全民个资保卫时代来临！

　　新版《个人资料保护法》101年10月1日正式上路，有别其前身《电脑处理个人资料保护法》，本法扩充了其保护范围，不再限于电脑个人资料，适用对象也不仅止于原本的公务机关及八大行业的非公务机关；对于过去为人诟病的特种个人资料之保护、损害赔偿机制之设计，亦有了大幅度的变革。针对想一探自身权益何在的民众、组织内亟思推动个资安全保护措施却不知从何入手的经理人、个资顾问、企业辅导专家……，眼前这本兼具法律解析与实务操作的最新教战守则，将是您的不二之选！

作者简介

吕锦峯

　　国立中兴（台北）大学法律系法学士、法学硕士、中国政法大学经济法学博士

　　经历：台北市警局法律顾问、青年发展基金会法律服务团团长、台北市政府交通大队法律顾问、中华青年法律服务协会副理事长、保成文教补习班讲师、内湖、中山社区大学讲师、中正纪念堂法律常识班讲师、行政院大陆委员会台商张老师

　　现职：海湾国际法律事务所律师

　　着作：保险法新论、速解信託实务案例、劳退新制教战大公开、经商中国人力资源Easy Know、个人资料保护法教战守则

　　海湾国际法律事务所
　　Tel：+886-2-2562-7700
　　e-mail：lawrencelu888@yahoo.com.tw

谢持恆

　　现任：个资顾问、中华民国电脑稽核协会监事、资安人杂志编辑顾问

　　曾任：永丰金控资讯安全主管、安侯建业会计师事务所副理、淡江大学讲师、中华民国银行公会资安小组委员

　　专业认证：BS 10012 LA国际个资管理系统主导稽核员考试及格、CISA国际电脑稽核师、CISM国际资讯安全经理人、CGEIT国际企业资讯治理师、CRISC国际资讯风险控制师认证、ISO 20000 Consultant资讯服务顾问师、ISO 27001 LA国际资讯安全管理系统主导稽核员考试及格、ISO 20000 LA资讯服务管理系统主导稽核员考试及格

第一章　本书简介
壹、新旧个资法有何差别？
一、保护主体范围扩大
二、适用主体
三、无论直接或间接蒐集个人资料，均需告知当事人
四、新增加团体诉讼的机制
五、调整民事、刑事及行政罚则
六、增修行为规范
贰、公务机关运用个人资料须知

参、非公务机关运用个人资料须知

第二章　个人资料保护法常见问题解析
第1条
Ｑ：《个人资料保护法》保障的范围有哪些？

第2条
Ｑ：何谓「个人资料」？
Ｑ：如果不在《个人资料保护法》第2条所列的个人资料项目，如何判断是否为个人资料？
Ｑ：何谓个人资料的「蒐集」？
Ｑ：何谓个人资料的「处理」？
Ｑ：何谓个人资料的「利用」？

第3条
Ｑ：当事人依《个人资料保护法》所拥有的基本权利为何？

第4条
Ｑ：如果委託其他单位蒐集、处理、利用个人资料，受託机关是否适用《个人资料保护法》？

第6条
Ｑ：何谓「特种个人资料」？
Ｑ：对于特种个人资料，有哪些限制？
Ｑ：特种个人资料在何种情况下可以蒐集、处理、利用？

第8条
Ｑ：直接蒐集个人资料时，应告知哪些事项？
Ｑ：哪些情形在直接蒐集个人资料时可以不用告知？

第9条
Ｑ：间接蒐集的个人资料，是否仍需要告知？
Ｑ：间接蒐集的个人资料，应告知的内容为何？
Ｑ：哪些情形在间接蒐集的个人资料可以免告知？

第10条
Ｑ：哪些情形可不依据当事人之请求，就蒐集的个人资料，答覆查询、提供阅览或制给复制本？

第11条
Ｑ：个人资料删除的时机为何？
Ｑ：违反《个人资料保护法》规定所蒐集、处理、利用的个人资料，停用的时机为何？

第12条
Ｑ：如有发生个人资料事故时，是否需要通知当事人？

第13条
Ｑ：针对当事人请求就其蒐集之个人资料答覆查询、提供阅览或制给复制本的准驳时限为何？
Ｑ：针对当事人就其蒐集之个人资料要求删除的准驳时限为何？

第14条
Ｑ：当事人要求查询或请求阅览个人资料或制给复制本，是否可以收费？

第15条
Ｑ：公务机关蒐集个人资料，有何限制？

第16条
Ｑ：公务机关对个人资料是否可以有特定目的外的利用？

第17条
Ｑ：公务机关需要公开的事项有哪些？

第18条
Ｑ：非公务机关对个人资料的蒐集或处理有什么限制？

第19条
Ｑ：非公务机关对个人资料特定目的外的利用有何限制？
Ｑ：当事人如拒绝行销时，应如何处理？
Ｑ：非公务机关于首次行销时，是否要提供当事人拒绝接受行销的方式？

第21条
Ｑ：有何种情形是非公务机关不能执行国际传输个人资料的？

第22条
Ｑ：中央目的主管机关是否具有行政检查权？

第25条
Ｑ：非公务机关违反《个人资料保护法》时，中央目的事业主管机关会有何惩处？

第27条
Ｑ：非公务机关是否需要订定个人资料档案安全维护计画？

第28条
Ｑ：民众存于公务机关之个人资料外洩而遭不法蒐集、处理或利用时，公务机关有何民事责任？
Ｑ：请求损害赔偿时，金额如何计算？
Ｑ：被害人人数众多时，赔偿金额有无上限？每人的下限为何？
Ｑ：被害人所受非财产上之损害赔偿请求权可否让与或继承？

第29条
Ｑ：民众存于非公务机关之个人资料外洩而遭不法蒐集、处理或利用时，非公务机关有何责任？如何求偿？

第30条、第36条
Ｑ：《个人资料保护法》中损害赔偿请求权之时效为何？

团体诉讼之情形，时效又如何计算？
第31条
Ｑ：《个人资料保护法》之损害赔偿，除本法规定外，所适用之法律规定为何？

第33条
Ｑ：依《个人资料保护法》规定，对公务或非公务机关提起损害赔偿之诉，由何法院管辖？

第32条、第40条
Ｑ：基于同一原因事实造成多数当事人权利受侵害之事件，依《个人资料保护法》规定可否进行团体诉讼？如何进行？

第32条
Ｑ：依《个人资料保护法》提起团体诉讼之财团法人或公益社团法人须具备何种资格？

第34条
Ｑ：已授权财团法人或公益社团法人提起诉讼后，是否可对前述法人撤回授权？
Ｑ：同一事件亦受有损害但尚未参与团体诉讼之当事人，是否可再加入已经开始进行之团体诉讼？
Ｑ：如未依本法规定参加团体诉讼之当事人，可否自行提起诉讼？
Ｑ：当事人可透过何种管道查阅法院晓示起诉之公告？

第35条
Ｑ：当事人撤回诉讼实施权之授与，效果为何？
Ｑ：起诉后，若因部分当事人撤回诉讼实施权之授与，导致团体诉讼不足二十人，诉讼是否继续进行？

第37条
Ｑ：财团法人或公益社团法人被授与诉讼实施权后，有何权利与限制？

第38条
Ｑ：团体诉讼经判决后，若有个别当事人对第一审结果不满意，可否自行提起上诉？

第39条
Ｑ：团体诉讼经判决后，财团法人或公益社团法人如何分配所得赔偿？可否请求报酬？

第41条、第47条
Ｑ：违反《个人资料保护法》第6条第1项特种资料不得蒐集、处理或利用之规定，有何刑事上责任？是否有行政罚锾之规定？
Ｑ：非公务机关违反《个人资料保护法》第19条蒐集、处理个人资料应有特定目的之规定，有何刑事上责任？是否有行政罚锾之规定？
Ｑ：非公务机关违反《个人资料保护法》仅得于第20条第1项规定各款情形而为特定目的外利用个人资料，有何刑事上责任？是否有行政罚锾之规定？
Ｑ：非公务机关违反中央目的事业主管机关依《个人资料保护法》第21条规定限制国际传输之命令或处分，有何刑事上责任？是否有行政罚锾之规定？

第41条
Ｑ：公务机关违反《个人资料保护法》第15条蒐集、处理个人资料之规定，或违反第16条利用个人资料之规定，有何刑事上责任？.............................................47

第42条
Ｑ：犯《个人资料保护法》第42条非法妨害个人资料档案正确之罪，刑责为何？

第43条
Ｑ：中华民国人民在境外犯本法之罪时，是否适用本法？

第44条
Ｑ：公务员犯《个人资料保护法》中之罪，是否加重其刑责？

第45条
Ｑ：本法之罪是否属告诉乃论之罪？

第46条
Ｑ：犯本章之罪，如其他法律亦同时有处罚规定，如何论其刑责轻重？

第48条、第49条
Ｑ：非公务机关违反哪些《个人资料保护法》规定须受新台币二万元至二十万元之行政罚？

第50条
Ｑ：若公司、行号因违反本法而受行政罚锾，则代表人是否亦须受罚？

第51条
Ｑ：基于私人社交活动、家庭活动之目的蒐集、处理或利用个人资料，是否适用《个人资料保护法》？
Ｑ：在公开场所或公开活动中所蒐集、处理或利用之个人资料，是否适用《个人资料保护法》？
Ｑ：在中华民国以外的地方蒐集、处理或利用个人资料，有无本法之适用？

第52条
Ｑ：中央目的事业主管机关或直辖市、县（市）政府依本法第22条至第26条规定执行检查、扣留或复制等权限时，可否委任或委託他人办理？

第53条
Ｑ：《个人资料保护法》中所定之特定目的及个人资料类别，由何政府机构订定？

第54条
Ｑ：如果是在本法修正施行前已间接蒐集之个人资料，应如何适用本法第9条有关告知义务之规定？

第56条
Ｑ：本法修正草案已于民国99年5月26日经总统公布，请问何时施行？
Ｑ：依旧法须登记并发给执照之非公务机关，是否仍须依本法登记并发给执照后，始得就个人资料为蒐集、电脑处理或国际传递及利用？

第三章　个人资料保护法案例解析
1 为何要制定《个人资料保护法》？
2 企业营业资料是否为《个人资料保护法》的保护对象？
3 委託他人蒐集、处理或利用个人资料时，当事人应向谁行使权利？
4 个人资料之蒐集、处理或利用与比例原则的关系为何？
5 医疗机构可否将健检资料提供予其他机关？
6 保险业如何蒐集、处理或利用客户的病历等个人资料？
7 向当事人蒐集个人资料时之告知义务为何？
8 蒐集非由当事人提供之个人资料时之告知义务为何？
9 当事人对于自己的个人资料可否向蒐集者请求制给复制本？
10 当事人可否对个人资料蒐集者请求更正或补充？
11 民众可否要求公务机关停止处理或利用个人资料？
12 当事人提供资料之特定目的消失时，可否请求蒐集者停止利用个人资料？
13 医院误以为民众有法定传染病而通知主管机关后发现错误时，是否负有通知主管机关的义务？
14 客户个人资料洩露后，蒐集机关是否负有通知当事人的义务？
15 公务机关合法蒐集、处理个人资料之要件？
16 公务机关可否将所蒐集民众之个人资料提供学术使用？
17 公务机关如何履行个人资料的安全维护义务？
18 公司征聘员工时，可否要求应征者填具「性取向」等隐私资讯？
19 医院的捐血中心可否因救急而将个人资料提供给其他医院？
20 人肉搜索是否违反《个人资料保护法》？
21 银行可否利用行内所蒐集之客户开户资料向个别客户行销理财产品？
22 公司将客户资料作跨国传输，是否会受到限制？
23 主管机关如何监管个人资料的蒐集、处理及利用？
24 个人资料洩露后，公务机关应负之民事责任为何？
25 因电脑遭骇导致客户资料洩漏时，公司为免除其民事责任，应负何举证义务？
26 个人资料洩露后，非公务机关应负之民事与行政责任为何？
27 个人资料受侵害的当事人如何进行团体诉讼？
28 民众依《个人资料保护法》请求损害赔偿时，有无消灭时效的限制？
29 非公务机关违反《个人资料保护法》时，代表人是否会同受行政罚？
30 非法变更个人资料时，依《个人资料保护法》规定该当何罪？
31 自然人为个人目的而蒐集、处理个人资料时，是否适用《个人资料保护法》？
32 蒐集机关在本法修正施行前所取得非由当事人提供之个人资料，应如何履行告知义务？

第四章　组织内如何落实个人资料保护法？
壹、何谓「个人资料安全维护计画」？

贰、简介「个资生命週期」
一、蒐集
二、产生
三、使用
四、储存
五、传送
六、销毁

参、如何建置个资管理组织？
一、所要执行的工作
二、所要发布的规章制度

肆、界定个人资料之范围
伍、个人资料之风险评估与管理
一、100%安全？
二、分阶段的三种「控制」
三、风险评估的方法
四、如何进行风险控制？

陆、个资事故之预防、通报及应变机制

柒、个人资料蒐集、处理及利用之程序

捌、资料安全及人员管理
一、任用以前
二、任用期间
三、离职以后

玖、认知宣导与教育训练

拾、资料安全稽核机制
一、确认稽核目的和范围
二、稽核计画准备
三、执行稽核阶段
四、整理工作底稿阶段
五、撰写稽核报告阶段

拾壹、使用纪录轨迹资料及证据的保存
一、身分鑑别与授权管理
二、资料安全
三、与资讯环境相关

拾贰、个人资料安全维护之整体持续改善
一、规划（Plan）
二、执行（Do）
三、检查（Check）
四、行动（Act）

附　录
电脑处理个人资料保护法修正条文对照表
个人资料保护法施行细则