在台灣是否「違反個資法」可用三步判斷:①你處理的是不是個人資料/特種個資;②你是否有合法事由(特定目的、告知與同意/其他法定事由);③你的告知、安全防護與利用範圍是否到位。常見地雷包含:未依第8條告知、超越特定目的、行銷未提供拒絕機制、未做安全維護計畫、違規處理特種個資等。違規可受行政裁罰,嚴重者涉刑責。
一、先辨識你碰到的是什麼資料
- 個人資料:可直接或間接識別個人的各類資料。
- 特種個人資料(高風險):病歷/醫療、基因、性生活、健康檢查、犯罪前科,原則不得蒐集、處理或利用,僅在法定例外(如法律明文、履行法定義務、當事人書面同意等)下才可行。
小提醒:大樓住戶為居家安全而公佈監視器畫面,可能落入「個人或家庭活動」不適用個資法之範圍,但情境需審慎判斷。
二、違不違法的核心判斷流程(實務速查)
STEP 1|是否具備「合法事由」?
非公務機關蒐集/處理個資,除特種個資外,必須有特定目的,且符合下列其一:法律明文、契約或類契約且安全措施、當事人同意、公共利益所必要、從一般可得來源且不侵害權益等(常見八款)。若僅靠「同意」,也要經合法告知後所作的明確同意。
STEP 2|是否妥善「告知」?(第8條)
向當事人蒐集個資時,應明確告知:蒐集者名稱、目的、資料類別、利用期間/地區/對象/方式、當事人權利及行使方式、不同意提供的影響;特定情形始得免告知。
STEP 3|是否「目的外利用」或逾必要範圍?(第19、20條)
利用時原則應在特定目的之必要範圍。目的外利用僅限法定例外(如公共利益、生命身體危險、當事人同意等)。若作行銷,首次行銷應提供拒絕方式且由你負擔成本;只要當事人拒絕,你就要立即停止。
STEP 4|是否落實「安全維護」?(第27條)
保有個資檔案者應採取適當技術與組織措施(可含權限控管、稽覈、通報應變等);主管機關得命定「個資檔案安全維護計畫」。重大違反可處高額罰鍰。
三、最常被開罰/出事的 10 大地雷
- 沒做第8條告知就收表單/會員資料。
- 用表單蒐集與目的無關的過量資料(逾必要範圍)。
- 未提供行銷拒絕機制或當事人拒絕後仍行銷。
- 未建安全維護計畫/措施,導致外洩或未依規範保存與銷毀。
- 任意處理特種個資(例如收集健康檢查報告)而未符合第6條但書要件。
- 目的外利用:例如為客服蒐集的資料拿去另案廣告。
- 跨境傳輸未留意主管機關限制或接收國保障不足風險。
- 把名單交給外包/第三方卻未以契約與技術管理確保合規利用與保密。
- 未依權利請求(閱覽、複製、補充更正、停止處理/利用、刪除)建立流程。
- 誤認所有監視器公開畫面都可自由使用,忽略除了家務目的外仍須合規。
四、個資法-違規會怎樣?(責任總覽)
- 行政罰:違反特種個資、目的外利用、國際傳輸限制、安全維護等規定,得受處罰並可能按次連續處罰。
- 刑事責任:意圖不法利益或損害他人而違法處理個資致生損害者,可能負刑責並併科罰金。
- 民事賠償:難以證明損害額時,法院得就情節按人次/事件裁定相當金額。
五、3分鐘自我檢核清單(可直接套用)
- 我是否明確界定特定目的與必要範圍?(第19、20條)
- 我是否完成第8條告知並留存證據(頁面/話術/勾選紀錄)?
- 若用於行銷,是否在首次行銷提供拒絕機制,且尊重拒絕?
- 是否蒐集或觸及特種個資?若是,是否符合第6條但書並具書面同意?
- 是否建立安全維護計畫、權限控管、事故通報/應變與終止後銷毀?(第27條)
六、實務範例:合規/不合規怎麼看
- 活動抽獎表單:若要求身分證字號、學經歷等與抽獎無關資訊 → 可能逾必要範圍;應以目的所需最小化,並完成第8條告知。
- 簡訊/EDM 行銷:首次發送須提供拒絕方式(免費或由你負擔費用);拒絕後不得再發送。
- 雲端委外:與受委託者簽妥保密與資安條款,限制目的外利用、轉委外與跨境傳輸。
- 監視器畫面:家務目的可能不適用個資法;店家/社區公告監視器影像仍須合規處理與最小揭露。
免責聲明
以上為一般合規資訊,不構成法律意見;實際案件請就個別情況洽詢執業律師或主管機關指引。必要時,我們可協助合法蒐證與律師推薦/轉介,並全程依個資法進行資料最小化與保密管理。
主要法源/參考:第6條(個資與例外)、第8條(告知事項)、第19–20條(特定目的與目的外利用/行銷拒絕)、第27條(安全維護)、第41條(刑責)、第47–48條(行政罰)
