現行個資法暨施行細則規定對商工行政資訊之衝擊及因應

現行個資法暨施行細則規定對商工行政資訊之衝擊及因應

國巨律師事務所朱瑞陽律師[email protected]

國巨律師事務所，限經濟部 101 年度商工策略會議使用

前言－－層出不窮的個資外洩事件

個人隱私資料隨時隨地都在被蒐集

公司董監事

公司設立登記

教育程度及經歷經理人消極資格事項

工商憑證申請聯絡人

4國巨律師事務所，限經濟部 101 年度

商工策略會議使用

商業登記資料公司負責人徵信資料

資訊外洩管道

遭駭客入侵系統遭駭客入侵系統內部人員外洩內部人員外洩

委外廠商未盡保密義務或作業疏失委外廠商未盡保密義務或作業疏失

內控程序疏失導致資料外洩內控程序疏失導致資料外洩

遭惡意軟體破壞遭惡意軟體破壞資安外洩


5

某博物館三月二十二日發送電子報時，不慎把約五千筆訂戶的電子郵件信箱資訊，放在電子報內容中發送出去，訂戶收到連忙向館方抗議，擔心被有心人士刻意收集 email 名單來販售或散發垃圾病毒郵件。該館長坦承是承辦人員疏失，未依照電子報發送流程，先填寫電子報內容、主旨後，再輸入訂戶電子郵件的規定，反而將約五千筆訂戶電子郵件鍵入電子報內容中，直接發送出去，除接獲訂戶電話反映，第一時間發現也趕緊停止發送。爆料民眾另指因電子報訂戶多是高社經地位，這批電子郵件的購買行情一筆名單值一元，代傳廣告信一封也有零點五元，屬市場搶手貨！網路行銷業者則表示，目前五十萬筆電子郵件信箱值三萬五千元，「五千筆約兩、三百元，筆數不夠多，願意買的恐怕有限！」業者並強調：「有身分證字號的比較值錢，一筆有五元行情。」

( 台灣時報， 2012/3/25)

內控疏失：博物館電子報會員名單全都露


• 某市公所在今年元旦舉行「越野賽及第四屆市長盃路跑賽」，卻被參賽者爆料，市公所將參賽者的電話、住址、出生年月日等個人資料，直接公布在市公所官網上

• 林小姐表示，今年元旦時她參加這個路跑活動，賽前瀏覽市公所官網查閱參賽者名單，欲了解各組參賽人數，沒想到名單上不僅是有參賽者姓名，連個人的電話、住址、出生年月日都直接公布在官網上，他痛批：「直接洩漏參賽者個資，我真的很生氣！」

• 市公所民政課表示，因當時作業時間倉促，疏失造成民眾的資料被刊登在網路上，經民眾反映後已緊急將名單撤除，承諾會檢討改進。

( 蘋果日報， 2012/2/26)


內控疏失：公所辦路跑個資全 po 網

台北縣八里鄉台 15線西濱快速道路 14 公里處，前天下午 3 時許，出現至少千張以上、 A4大小的文件紙張隨風漫天飛舞，不僅飄落在地上，不少還飛到路面外，掉落在下方涵洞中，發現個資散落的「藍色公路」咖啡館黃老闆表示，當時曾目擊壯觀景象，「真的很多呢！有千張以上在空中亂飛，我店門前就看得見。」黃老闆指出，他撿起一些紙張仔細看，才發現這些是前○○○局申請開戶、晶片金融卡、及信用卡往來文件，資料年度從 1998 年至 2006 年不等，「看見單據上有姓名、聯絡電話、身分證號、印鑑、帳戶相關重要資料，真的嚇了一大跳！」《蘋果》依文件資料的電話號碼聯繫到數名開戶人，一名開戶者驚呼：「若被壞人拿去，後果不堪設想！」

( 蘋果日報， 2010/6/20)

8

內控疏失：信託開戶資料滿天飛


• 有民眾日前到台北市立○○醫院服務台詢問相關就醫資訊時，志工給他的便條紙背面竟有其他病患的就醫資料，姓名、年齡、體重、病歷號、就診科別、診斷結果等資訊都清清楚楚，病患隱私全曝光。

• ○○醫院事後檢討本次個資外洩個案的原因，有可能是內部員工將廢棄文件歸類錯誤，以致廢棄的批價單未直接銷毀，卻轉成便條紙使用，才會導致個資外洩。

(2011/08/05 Upaper)


內控疏失：醫院機密文件銷毀作業不當，病患隱私全都露

9

• 某電信用戶黃先生說， 7 月底到○○電信台北○○加盟服務中心繳費，並領取帳單收據，發現收據背面竟有他人的電話號碼及身分證字號，質疑：「這種紙不應該回收使用吧？業者洩露客人個資，真可怕。」

• 對此，○○電信公共關係處說，因加盟店不清楚手機門號、身分證字號屬個人資料，所以才會拿回收紙列印繳費收據，已要求門市不能再這麼做，加盟店疏失，會要求改善。

( 蘋果日報， 2012/8/24)


內控疏失：客戶個資文件被當回收紙﹖


內控疏失：警察違反作業規定利用刑案資訊系統查八卦將遭懲處

某立委婚外情事件女主角孫 OO成為各方追逐的焦點，八卦的程度連警察都想一探究竟，警政署發現，有 68 名警員，透過刑案資訊系統查詢孫 OO 個人資料，因與辦案無關，已下令對這些違反作業規定的警員祭出懲處。警政署資訊室表示每位警察必須以自己的帳碼登入系統，才能查詢民眾個資，統統都會留下紀錄。關於孫 OO案，全台有 16 個單位、共68 名警員，曾以電腦查詢孫 OO 的個人資料，還有人重複查詢兩次以上，共查了 70 多次。經調查，這些警員查閱孫女個資與案件無關，但都未洩露給他人，因此依規定將處以申誡一次到兩次，如果警員將個資外洩，將涉及《個人資料保護法》及瀆職等刑責，後果相當嚴重。警政署指出，為保護民眾個人資料，防止不肖警員出售資料，警方經常性針對系統中「異常對象」、「異常時間」和「異常數量」的查詢單位執行抽檢，調查針對政治人物、藝人等的個人資料、或一人調閱大筆個資的情況追查，是否與辦案有關。

(NOWnews ， 2010/1/17)11


內控疏失：「反向追蹤」揪警濫查個資

為保障民眾隱私、杜絕警員亂查個資亂象，警政署制定「戶政資訊稽核實施計劃」，今天起通令全國各警察機關全面實施。這套措施，除了祭出嚴懲重罰措施，還成立「戶政資訊稽核小組」，「反向追蹤」追查有無盜查資料者，一經查獲即記過處分。記者於今年九月披露ＯＯ市警方戶政系統管制鬆散，甚至有警員亂查署長個資。事後查明該員雖僅因好玩才透過電腦隨意查個資，仍記過調職處分，並依洩秘罪嫌送辦。警政署認為事態嚴重，要求專案檢討，ＯＯ市警局十月二十八日赴警政署報告，分析個資外洩原因，主要是有人情請託、或有不肖同仁販售個資圖利。警政署據此制定「戶政資訊稽核實施計劃」，今起通令全國各警察機關同步實施。

( 蘋果日報， 2011/12/15)

12

• 台灣高等法院前法官陳○○，去年在庭長任內爆出利用職權，查詢想追求的女性個資。高雄地院法官王○○，前年以幫兒子命名等理由，用法官電腦系統違規查詢個人資料，遭移送評鑑。法官評鑑委員會決議，將王交由司法院人審會懲處，且建議記過兩次。

• 監察院指出，陳○○利用司法院配發個人帳號及密碼，或冒用他股法官承審案件，透過公務電腦，違規登入戶役政電子閘門、公務監理車籍查詢系統、聯合徵信、入出境、票據信用等系統，自2009 年 2月起至去年 9月 2日止，共查詢與審判無關的個資達 134筆，包括高院同事、房客、醫師等，明顯違法失職。

• 而王○○違規使用「戶役政查詢系統」 38次，查詢媽媽的身分證字號、報稅等，另為幫兒子命名，還在系統輸入十幾個名字看有無人使用。法評會發現，王查詢個資「遍及午休及晚上時段」，他卻辯稱是認真的法官，評鑑委員聞言傻眼，決議建議記過兩次。。

( 蘋果日報 , 2012/9/14)

內控疏失：法官擅查個資擬記過 2 次 |



內控疏失：徵信資料查一次，賠兩萬﹖

A 銀行自民國 91 年 8 月起至 98 年 3 月止，與甲之間未具資金關係且未經甲的同意下，向財團法人金融聯合徵信中心查詢甲的信用資料高達 17次。甲主張 A 銀行違反電腦處理個人資料保護法向法院起訴請求 85 萬元之損害賠償。第一審法院認為 A 銀行雖然可在辦理授信業務前，查詢公司董事及監察人資料以避免不當授信之目的。但A 銀行於甲擔任董事、監察人或經理人之企業，均未向其申請貸款之情況下，即預先向聯徵中心查詢原告擔任董事及監察人之資料，顯已侵害甲之資訊隱私權，且預先查詢原告個人資料之行為，顯非最小侵害之手段而不具必要性。因此以查詢一次兩萬元計算， A 銀行查詢 17次，須賠償甲共計 34 萬元。第二審法院 A 銀行依銀行法規定，為避免不當授信，而建立相關授信限制對象之資料備查，以防範利害關係人利用銀行授信職務之便，承作不當授信，故查詢行為合乎個資法規定。

(臺灣高等法院 99 年上易字 283 號判決 )14

• ○○電信新北市某直營服務中心員工，盜用原欲辦理退租門號的客戶個資，擅自辦理門號續約，客戶事後被業者催繳話費才得知此情況，逕行提告後檢察官正式起訴該名員工，受害者大罵：「嚴重惡行！」○○公司表示，已將該員解職，會加強教育訓練，避免再發生相同情況。消基會表示，業者應確實督導、要求員工遵守管理辦法，並嚴懲違規員工。

• 受害人張先生說，他明明已辦退租，去年 3 、 4 月仍收到帳單， 5月還接獲○○電信來電催繳電信帳款，經查詢才得知門號遭辦理續約，他怒指：「惡劣至極！」除向業者反映外，更憤而向板橋地方法院按鈴申告提出偽造文書之訴。

( 蘋果日報， 2012/5/28)


內控疏失：退租門號竟遭盜辦續約﹖


內控疏失：給錯資料害背 23罪戶政員被訴

• 某律師助理前往某縣市戶政事務所，查詢住○○鄉○○路的男子謝○○資料，課員陳小姐卻誤提供○○鄉○○街同名同姓謝○○的資料，讓無辜的謝莫名其妙背了二十三件刑、民事官司。檢察官調查後，昨依洩密罪將陳女起訴。

• 無辜的謝○○不堪其擾控告陳小姐，平時在紙廠當操作員的他大罵：「她嘔，我更嘔，因為她的疏忽，二十三起案件找上我，有刑事、有民事、有非訟案件、還有簡易庭的，傳票幾乎天天一張，每次都得帶著戶籍謄本，證明我不是本尊。」

• 檢察官查出，律師助理申請時，已註明謝○○是住在某路段，但陳女卻給了住在另一條街的謝○○資料，顯示她沒有詳加審核，由於公務員有保守個人資料的義務，因此依《刑法》洩漏國防以外祕密罪起訴。但當時陳女轉任該工作才八天，檢方也請求法官讓她緩刑。

( 蘋果日報， 2008/4/30)

• ○○高中為辦理 97 年國中基本學力測驗，於民國 96 年 12 月間與某公司訂立「國立○○高中 97 年國民中學學生基本學力測驗電腦作業勞務採購契約」，約定由該公司承攬學力測驗之電腦報名作業（建立考生基本資料）、答案卡製作及寫作測驗答案紙製作、印製考場資料並運送至考區主辦高中、答案卡讀卡作業、印製及輸出考生個人測驗通知單、各國中集體報名單位考生基本資料等相關電腦作業。

• 該公司員工於承攬期間將考生之個人資料及測驗分數資料燒製光碟並轉賣他人獲利，因此○○高中依勞務採購契約之約定，以該公司洩漏考生資料人數按每筆 100元計算，向某公司請求 3,497,500元之懲罰性違約金，經法院審理後，判決該高中全部勝訴。

委外廠商疏失：承辦廠商外洩個資，法院判賠 350 萬違約金

國巨律師事務所，限經濟部 101 年度商工策略會議使用 17

「國立○○高中 97 年國民中學學生基本學力測驗電腦作業勞務採購契約」第 8 條第 1 項約定：

「考生基本資料、統計結果、閱卷成績等電子資料檔及其他任何形式之相關資料，廠商均應交給主辦單位『 97 年國民中學學生基本學力測驗全國試務委員會』，得提供『教育部國民中學學生基本學力測驗推動工作委員會』作研究之用。得標廠商不得進行契約之外任何形式的資料運用，如有上述不法情事經檢舉查明屬實者，則每洩漏 1 名考生資料，罰新台幣壹佰元整，並負相關法律責任。」



委外廠商疏失：個資外洩疑委外建檔惹禍

• 檢調單位破獲販賣個人資料集團後，辦案單位昨天開始清查集團握有之一千三百萬筆健保資料、六百萬筆戶籍資料與數百萬筆幼兒資料來源。調查局初步懷疑，該集團可能是以接受健保、戶政委託製作維修資料庫的機會竊取健保與戶籍資料。

• 調查局官員指出，調查局自今年六月開始大力掃蕩販賣個資集團後，目前電話詐財集團利用戶籍與幼兒資料從事恐嚇詐財事件已減少，又改以簡訊詐財為主要手法，因此調查局下一階段將鎖定盜取電信公司客戶資料的盜賣集團，以切斷電話詐財集團的資料來源

調查局○○縣調查站一名組長，涉嫌違反資訊通訊安全規定，將佈建的線民資料表存放在隨身碟中，不慎遭 Foxy 網路共享檔案傳輸，軟體開放分享後遭人下載，造成資料外洩；這是調查局成立至今，首度爆發線民資料外洩事件。據悉，線民資料表有 6 個數字的代號，及真實姓名、性別、出生年月日、身分證號碼、社會關係等資料，可說是一個人的身家調查資料。當事人對線民資料表外洩渾然不知，新竹市調查站一名調查官打關鍵字「資料」上網搜索意外截獲，緊急上報局本部，由於一旦文件開放 Foxy 軟體分享，網友均可下載，調查局不諱言，無法得知有多少網友已下載上述資料。

(自由時報， 2010/9/7)


資安防護不足：○○縣調站搞烏龍線民資料 Foxy 外洩

20


• 週刊報導，有○○部見習生藉處理外交機密文件之便，將獲取片段資訊張貼在社群網路上。關於此件○○部見習生疑似在網路洩漏機密資訊之事件，○○部表示這名見習生曾簽署「保密切結書」，呼籲他儘速出面說明；並會繼續清查文件，視結果決定是否採取法律行動。

• 這名見習生到○○部工作，時數共 100小時，當初即簽署「保密切結書」，內容為「保證對因見習工作而知悉的檔案資料，均應負保密之責，絕無洩漏、盜取、破壞及利用電子媒體儲存等情事，並願負一切法律責任」。

• ○○部表示經初步清查，發現週刊所刊載的資訊屬於早已註銷機密等級的檔案，影響不大；○○部除呼籲這名見習生針對週刊所引述的資料，儘速出面說明是否屬實，也正繼續清查文件，會依據結果來決定是否採取法律行動。

(中央社， 2011/09/01)

內部人員洩密：政府部門實習生將外交機密文件張貼在FB﹖

21

• ○○控股公司表示，旗下瑞士私人銀行分行的帳戶資料遭離職員工竊取，可能影響多達 2.4 萬名客戶。該竊案可能重創滙豐的商譽，且可能導致許多客戶成為母國查緝逃漏稅的對象。

• ○○銀行指出，該員工在公司資訊科技部門任職多年，深受信賴，在一次資料遷移的過程中接觸到這些機密資料。○○聲稱，該員工把資料轉存到個人裝置上，然後設法對黎巴嫩數家銀行兜售這些資料。先前也有報導指出，他曾企圖把這些資料以 250 萬歐元（ 339 萬美元）賣給德國；稅務調查界人士估計，德國可能從這些資料追回 1億歐元稅金。該員工最後逃到法國，還在法國媒體上公開嗆聲，說要善盡公民職責，揭露○○協助客戶到海外開設帳戶以逃稅的角色。法國把那些資料的影本送到瑞士，並保證這些資料不會傳到其他國家。瑞士檢方上周 3日把資料交給○○後，○○才得以評估失竊帳戶的規模。

(自由時報， 2011/12/17)


內部人員洩密：員工拷貝客戶帳戶資料，擬賣給德國追討稅金

22

貳、我國現行個資法簡介

－－現行個資法相關規定介紹

現行個資法修正重點

擴大適用主體：破除行業別限制，適用於所有機關、法人、團體及個人

擴大保護客體：•包含人工處理個資•區分特種個資•涵蓋備份檔案

擴大適用地區：在中華民國境外對中華民國人民個人資料蒐集、處理或利用亦有本法之適用

增加程序規定：•直接蒐集前進行告知•間接蒐集應於利用前進行告知•通知義務

排除個人或家庭活動，及公開場所或活動之影音資料

包含直接或間接方式識別該個人之資料。


暫緩實施，草案已刪除「一年內」補行告之義務之時間限制

24

個人資料保護法延後施行：部分條文尚有爭議

• 「個人資料保護法」擴大適用範圍，但因第 6 條、 54條和 41條第1 項引發爭議，以致個資法修法近 2 年，迄今仍未施行

• 法務部已在 2012/4/11呈報行政院修正案

• 4/30政務委員羅瑩雪、張善政主持協調會，暫定 2012/10/1 施行

• 法務部法律事務司司長陳維練表示，希望「個人資料保護法」修正草案能夠在立法院本會期完成修法– 修法來不及，將分兩階段上路，沒有爭議條文先施行，第 6 、第 54條爭議條文暫緩施行



• 行政院院長陳冲於 8月 30 日終於拍板敲定，擬修正第 6條和第 54條，以及刪除第41條與第 45條的部份條款。修正案將列入立法院 9月會期的優先修法對象。若來不及完成修法，行政院將暫緩實施第 6條和 54條，其餘條款則如期於 10 月 1日全數施行。

(iThome ， 2012/8/30)


個資法 10 月 1 日上路，僅告知義務與敏感個資條款暫緩實施

個資法細則送審，新版草案取消軌跡資料

• 個資法施行又有新進度。本次送進行政院進行個資法施行細則草案審查與 2011 年 10 月底公布的細則草案最大的差異點在於，此次院版拿掉細則草案第 5 條的「軌跡資料」（ Log Files）字眼，軌跡資料不再納入個資法規範的資料項目，其餘多為文字的修正。

• 原細則草案第 5 條規定「本法第 2 條第 2 款所稱個人資料檔案，包括備份檔案及軌跡資料。」其中新增的軌跡資料主要是因應科技技術發展而新增的字眼，希望能夠強化公務與非公務機關提高對於個資保護的完整性，並透過軌跡資料的證明，也有利於其應負起的舉證責任。

• 但多數意見認為軌跡資料若與個人資料檔案密不可分，相關的蒐集、處理、利用和刪除等，便已經受到現行個資法的規範，無須再以細則條文明訂相關軌跡資料該如何保存；若軌跡資料多是系統設備的存取資訊與個資無關，不受個資法規範，保存與否則受各公務與非公務機關的資訊部門規範。

(iThome ， 2012/7/16)




各產業的個資法主管機關 8 月公布

• 法務部法律事務司常務次長陳明堂表示，預計在今年 8 月，公布各產業關注的中央目的事業主管機關的名單。在個資法中，授權各中央目的事業主管機關要制定個資處理的標準作業程序等，法務部也會同步在公布各產業主管機關時，提供法務部預先擬定的個資處理範本，做為其他主管機關制定「非公務機關制定個人資料檔案安全維護計畫」或者是「業務終止後個人資料處理方法」的參考。

(iThome ， 2012/8/13)


一般個人資料一般個人資料

敏感性資料敏感性資料醫療、病歷基因性生活健康檢查犯罪前科

原則不得蒐集處理或利用

29

現行個資法下個人資料之定義與範圍


性生活﹕指性取向或性慣行個資

現行個資法下特種個資源則禁止蒐集處理

醫療資料﹕指以治療、矯正或預防人體疾病、傷害、殘缺為目的，所為之診察、診斷及治療。

基因資料﹕去氧核醣核酸構成，為生物體控制特定功能之遺傳單位訊息。

健康檢查﹕指對於無明顯疾病症狀，非出於診斷或治療之目的所為的診察行為

犯罪前科﹕指經緩起訴、職權不起訴或法院判決有罪確定之紀錄

例外情形﹕

1.法律明文規定。2.公務機關執行法定職務或非

公務機關履行法定義務所必要，且有適當安全維護措施。

3.當事人自行公開或其他已合法公開之個人資料。

4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。


擬修法新增經當事人同意及為公共利益兩款例外情形

31

病歷﹕醫療法第六十七條第二項所列之各款資料

101 年細則版本新增


蒐集或處理個人資料應具備特定目的修正「電腦處理個人資料保護法之特定目的及個人資料之類別」，並修正名稱為「個人資料保護法之特定目的及個人資料之類別」，定自中華民國 101 年 10 月1 日生效。

○○一人身保險○○二人事管理 (包含甄選、離職及所屬員工基本資訊、現職、學經歷、考試分發、終

身學習訓練進修、考績獎懲、銓審、薪資待遇、差勤、福利措施、褫奪公權、特殊查核或其他人事措施 )

○○三入出國及移民○○四土地行政○○五工程技術服務業之管理○○六工業行政○○七不動產服務○○八中小企業及其他產業之輔導○○九中央銀行監理業務○一○ 公立與私立慈善機構管理○一一公共造產業務○一二公共衛生或傳染病防治○一三公共關係○一四公職人員財產申報、利益衝突迴避及政治獻金業務○一五戶政○一六文化行政


公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：一、個人資料檔案名稱。二、保有機關名稱及聯絡方式。三、個人資料檔案保有之依據及特定目的。四、個人資料之類別。

公務機關應公開其保有之個人資料檔案

1. 為使民眾有固定管道並處於可得隨時知悉公務機關蒐集、處理或利用之情形，故公開方式應特定，並避免任意變更。

2. 所謂適當方式，例如利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開


經濟部商業司保有個資項目彙整表例示

現行個資法下直接蒐集之告知義務

增加程序規定

公務機關向當事人蒐集個人資料時，應明確告知。告知時點：蒐集資料前

應告知事項得免告知的情形公務機關名稱依法律規定得免告知蒐集目的公務機關執行法定職務所必要個人資料類別告知將妨害第三人之重大利益個人資料利用之期間、地區、對象及方式當事人明知應告知之內容

當事人查詢、請求閱覽、請求提供複本、請求停止處理利用、請求刪除的方式當事人得自由選擇提供個人資料時，不提供將對其權益之影響


現行個資法下間接蒐集之告知義務

公務機關取得非由當事人提供之個資，應於處理或首次利用前，向當事人告知。

應告知事項得免告知的情形個人資料來源依法律規定得免告知公務機關名稱公務機關執行法定職務所必要蒐集目的告知將妨害第三人之重大利益個人資料類別當事人明知應告知之內容個人資料利用之期間、地區、對象及方式

當事人自行公開或其他已合法公開之個人資料

當事人查詢、請求閱覽、請求提供複本、請求停止處理利用、請求刪除的方式

不能向當事人或其法定代理人為告知基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限大眾傳播業者基於新聞報導之公益目的而蒐集個人資料國巨律師事務所，限經濟部 101 年度



主管機關受理公司登記所涉及蒐集、處理之個人資料

主管機關向公司蒐集發起人、董監事或負責人個人資料之法律依據：

公司法第 387條第 1 項：「公司之登記或認許，應由代表公司之負責人備具申請書，連同應備之文件一份，向中央主管機關申請」公司之登記及認許辦法第 16條：本法所規定之各類登記事項及其應檢附之文件、書表，詳如表一至表五。申請人依前項規定所應檢附之文件、書表為影本者，必要時主管機關得要求檢附正本，以供查核。如有涉及外國文件者，應另檢附中譯本。」

執行法定職務所必要

38


施行細則第 16條規定，告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

現行個資法下公務機關得蒐集、處理個資之情形

39國巨律師事務所，僅供新北市政府地政局個資防護宣導課程使用

何謂「法定職務」﹖

現行個人資料保護法施行細則第 10條規定，所稱法定職務，指於下列法規中所定公務機關之職務：一、法律、法律授權之命令。二、自治條例。三、法律或自治條例授權之自治規則。四、法律或中央法規授權之委辦規則。

本條修正說明：

除依法律具體或概括授權之法規命令外，依法律授權之處務規程或辦事細則亦屬之。機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據。

資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人

41

現行個資法下公務機關得於特定目的外處理利用個資之情形

國巨律師事務所，僅供新北市政府地政局個資防護宣導課程使用

何謂「資料經過處理後或依其揭露方式無從識別特定當事人」﹖

1. 指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者

2. 目的事業主管機關得斟酌訂定裁量基準，俾供所屬機關或所管行業遵循

合法蒐集處理個人資料的要件之一：書面同意

施行細則第 15條規定，該單獨所謂之書面意思表示若與其他意思表示於同一書面者，應於適當位置使當事人得以知悉其內容後並確認同意。

43國巨律師事務所，限經濟部 101 年度商工策略會議使用


書面意思表示得以電子文件方式為之

本法所定書面意思表示之方式，依電子簽章法之規定，得以電子文件為之。

參考電子簽章法法第 4 條規定，得以電子文件為之，以解決實務上當事人利用網路或資訊通信設備所為

同意意思表示

公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。


適當安全之必要措施 (1)

施行細則草案規定：1.專人是指具有管理及維護個人資料檔案之專業能力，且足以擔任機關檔案資料安全維護經常性工作之人員。2.公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。

適當安全之必要措施 (2)

個人資料保護法預告施行細則第 12條：本法所稱適當安全維護措施、安全維護事項或適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之必要措施。得包含：

配置管理之人員及相當資源資料安全管理及人員管理

界定個人資料之範圍認知宣導及教育訓練個人資料之風險評估及管理機制設備安全管理事故之預防、通報及應變機制資料安全稽核機制個人資料蒐集、處理及利用之內部管理程序

必要之使用紀錄、軌跡資料及證據之保存

個人資料安全維護之整體持續改善

必要措施，以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限


現行個資法下對於委託人權利義務之規定

1. 公務機關若有將涉及個資的業務委外處理時，受託業者在執行委託業務範圍，視為委託機關。

2. 受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

委託人受託人資料主體( 當事人 )

蒐集處理及利用個人資料


委託人承包商或委外服務商當事人

委託人若將業務外包，應對承包商或服務提供商就下列項目予以監督並紀錄確認結果﹕1.預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。2.受託人應採取必要的適當安全措施。3.有複委託者，其約定之受託人。4.受託人或其受僱人違反個人資料保護法規或委託契約條款時，應向委託人通知之事項及採行之補救措施。5.委託人對受託人保留指示之事項。6.委託關係終止或解除時，個人資料載體之返還，及儲存於受託人持有個人資料之刪除。

監督

委外監督責任 (施行細則第 8 條 )


涉及個資事務之委外契約約定事項及重要考量

公務機關

員工

承包或服務委外廠商

A.公務機關可透過在員工聘僱契約中增訂保密義務及要求遵守個資處理標準作業規則，強化對於個人資料內部使用的控管

B. 依我國個資法施行細則預告草案第六條約定監督事項

C. 可約定違約金，減輕向承包商請求賠償時的舉證責任

D. 可約定懲罰性賠償金，減輕舉證責任，並強化承包商對於遵守個資事項的謹慎，分散資安事件對廠商信用衝擊所受損害的風險

E. 可考慮投保個資責任險，分攤高額損害賠償的風險


公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。 (第 12 條 )

個資事故通知義務

施行細則第 22條規定：•適當方式通知，係指即時以言詞、書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式為之。•內容應包括個人資料被侵害之事實及已採取之因應措施

50


查詢或請求閱覽

請求製給複製本

請求補充或更正

請求停止蒐集、處理或利用

請求刪除

15 日內為准駁，必要時，延長不得超過 15 日，

並以書面通知請求人

30 日內為准駁，必要時，延長不得超過 30 日，

並以書面通知請求人

當事人權利准駁期限

當事人權利


公務機關經裁撤或改組而無承受業務機關者

特定目的已達成而無繼續處理利用之必要者

其他事由足認該特定目的已無法達成或不存在者

本法所稱特定目的消失，指左列各款情形之一

個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。

個人資料之刪除




刪除，指使已儲存之個人資料自個人資料檔案中消失

而刪除行為之認定，應以一般人得以利用一般商業軟硬體所為使個人資料消失之行為，作為參考標準，無需以「不復存在」，始謂符合本法所稱之刪除

有理由足認刪除將侵害當事人值得保護之利益

有法令規定或契約約定之保存期限

其他不能刪除之正當事由

本條但書所定因執行職務或業務所必須，指左列各款情

形之一：

個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。



• 目的：可使個別損害較小，但同時受害者眾的案件，受害者可集結眾人之力進行訴訟，避免因高額的訴訟成本導致受害者無意願或無資力進行求償，反而使加害人未能負起應有之責任。

• 企業若違反個人資料保護法之安全措施責任，受害者只要集結其中二十個人以上，即可統一將其訴訟實施權以書面授與具備個人資料保護法所限定資格的財團法人或公益社團法人，便可以由該法人委任律師向違反個人資料保護法的企業、組織或個人提起團體訴訟

• 實際損害難以證明時，請求法院依侵害情節，以每人每一事件以 500 至2 萬元以下計算。

• 在新法施行後遭訴違反個人資料保護法的民事損害賠償案件預期會大幅增加，企業或個人必須更為謹慎的對待自己所持有的個人資料。

55

現行個資法之修法重點－－新增團體訴訟規定

國巨律師事務所，僅供新北市政府地政局個資防護宣導課程使用

現行個資法之修法重點－－法律責任


民事責任

集體訴訟 ( 無過失責任 )集體訴訟 ( 無過失責任 )

最高賠償總額 2 億元最高賠償總額 2 億元

非意圖營利：兩年以下有期徒刑僅處罰意圖營利：五年以下有期徒刑

五年以下有期徒刑

非公務機關

違法蒐集處理或利用敏感性資料違法蒐集處理或利用敏感性資料

刑事責任

違法蒐集及處理個人資料違法蒐集及處理個人資料

違法利用個人資料違法利用個人資料

非法妨害個人資料正確性非法妨害個人資料正確性

違法進行國際傳輸違法進行國際傳輸

暫緩施行未來擬修法增訂例外公益目的及經當事人書面同意事由


現行個資法之修法重點－－法律責任

公務員假借職務上之權力、機會或方法，加重其刑至

1/2

國巨律師事務所，限教育訓練使用 58

政府機關因資安外洩時之舉證分配

舉證：在法律上藉由提出證據來證明個人主張的方式


政府機關於個人資料保護法下舉證責任分配

民事舉證責任：無過失責任※ 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所

致者，不在此限。 ( 個資法 §28I)

刑罰舉證責任 ( 公務員 ) ：檢察官就被告犯罪事實，應負舉證責任，並指出證明之方法。 ( 刑事訴訟法§161)



公務機關舉證失敗時的賠償責任

財產損害

精神上損害

名譽上損害

• 損害賠償不以財產上的賠償為限，如果當事人有非財產上的損害，例如精神上的痛苦，當事人是可以請求賠償金額的；如果當事人的名譽有被侵害，還可以請求回復名譽的適當處分。

• 如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算

• 對於同一原因事實造成多數當事人權利受侵害的事件，經當事人請求損害賠償，其合計最高總額以新臺幣二億元為限。

• 損害賠償不以財產上的賠償為限，如果當事人有非財產上的損害，例如精神上的痛苦，當事人是可以請求賠償金額的；如果當事人的名譽有被侵害，還可以請求回復名譽的適當處分。

• 如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算

• 對於同一原因事實造成多數當事人權利受侵害的事件，經當事人請求損害賠償，其合計最高總額以新臺幣二億元為限。



參、現行個資法對商工行政資訊相關作業之衝擊


提供公司董監事名錄公開查詢，是否有個資法問題﹖

公司法第 393條第 2項：「公司左列登記事項，主管機關應予公開，任何人得向主管機關申請查閱或抄錄：一、公司名稱。二、所營事業。三、公司所在地。四、執行業務或代表公司之股東。五、董事、監察人姓名及持股。六、經理人姓名。七、資本總額或實收資本額。八、公司章程。」

• 主管機關負有公開提供利用查詢之義務，應屬「發照與登記」之特定目的內利用

• 公務機關或非公務機關蒐集已依法公開之個人資料，均得依個資法第 9 條第 2款免為間接蒐集之告知。


經濟部商業司保有個資項目彙整表

• 未列入政府識別資訊，未蒐集負責人、董監事身分證號﹖ ( 與前開登記資料蒐集各資類別不同 )

• 特定目的是否完全符合利用型態﹖是否要增加其他目的以利適當擴張﹖


建立廠商通訊錄，蒐集聯絡人姓名、服務單位電子郵件及手機等個人資料，是否有個資法問題﹖

除非聯絡人明知應告知之事項 (包含蒐集之特定目的、個資類別、利用期間、方式、範圍、當事人權利行使管道等法定應告知之事

項 )，或記者上開聯絡資料均為自行公開或已合法公開 (例如公開在廠商網站之資訊 )，否則應向聯絡人本人進行告知。


經濟部涉及個資蒐集之檔案閱覽申請書


經濟部所屬相關活動網站所蒐集之會員資料 (1)


經濟部所屬相關網站所蒐集之會員資料 (2)

• 須注意個別電子報如何提供會員取消訂閱之機制，以落實會員得行使隨時請求停止處理利用之權利﹖

委託下級機關或非公務機關辦理涉及個資之業務

假設某社團法人受經濟部委託，擬透過公開與遴聘方式，籌組財會顧問團隊，專責提供專業財會諮詢及診斷輔導服務，建立輔導人才智庫…

經濟部工商資料如何因應現行個資法之規定


防止資安外洩之因應措施

70


肆、如何面對新修正個人資料保護法之挑戰(1)議題討論


問題一：受理申請辦理商業登記之各申登機關及其人員，皆會蒐集、處理個人資料，例如公司商號之負責人身份證號、出生日期等個人資料，是否須要求前述各機關之作業人員 (及管理人員 ) 皆要簽署個資保護切結書？


慎選外包廠商：事先評估可能的安全風險

• 委外服務需求規格的設定與調整• 是否有必要投保

個資責任險以分散風險﹖

73

• 從業人員須簽訂「保密切結書」，凡違反規定查詢或洩露個人資料者，均依相關規章議處，直屬主管如有督導不週，一併追究連帶責任

• 委外業務涉及個人資料，受託機構及其工作人員也須簽署相關保密協議，規範受託機構及其工作人員之保密義務

強化人員管理及委外作業程序

強化人員認知並建立訓練機制從業人員：資訊人員

和業務人員

管理職人員

委外單位人員

74



公務機關在現行及現行個資法下負無過失責

任承包業者對公務機關原則

上負契約責任

下游承包商對直接

發包商負契約責任

1. 就個資責任之落差，可透過約定違約金或懲罰性違約金轉嫁

2. 若承包商資力不足，可要求其投保個資責任險，分散風險

1. 若允許複委託，應要求承包商確實監督下游承包商

2. 承包商就下游承包商違反個資法情事負違約責任


問題二：其他政府機關透過系統介接方式，直接擷取或查詢商工資料庫，以查驗公司商號之登記資料。針對此利用情形，為因應新修正個資法，各介接機關皆要提出個資保護運用與管理計畫 (包括個資使用範圍、方式、期間、保護管理措施等 )？


能否提供含非依法公開之個人資料供行政機關介接﹖

介接機關應提出係執行法定職務或履行法定義務所必要，並確保內部查詢權限之管理


問題三：

1.經濟部商業司須要求介接商工資料庫之機關及其人員均簽屬保密同意書？2.是否要於系統上及所有查詢介面 (UI)與文件上皆要加註如：「本資料內含個人資料，請遵守個人資料保護法規定，並應善盡注意管理與保護責任，如違法須負法律責任。」等提醒文字？或是否應於商工行政入口網站公布合適的「隱私權保護政策」及「服務條款」？

• 資料庫應進行權限控管，並留下相關軌跡資料• 人員是否簽屬保密同意書，應屬介接機關內部人員管理之問題• 要求介接機關須確實維護個資安全與保密，若因其人員至有外洩情

事，應負連帶責任。• 商業司應確保介接機制之安全性；系統畫面加註警示用語，可作為已採取適當安全維護措施之輔助證據


問題四：

1.商業司是否有權利或責任要到各介接機關查核其是否針對商業司所提供之工商資料，進行個資保護管理？

• 商業司讓其他機關介接時，須注意是否符合特定特定外利用之要件，並應要求介接時應符合之資訊安全標準。機關申請介接時，應要求提交具個資安全維護事項說明以作為審核是否開放介接依據

• 為因應個資法，過去已介接之機關，亦應要求該機關提供符合個資安全維護措施之說明

• 惟介接機關於取得資料後，目前法無明文課予資料庫業管提供介接時，對介接機關取得之資料負有監督之責任及義務

肆、如何面對新修正個人資料保護法之挑戰(2)保存數位證據

公務機關如何因應現行個資法無過失之舉證責任

公務機關應視個案差異，採取適當的因應措施

81


數位證據定義：•得證明民事責任或刑事責任之法律構成要件•可於訴訟程序中用以判斷或認定案件事實之數位資料

透過正當法律程序調查數位證據達到舉證成功效果

事件發生後，數位鑑識進行採證

確認證據同一性

證明抽取之數位證據確實來自於原始證物確保方式：1. 蒐集者或其他證據資料2.透過合法程序取得證據3. 委請專家證人進行鑑定或勘驗4. 數位鑑識技術5.開庭當場勘驗比對數位證據與紙本

內容是否相符

確認證據之真實性、完整性等

必要之使用紀錄、軌跡資料及證據之保存

82


取得數位資料中的證據並確保其真實性及完整性

網路鑑識資料庫鑑識行動裝置鑑識

取證對象：•電腦系統•儲存媒體•電子文件檔案•網路上傳輸封包

數位鑑識

• 確保數位資料現場不受干擾或破壞

• 使用專業工具或委託鑑識專家

• 案件分析：作出事實陳述• 呈現成果：產出鑑識報告

• 探究證據來源、成因與行為人之關係時

目的：•排除所有可能替代解釋•證明己方解釋的合理性

83


錄音、錄影、電磁紀錄或其他相類之證物可為證據者，審判長應以適當之設備，顯示聲音、影像、符號或資料，使當事人、代理人、辯護人或輔佐人辨認或告以要旨

刑事訴訟法第 165-1條第 2 項

民事訴訟法第 352條公文書應提出其原本或經認證之繕本或影本。私文書應提出其原本。但僅因文書之效力或解釋有爭執者，得提出繕本或影本。

私文書經本人或其代理人簽名、蓋章或按指印或有法院或公證人之認證者，推定為真正。當事人就其本人之簽名、蓋章或按指印為不知或不記憶之陳述者，應否推定為真正，由法院審酌情形斷定之。

民事訴訟法第 358條

• 透過數位鑑識，數位證據得以採證與保存，並且被賦予其證據力，可作為舉證之用，進而達到舉證的效果

• 舉證者需注意，數位鑑識與數位證據一樣，在法律的正當程序上有一定的要求

數位鑑識：訴訟法上要求資料之同一性、真實性、完整性

文書或前項物件，須以科技設備始能呈現其內容或提出原件有事實上之困難者，得僅提出呈現其內容之書面並證明其內容與原件相符。

民事訴訟法第 363條第 2 項

證據有滅失或礙難使用之虞，或經他造同意者，得向法院聲請保全；就確定事、物之現狀有法律上利益並有必要時，亦得聲請為鑑定、勘驗或保全書證。

民事訴訟法第 368條規定

84


針對個人資料生命週期所規範的行為義務

蒐集蒐集保存保存利用利用銷毀銷毀

- 依法進行告知義務 -採取適當保護措施，避免個人資料被竊取、竄改或毀損

-應於蒐集之特定目的內使用-特定目的外之使用應另外取得書面同意

-特定目的消失-期限屆滿-當事人要求

--原則禁止蒐集處理特種個資

85國巨律師事務所，限經濟部 101 年度商工策略會議使用

簡報結束，歡迎提問


Documents

現行個資法暨施行細則規定對商工行政資訊之衝擊及因應