你知道嗎?現在只要一通電話、一筆表單,你的名字、電話、地址可能早已在別人手中流通。面對這樣的資訊時代,我們該如何保護自己?更重要的是,作為勞務或人資工作者,如何不踩法規紅線?
今天,我們就來用「條文+白話+實例」的方式,一起搞懂《個人資料保護法》第一章總則,這不只是考試重點,更是每個上班族、企業主該有的基本認知!
第1條【立法目的】
條文說明為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
條文摘要
這條說明了《個資法》為什麼存在——它的核心目的是保護我們的個人資料不被濫用,同時也考慮企業、政府等在合理情況下的使用需求。
條文舉例
陳小姐在網路上購物後接到陌生保險推銷電話,發現個資被未經同意轉售。根據《個資法》,她有權向該網站要求說明資料來源,甚至提出申訴或求償,這正是《個資法》為她提供的保護。
第1-1條【個資保護主管機關】
條文說明
1.本法之主管機關為個人資料保護委員會。
2.自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。
條文摘要
- 本法主管機關為「個人資料保護委員會」。
- 委員會成立後,中央目的事業主管機關、地方政府(直轄市、縣市)及第53、55條所列機關的個資相關權責,改由該會統一管理。
條文舉例
- 例一:原本勞動部主管勞工個資的處理與違規裁罰事宜,於個資保護委員會成立後,相關個資保護權責將移轉至該會處理。
- 例二:若台中市政府涉及民眾個資外洩事件,處理與裁罰權限將由個資保護委員會負責,而非地方政府自行處理。
- 例三:第55條所列的國家安全機關,若涉及個資利用,除國安特殊規定外,仍由個資保護委員會統籌監督。
第2條【定義】
條文說明
本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
條文摘要
「個人資料」指可識別個人身分的任何資料,如姓名、身分證字號、聯絡方式、健康紀錄等;「蒐集」是取得資料、「處理」是整理與運用、「利用」是將資料用於目的上的行為。
條文舉例
公司在徵才時要求應徵者填寫履歷,屬於「蒐集」;將資料輸入電腦系統作分析,屬於「處理」;打電話聯絡面試時間,則為「利用」。
第3條【當事人權利】
條文說明
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
條文摘要
你可以要求知道誰有你的資料、用在哪裡、資料是否正確,也可以要求刪除資料或停止使用,尤其是在被用來做行銷時。
條文舉例
陳小姐收到簡訊促銷,覺得困擾,便根據此條請求業者不得再使用其個資進行行銷。業者應依法處理,否則可能面臨罰則。
第4條【合理性原則】
條文說明
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
條文摘要
資料的使用必須「有原因」、「合理」,不能拿來做無關用途。例如蒐集報名資料後卻拿去推銷,可能違法。
條文舉例
王先生報名參加健身房課程,提供的聯絡資料只應用於課程通知。若健身房將資料提供給其他廠商發送廣告,則違反合理性原則。
第5條【資料品質原則】
條文說明
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
條文摘要
- 資料使用應基於誠實信用原則與特定目的。
- 應保障當事人權益,確保資料正確性與安全性。
- 必須依法收集、處理、利用個資,不得違反相關規定。
條文舉例
- 例一:企業不得以應徵為由蒐集不必要的親屬資料,違反目的特定性原則。
- 例二:銀行應確保客戶資料不外洩,並設置資安防護系統。
- 例三:電商平台使用顧客資料時,僅限於訂單處理與客戶服務,若另作行銷需徵得同意。
第六條【特種個人資料之限制】
條文說明
1.有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
2.依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
條文摘要
- 特種資料原則上禁止處理。
- 例外包括法律明定、維護公共利益、書面同意等。
條文舉例
- 例一:醫院可在病患簽署同意書後保存其病歷資料。
- 例二:人力資源公司不得擅自查詢求職者犯罪紀錄,除非法律授權。
- 例三:公司進行健康檢查須取得員工書面同意後,才可保存相關資料。
第七條【對未成年與受監護人之保護】
條文說明
1.第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
2.第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
3.公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
4.蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
條文摘要
- 未滿20歲或受監護人之資料使用,須法定代理人同意。
- 目的係加強對弱勢群體之資料保護。
條文舉例
- 例一:補習班招收學生時,需經家長同意才能使用學生照片。
- 例二:對精神障礙患者進行個資調查,須經監護人核准。
- 例三:網路遊戲平台不得以活動名義收集未成年使用者之住址或電話,除非家長授權。
第八條【當事人之權利】
條文說明
1.公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
2.有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
條文摘要
當事人得行使下列權利: 一、查詢或請求閱覽; 二、請求製給複製本; 三、請求補充或更正; 四、請求停止蒐集、處理或利用; 五、請求刪除。
條文舉例
- 例一:客戶可請電信公司提供其通聯記錄複本。
- 例二:若公司資料誤植員工學歷,員工有權要求更正。
- 例三:退訂電子報後,企業不得繼續使用該客戶資料寄送行銷信。
第九條【資料正確義務與更正處理】
條文說明
1.公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
2.有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
3.第一項之告知,得於首次對當事人為利用時併同為之。
條文摘要
- 機關若蒐集「非當事人提供」之個資,應告知資料來源與第八條所列權利。
- 告知可延至首次利用時一併為之。
- 可免告知的情形包括:
- 涉及第八條第二項之法定例外;
- 資料為當事人自行或合法公開;
- 實際無法告知當事人;
- 為公共利益統計或學術研究且無法識別個人;
- 新聞媒體基於公益目的報導所需。
條文舉例
- 例一:某公務機關從第三方機構取得市民聯絡資料,用於防疫宣導,應於使用前告知資料來源與當事人權利。若首次利用時即進行通知也合法。
- 例二:民間保險公司取得公開網站上的聯絡人資訊,因資料已公開,可免事前告知。
- 例三:大學研究團隊取得健保資料庫進行人口統計分析,且資料經匿名化處理,符合公共利益且無法識別個人,也可免告知。
- 例四:新聞記者基於公益報導目的,調查特定人物背景資料時,無需事先通知當事人。
- 例五:若資料由當事人主動發表於社群平台,企業基於合法使用,得免除告知義務。
第10條【當事人得請求查閱個人資料】
條文說明
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
條文摘要
當事人有權查詢、閱覽或索取自己被蒐集的個人資料,但若有危及國家利益、公務執行或他人重大利益的情況,機關可拒絕。
條文舉例
王小姐懷疑某保險公司在她不知情下蒐集其醫療資料,依法提出查詢請求。若該公司無合理拒絕理由,應配合提供資料。但若該資料涉及國家健保預算機密分析結果,則可能屬於例外情形,不予提供。
第11條【當事人得請求補充、更正個人資料】
條文說明
1.公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
2.個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
3.個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
4.違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
5.因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
條文摘要
當事人得請求補充或更正個資,機關應立即處理,並通知曾獲提供資料之第三人同步更正;處理時限為15日內(依施行細則第6條)。
條文舉例
陳先生向某銀行申辦貸款,發現信用資料中誤載他有未清償紀錄。他依據本條提出更正請求,銀行應查證並於15日內修正或說明為何無需更正。
第12條【個資侵害須通知當事人】
條文說明
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
條文摘要
當公務機關或非公務機關違反《個人資料保護法》之規定,導致個人資料被竊取、洩漏、竄改或遭受其他侵害情形時,該機關或單位應主動查明事實,並以適當的方式通知當事人。此條重點在於資訊安全事件發生後的責任與回應機制,保障當事人知情權與後續處置機會。
條文舉例
某醫院因內部人員操作不當導致病患資料外洩,屬於違反個資法之行為。院方應立即調查事件發生原因,並透過電話、簡訊或書面等方式主動通知受影響的病患,說明情況並提醒後續注意事項,如身分盜用風險或如何申請補救措施。
第13條【請求處理期限及延長規定】
條文說明
1.公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
2.公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
條文摘要
請求查詢、閱覽、複製資料時,機關需在規定期限內回覆准駁,延長期限有上限且需通知。
條文舉例
當民眾依第十條請求查詢個資時,政府機關必須在15天內回覆是否同意,若因故需要延長,最多可延長15天,並書面通知民眾原因。
第14條【查詢、閱覽及製給複製本費用】
條文說明
查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。
條文摘要
查閱及複製個人資料時,機關可收取合理費用。
條文舉例
若申請複製個人資料,機關可收取紙張及影印等成本費用。
🌱 花果山成長基地的願景
花果山成長基地秉持著推動每間企業落實 RBA 社會責任的理念,致力於打造一個友善、具社會貢獻與負責任的企業環境,並以創新管理策略促進企業長期穩健發展。
🤔 想聽聽你的想法!
- 你是否曾經發現自己的個資被濫用?當時你怎麼處理?
- 你認為哪些行業最應該重視個資保護?為什麼?
- 如果你是主管,會怎麼教育員工處理顧客資料?
📲 想獲得更多實務案例與法規解析?
立即加入【花果山成長基地LINE@】👇 👉
