第三章　誰該遵守個資法

壹、個資法適用對象

Q1 個資法跟我有關係嗎？我需要遵守個資法嗎？

Q2 個資法規範下，公務機關與非公務機關有何差別？

貳、區分公務機關與非公務機關

Q1 學校是「公務機關」還是「非公務機關」？

Q2 醫院是「公務機關」還是「非公務機關」？

Q3 國營事業是「公務機關」還是「非公務機關」？

參、我國個資法的地域效力

Q1 在國外蒐集、處理、利用之機關是否適用於個資法？

Q2 我國人民於外國電子商務網站上購物消費，使該外國公司有蒐集、處理及傳輸我國人民個人資料事實時，我國個資法規範應如何適用？

Q3 中國最大的叫車平台「DiDi—滴滴出行」，曾於2018年進入臺灣市場，一般民眾需要安裝及註冊後始得使用該APP。請問：對於非屬於我國企業蒐集我國人民之個人資料，並由境外的香港伺服器儲存乘客及司機資料，應注意及遵守我國個資法哪些規範？

第四章　個資法的核心行為規範

壹、蒐集、處理與利用

Q1 個資法上的蒐集係指何種行為？

Q2 個資法上的處理與利用應如何區分？

Q3 公務機關如何合法地蒐集、處理與利用個人資料？

Q4 非公務機關如何合法蒐集、處理與利用個人資料？

貳、對當事人告知

Q1 個資法上的告知義務規範為何？

Q2 什麼情況下可以免除告知義務？

參、同意

Q1 個資法上的「同意」內涵為何？

Q2 書面同意之相關規定為何？

肆、目的外利用

Q1 個人資料可否於蒐集的特定目的以外為利用？

Q2 使用個人資料行銷時應注意哪些事項？

伍、對特種個人資料的蒐集、處理與利用

Q1 個資法對特種個人資料的蒐集、處理與利用上有何特殊限制？

Q2 將含有特種個人資料之法院判決張貼於公開地點是否違反個資法？

Q3 販賣殘留個人基因的物品有無違反個資法？

第五章　個人資料委外

Q1 個資法第4條中受託者「視同」委託機關應如何解釋？

Q2 委託機關對於受託者的監督義務該包含什麼事項？

Q3 受託者的義務為何？

第六章　國際傳輸

壹、我國規範

Q1 個人資料國際傳輸的定義為何？我國個資法對此有何規定與限制？

Q2 我國企業應如何進行國際傳輸？

貳、國際重要相關立法

Q1 國際上對於個人資料的國際傳輸採取什麼樣的態度呢？

Q2 目前其他國家對於國際傳輸的管制，大概採取什麼樣的作法呢？

第七章　當事人權利維護

Q1 個資法提供了什麼權利給個人資料當事人？

Q2 當事人權利可否由他人代為行使？

Q3 當事人權利行使的對象是誰？

Q4 當事人行使權利時，公務機關或非公務機關應注意哪些事項？

Q5 個人資料之查詢、閱覽、製給複製本有哪些重點？

Q6 何謂個人資料正確性？誰負擔資料正確之義務？如何才能維護資料之正確性？

Q7 個人資料之補充、更正有哪些重點？

Q8 個人資料停止蒐集、處理、利用或刪除有哪些重點？

Q9 應以何種方式刪除個人資料？

第八章　個人資料安全管理法定事項

Q1 完整的個人資料安全維護架構為何？又應該要做到什麼標準才算合法？

Q2 如何界定個人資料的範圍？

Q3 如何進行個人資料之風險評估及設計對應之管理機制？

Q4 如何將個人資料管理程序落實於日常業務中？

Q5 不幸發生個人資料事故時，應如何處理？

Q6 如何進行認知宣導或教育訓練？

Q7 為何要保存使用紀錄、軌跡資料及證據？

Q8 實務上常見事故態樣有哪些？有無預防事故之方法？

第九章　個資法上各種違法責任

壹、民事責任、行政責任、刑事責任之差別

貳、行政檢查與行政罰

Q1 非公務機關違反個資法，會受到行政裁罰嗎？

Q2 非公務機關違反個資法，代表人、管理人也會受到行政裁罰嗎？

Q3 除了行政罰鍰，非公務機關違反個資法，還可能被裁處其他行政處分嗎？

Q4 前述罰鍰、處分的裁罰機關是法務部嗎？我國個資法的主管機關是法務部嗎？

Q5 什麼是行政檢查？誰可以執行行政檢查？可以拒絕行政檢查嗎？

Q6 行政檢查發動的要件與內容為何？

Q7 行政檢查時會發生什麼事？有什麼救濟管道？

參、民事責任與團體訴訟

Q1 公務機關違反個資法會有民事責任嗎？

Q2 非公務機關違反個資法會有民事責任嗎？

Q3 若自己的權利被侵害，能請求什麼賠償嗎？請求賠償需要證明實際損失嗎？

Q4 若無法自己提告，還能請求賠償嗎？

Q5 由財團法人或公益社團法人代為訴訟，會影響賠償金額嗎？

肆、刑事責任

Q1 誰會因為違反個資法而有刑事責任？事由為何？責任多重？

Q2 被害者該如何主張權利？

第十章　個人資料保護國際概況掃描

壹、澳大利亞（澳洲）

Q1 澳洲的個人資料保護／隱私規範的發展與特色為何？

Q2 澳洲「聯邦隱私法」所規範之義務與權利為何？

貳、日本

Q1 日本為我國國人經常旅遊之地，請問日本關於個人資料保護，其法律的制度為何？

Q2 設置於歐盟境內設有據點之日本企業，蒐集歐盟人民的個資欲跨境傳輸回日本總公司處理時，應適用歐盟GDPR，抑或適用日本個資法為妥？

參、馬來西亞

Q1 新南向政策下，我國與東協（ASEAN）諸國來往日益密切，馬來西亞為東協大國，占主導地位，其個人資料保護法制發展、架構與重點規範為何？

Q2 馬來西亞個資法所規範之義務與權利為何？

肆、新加坡

Q1 新加坡為東協成員，又是亞洲四小龍之一，作為都市國家的典範，其法制常作為我國借鏡，其個資保護法制之發展架構為何？

Q2 新加坡個人資料保護法制與我國相比有何特色？

伍、美國

Q1 美國晚近較為重要的立法即為加州「消費者隱私法」，其內容為何？

Q2 美國隱私立法以州層級為主，但聯邦卻少見地針對兒童隱私保護議題制定相關法律，其規範特色有何值得我國參考之處？

第十一章　 臺灣個人資料保護與管理制度（TPIPAS）

Q1 何謂臺灣個人資料保護與管理制度（TPIPAS）？

Q2 TPIPAS是否一定要全機關、全範圍驗證？

Q3 通過TPIPAS驗證或特定範圍檢視對機關有什麼助益？

附錄

一　個人資料保護法

二　個人資料保護法施行細則

三　個人資料保護法非公務機關之中央目的事業主管機關列表

四　各中央目的事業主管機關發布之「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」等相關事項之辦法一覽表（依發布機關分類）

五　公開資源與其他資訊

Q2 哪些人的資料是個人資料？

「個人資料」是與人有關的一切資料，凡可以直接或間接連結到特定人的資料，都是個資法所定義的個人資料。但是，究竟什麼樣的人才是個資法中所指的「人」？

在個資法中，只有「自然人」的個人資料是受到保護的。所謂「自然人」即是法律賦予權利以及負擔義務之個人。依據個資法施行細則第2條規定，所謂的自然人就是現生存的個人。「民法」第6條規定人之權利「始於出生，終於死亡」。因此，死亡之後的人不是法律上所稱之人。換句話說，個資法之立法目的之一即在保護屬於人格權之隱私權，而僅就有生命之自然人才會因為隱私權受侵害因而感到恐懼（法務部94年5月17日法律字第0940017828號函釋參照）。因此已死亡之個人，其個人資料不受個資法所保護。例如：一般人想瞭解特定歷史人物的生平事蹟，無可避免地會蒐集到該人物的個人資料，但因該歷史人物非生存之自然人，其個人資料即不受個資法保護。

個資法小法典

個資法施行細則第2條

本法所稱個人，指現生存之自然人。

另外，法律上所說的人除自然人外，還包括法人。法人是指法律上具有人格的組織，如公司或財團法人，它們就像自然人一樣享有法律上的權利與義務，換言之，法人就是自然人以外，具有權利能力的社會組織。簡單來說，法人並非「人」，而是一個「團體」的代稱。在法律上，將法人當作是人，讓它可以和自然人一樣，從事買賣或是其他相關法律行為，負擔一定的責任，享受一定的權利。然而，由於個資法是以個人人格、隱私等專屬於自然人之權利為出發點，因此法人的資料在個資法中並不受到保護。舉例來說，財團法人資訊工業策進會，所在地是台北市大安區××路××號，這些資料的內容並不受到個資法所保護。不過，法人所擁有的資料，例如經營資訊相關的廠商名冊等，其權利仍可能可以透過其他法律，例如「營業秘密法」加以保障。

至於法人負責人或董監事姓名，由於係依「公司法」第393條必須向經濟部登記的資料，且可於經濟部網站上查閱，非屬不公開資訊，因此亦不屬於個資法所保障的個人資料（臺灣桃園地方法院108年度訴字第188號刑事判決參照）。

Q3 哪些資訊可以被認為是個人資料？

個人資料的種類，在個資法第2條第1款明文列舉十九種，包含：姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

除此之外，個資法針對個人資料還有一個概括的定義，即「其他得以直接或間接方式識別」之個人資料，將個人資料的範圍擴大。由此可知，個資法儘可能將與「人」有關的資料通通納入規範。從姓名、國民身分證統一編號等直接可以與個人相連結之資料，乃至財務情況、社會活動等與人的作為相關聯之資料，甚或是其他得以直接或間接方式識別該個人之資料都包括在個人資料的範疇內。

所謂「得以直接識別」之個人資料，本身必定具有高度辨識性，可以直接指涉到個人，如上述所舉之姓名、國民身分證統一編號等等均屬之。由於這些個人資料具有直接識別的特性，一旦發生問題易使當事人之隱私或生命、身體、財產安全遭受侵犯，因此保護此種個人資料符合個資法之目的，所以「得以直接識別」之個人資料當然屬於個資法中應受保護之資料。

然而，因為社會態樣複雜，有些資料未必可以直接辨識為某個特定個人，但依據個資法施行細則第3條規定，只要依據蒐集者所持有之其他資料互相對照、組合後連結到某特定個人時，也有可能使當事人上述權利遭到侵犯，因此這種資料也會被認為是個資法當中所定義的個人資料。這種需要與其他資料對照組合，進而連結到特定當事人的個人資料，就是所謂的「得以間接識別」的個人資料。「得以間接識別」之個人資料，有什麼樣具體的例子可以想像呢？以特徵為例，某人在公車上、是男性（性別）、打有領帶（特徵）、戴有眼鏡（特徵）且坐在駕駛座上（特徵），以上各個資料獨立時並無法確認到底是誰，但將上述資料結合起來後，就可以確認到底所指稱的對象為何人。這些資料就是個資法所指之「得以間接識別」的個人資料。又例如電話或地址等資訊，如果結合姓名，也就是電話或住址的所有人時，此時，這些資料之結合可以連結到特定人，因此像是電話或是住址就是「得以間接識別」之個人資料。由於這種「得以間接識別」之個人資料一經揭露仍可以識別當事人是誰，對個人隱私會造成衝擊。所以，個資法也保護了「得以間接識別」之個人資料。

個資法小法典

個資法施行細則第3條

本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

關於「其他得以直接或間接方式識別該個人之資料」實務上有哪一些情況呢？就以下面這些例子來作討論。

例如：線上遊戲是現在很多人的休閒活動，玩家通常會以ID註冊並使用暱稱在虛擬世界裡行動。ID與暱稱可代表玩家本人，那麼，線上遊戲的「暱稱」跟「ID」到底是不是個人資料？從個資法的角度加以觀察，所謂「得以間接方式識別」之個人資料是用來補強「得以直接方式識別」的不足。而當要判斷該個人資料是不是屬於個資法所保護之「得以間接方式識別」之個人資料，必須判斷這個個人資料是不是可藉由蒐集者所保有之其他資料互相對照、組合、連結然後指涉到某個特定的人。因此，線上遊戲的「暱稱」跟「ID」雖然可能無法直接識別出特定的人，但是透過其他的方式（例如：遊戲公司的資料庫內有ID或暱稱使用者的真實姓名），可把「暱稱」或「ID」的持有者加以結合得出特定個人時，該「暱稱」跟「ID」就會是個資法所稱的個人資料。

又例如：目前行車紀錄器也是大部分汽、機車駕駛會安裝於車上以確保發生行車事故或糾紛時，作為保留證據之工具，對於行車紀錄器所拍攝下之影像，有時會將車牌清晰紀錄，雖然單就車牌號碼可能無法識別特定當事人（得使用監理系統查對者不在此限），但如果網路上之鄉民透過人肉搜索，將車主的相關資料（如姓名、地址、照片等）一併公布於網路上，因資料的結合而得以辨識特定當事人，該「車牌」與「相關資料」也會是個資法之個人資料，而需受到法律規範。

小提醒

由於間接識別之資料需要透過連結方能識別，因此通常都需要透過與直接識別之資料（如姓名、身分證字號等）結合，所以直接識別之資料之保護相形之下更為重要。

必知！一定要懂的個資法，讓您面對個資不觸法！

藉由Q&A清楚明白組織和個人在個資法中扮演的角色！

透過淺顯易懂的說明，搞懂個資法輕而易舉！

˙「隱私」與「個人資料」是不是相同的概念？

˙「公務機關」與「非公務機關」該如何區別？

˙個資法的核心行為規範有哪些？

˙個人資料跨境傳输有何規定與限制？

˙我國企業應如何進行國際傳輸？

˙個資法提供了什麼權利給個人資料的當事人？

˙違反個資法除了賠償之外，會有刑事責任嗎？

我國「個人資料保護法」係以「人格隱私權」概念中之「個人資料保障」為出發點，規範個人資料之蒐集、處理、合理利用、告知義務等程序事項；以及個人資料之當事人權利維護等實體事項。本書以我國「個人資料保護法」之整體架構為脈絡，因應「個人資料保護法」最新修正條文，更新《個資保護1.0》相關法規內容說明，並新增個資保護國際概況掃描以及臺灣個人資料保護與管理制度（TPIPAS）章節，透過深入淺出的內容說明個人資料保護與管理，搭配相關函釋及案例說明，使國內個人資料保護工作者更快速、清楚認識如何維護權益及遵循法律。

財團法人資訊工業策進會科技法律研究所

為明日科技鋪軌，替未來趨勢導航，科技的奔馳，需要優質法制環境之營造。1989年，資訊工業策進會在資訊市場情報中心之下，正式編制「資訊法律研究小組」，協助資訊產業掌握全球脈動，追求卓越的國際競爭力。1996年，在經濟部科技專案支持之下，研究團隊轉型成為獨立編制的「科技法律中心」（Science & Technology Law Center），並於2011年起更名為「科技法律研究所」（Science & Technology Law Institute），以承先啟後開拓創新之精神在瞬息萬變的科技洪流中，引領科技產業走向另一波高峰。

承諾與執著：

自誕生之日起，科技法律研究所即肩負科技及產業政策法制智庫、產業共通性法律制度推手的重責大任。面對資訊化、科技化及全球化的強勢挑戰，本所堅持以精深的法律專業提供務實的解決方案，除了提供本會所需之法律事務服務外，多年來更是持續協助政府打造優質的科技與新興產業發展法制環境，引領我國接軌國際、布局全球。

為將法制策略能力轉化為影響世界版圖的嶄新行動，未來本所規劃延伸專業觸角，擴大國際交流與合作的範圍，承諾讓本所不僅成為科技與法律的匯集點，更要成為促進臺灣與世界連結的標竿型研究重鎮。

願景與目標：

科技法律研究所的成長，一如我國科技與新興產業法制環境建構的軌跡，從無到有、備極艱辛。然而，在奠定架構的過程中，本所的優質團隊始終秉持著創新、關懷、實踐的信念，在時空推移間，用心關注與擘畫科技與新興產業法制的每一步進程。

一路走來，紮實的耕耘促使本所研究範圍簇集於科技與產業發展、科技研發體系、技術移轉、智慧財產權、資通訊、資訊安全、電子商務、永續能源、新興科技、文化創意等核心議題，並擴及至國際經貿與競爭秩序等外延領域。本所不僅洞見全球法制變動趨勢，並掌握產業脈動，引領臺灣科技走向全世界。

展望未來，本所將持續致力深化及拓展團隊整體的研究能量與專業能力，並且積極尋求與國際重要法制同步接軌。

成為大中華區最頂尖的科技法律政策與制度推動者，是我們堅定不移的目標。

序

「這是一個最好的時代，這是一個最壞的時代；這是一個智慧的年代，這是一個愚蠢的年代；這是一個光明的季節，這是一個黑暗的季節；這是希望之春，這是失望之冬；人們面前應有盡有，人們面前一無所有；人們正踏上天堂之路，人們正走向地獄之門。」

借用狄更斯《雙城記》的開頭名言正好足以道盡，當前新興科技發展與應用面臨隱私議題與個人資料保護的處境。人類發展隨著數次產業革命的蛻變，近代在資通訊科技的長足發展，資料運算能力的提升一直是最為關鍵的進展之一。如今傳輸能力逐步走入5G環境的布建，加以人工智慧在各種情境的應用發展，諸如醫療、製造、資服、零售等等領域，不僅持續改變人類生活的步調與模式，也改變著產業看待資料的方式，使得企業導入數位轉型，以及資料經濟的發展成為最熱門的課題。

事實上，這也頻頻突顯出國內產業結構面對個人資料保護與保護成本之衡平，以及產業如何有效利用資料的問題。然而，個人資料保護與產業利用之間並非絕對性的衝突，當個人對個人資料的保護意識抬頭，唯有合法且妥善管理的個人資料，才是人工智慧等技術發展所需要的大量且高品質之資料，更是數位轉型、資料經濟的堅強基石。同時，當國際趨勢發展無論是歐盟「一般資料保護規則」（GDPR），抑或是亞太經合組織（APEC）所推動的「跨境隱私保護規則」（CBPR），都不斷在數位經濟發展議題下，強調資料傳輸跨境保護議題的重要性。換言之，我國醫療、製造、資服、零售等等領域的數位轉型發展，都無法輕忽個人資料保護的重要性。

我國「個人資料保護法」最新修正條文於2016年3月15日施行，隨著數年間實務上的持續運作，國內個人資料相關法律實務已有相當發展。然而，面臨著國際間近年來，諸如歐盟GDPR在2018年正式生效的最新發展，仍然存在力有未逮之處。在我國政府奮力加入APEC CBPR，及推動歐盟GDPR之適足性認定的當前，對於國內個人資料保護及環境的未來發展，有必要重新仔細的強化對現行法令的瞭解。為此，在各界的呼籲下，資策會科法所針對「個人資料保護法」的基礎入門書重新編輯改版，盼求可符合各界對個人資料保護基礎入門的需求。

本書以我國「個人資料保護法」之整體架構為脈絡，因應「個人資料保護法」最新修正條文，更新《個資保護1.0》相關法規內容說明，並新增個人資料保護國際概況掃描及臺灣個人資料保護與管理制度（TPIPAS）章節，透過深入淺出的內容說明個人資料保護與管理，搭配相關函釋及案例分析，使國內個人資料保護工作者更快速、清楚認識如何維護權益及遵循法律。期盼本書能拋磚引玉，吸引更多專業人士投入個人資料保護工作行列，也希望各界先進不吝指正，以使本書更臻完善。