作者

財團法人資訊工業策進會科技法律研究所

為明日科技鋪軌，替未來趨勢導航，科技的奔馳，需要優質法制環境之營造。1989年，資訊工業策進會在資訊市場情報中心之下，正式編制「資訊法律研究小組」，協助資訊產業掌握全球脈動，追求卓越的國際競爭力。1996年，在經濟部科技專案支持之下，研究團隊轉型成為獨立編制的「科技法律中心」（Science & Technology Law Center），並於2011年起更名為「科技法律研究所」（Science & Technology Law Institute），以承先啟後開拓創新之精神在瞬息萬變的科技洪流中，引領科技產業走向另一波高峰。

承諾與執著：
自誕生之日起，科技法律研究所即肩負科技及產業政策法制智庫、產業共通性法律制度推手的重責大任。面對資訊化、科技化及全球化的強勢挑戰，本所堅持以精深的法律專業提供務實的解決方案，除了提供本會所需之法律事務服務外，多年來更是持續協助政府打造優質的科技與新興產業發展法制環境，引領我國接軌國際、布局全球。
為將法制策略能力轉化為影響世界版圖的嶄新行動，未來本所規劃延伸專業觸角，擴大國際交流與合作的範圍，承諾讓本所不僅成為科技與法律的匯集點，更要成為促進臺灣與世界連結的標竿型研究重鎮。

願景與目標：
科技法律研究所的成長，一如我國科技與新興產業法制環境建構的軌跡，從無到有、備極艱辛。然而，在奠定架構的過程中，本所的優質團隊始終秉持著創新、關懷、實踐的信念，在時空推移間，用心關注與擘畫科技與新興產業法制的每一步進程。
一路走來，紮實的耕耘促使本所研究範圍簇集於科技與產業發展、科技研發體系、技術移轉、智慧財產權、資通訊、資訊安全、電子商務、永續能源、新興科技、文化創意等核心議題，並擴及至國際經貿與競爭秩序等外延領域。本所不僅洞見全球法制變動趨勢，並掌握產業脈動，引領臺灣科技走向全世界。
展望未來，本所將持續致力深化及拓展團隊整體的研究能量與專業能力，並且積極尋求與國際重要法制同步接軌。
成為大中華區最頂尖的科技法律政策與制度推動者，是我們堅定不移的目標。

目錄

推薦序
前言

第一章　認識個資法
Q1 「隱私」與「個人資料」是不是相同的概念？
Q2 個資法會不會溯及既往？
Q3 個資法修正歷程重點為何？

第二章　何謂個人資料
壹、個人資料基本概念
Q1 何謂個人資料？
Q2 哪些人的資料是個人資料？
Q3 哪些資訊可以被認為是個人資料？
Q4 「就業服務法」第5條所謂隱私資料是否受個資法所保護？
Q5 有無不適用個資法之個人資料？
Q6 已經去識別化的資料是否仍有個資法之適用？
Q7 何謂個人資料檔案？
貳、特種個人資料
Q1 何謂特種個人資料？
Q2 特種個人資料之六類資料分別規定為何？

第三章　誰該遵守個資法
壹、個資法適用對象
Q1 個資法跟我有關係嗎？我需要遵守個資法嗎？
Q2 個資法規範下，公務機關與非公務機關有何差別？
貳、區分公務機關與非公務機關
Q1 學校是「公務機關」還是「非公務機關」？
Q2 醫院是「公務機關」還是「非公務機關」？
Q3 國營事業是「公務機關」還是「非公務機關」？
參、我國個資法的地域效力
Q1 在國外蒐集、處理、利用之機關是否適用於個資法？
Q2 我國人民於外國電子商務網站上購物消費，使該外國公司有蒐集、處理及傳輸我國人民個人資料事實時，我國個資法規範應如何適用？
Q3 中國最大的叫車平台「DiDi—滴滴出行」，曾於2018年進入臺灣市場，一般民眾需要安裝及註冊後始得使用該APP。請問：對於非屬於我國企業蒐集我國人民之個人資料，並由境外的香港伺服器儲存乘客及司機資料，應注意及遵守我國個資法哪些規範？

第四章　個資法的核心行為規範
壹、蒐集、處理與利用
Q1 個資法上的蒐集係指何種行為？
Q2 個資法上的處理與利用應如何區分？
Q3 公務機關如何合法地蒐集、處理與利用個人資料？
Q4 非公務機關如何合法蒐集、處理與利用個人資料？
貳、對當事人告知
Q1 個資法上的告知義務規範為何？
Q2 什麼情況下可以免除告知義務？
參、同意
Q1 個資法上的「同意」內涵為何？
Q2 書面同意之相關規定為何？
肆、目的外利用
Q1 個人資料可否於蒐集的特定目的以外為利用？
Q2 使用個人資料行銷時應注意哪些事項？
伍、對特種個人資料的蒐集、處理與利用
Q1 個資法對特種個人資料的蒐集、處理與利用上有何特殊限制？
Q2 將含有特種個人資料之法院判決張貼於公開地點是否違反個資法？
Q3 販賣殘留個人基因的物品有無違反個資法？

第五章　個人資料委外
Q1 個資法第4條中受託者「視同」委託機關應如何解釋？
Q2 委託機關對於受託者的監督義務該包含什麼事項？
Q3 受託者的義務為何？

第六章　國際傳輸
壹、我國規範
Q1 個人資料國際傳輸的定義為何？我國個資法對此有何規定與限制？
Q2 我國企業應如何進行國際傳輸？
貳、國際重要相關立法
Q1 國際上對於個人資料的國際傳輸採取什麼樣的態度呢？
Q2 目前其他國家對於國際傳輸的管制，大概採取什麼樣的作法呢？

第七章　當事人權利維護
Q1 個資法提供了什麼權利給個人資料當事人？
Q2 當事人權利可否由他人代為行使？
Q3 當事人權利行使的對象是誰？
Q4 當事人行使權利時，公務機關或非公務機關應注意哪些事項？
Q5 個人資料之查詢、閱覽、製給複製本有哪些重點？
Q6 何謂個人資料正確性？誰負擔資料正確之義務？如何才能維護資料之正確性？
Q7 個人資料之補充、更正有哪些重點？
Q8 個人資料停止蒐集、處理、利用或刪除有哪些重點？
Q9 應以何種方式刪除個人資料？

第八章　個人資料安全管理法定事項
Q1 完整的個人資料安全維護架構為何？又應該要做到什麼標準才算合法？
Q2 如何界定個人資料的範圍？
Q3 如何進行個人資料之風險評估及設計對應之管理機制？
Q4 如何將個人資料管理程序落實於日常業務中？
Q5 不幸發生個人資料事故時，應如何處理？
Q6 如何進行認知宣導或教育訓練？
Q7 為何要保存使用紀錄、軌跡資料及證據？
Q8 實務上常見事故態樣有哪些？有無預防事故之方法？

第九章　個資法上各種違法責任
壹、民事責任、行政責任、刑事責任之差別
貳、行政檢查與行政罰
Q1 非公務機關違反個資法，會受到行政裁罰嗎？
Q2 非公務機關違反個資法，代表人、管理人也會受到行政裁罰嗎？
Q3 除了行政罰鍰，非公務機關違反個資法，還可能被裁處其他行政處分嗎？
Q4 前述罰鍰、處分的裁罰機關是法務部嗎？我國個資法的主管機關是法務部嗎？
Q5 什麼是行政檢查？誰可以執行行政檢查？可以拒絕行政檢查嗎？
Q6 行政檢查發動的要件與內容為何？
Q7 行政檢查時會發生什麼事？有什麼救濟管道？
參、民事責任與團體訴訟
Q1 公務機關違反個資法會有民事責任嗎？
Q2 非公務機關違反個資法會有民事責任嗎？
Q3 若自己的權利被侵害，能請求什麼賠償嗎？請求賠償需要證明實際損失嗎？
Q4 若無法自己提告，還能請求賠償嗎？
Q5 由財團法人或公益社團法人代為訴訟，會影響賠償金額嗎？
肆、刑事責任
Q1 誰會因為違反個資法而有刑事責任？事由為何？責任多重？
Q2 被害者該如何主張權利？

第十章　個人資料保護國際概況掃描
壹、澳大利亞（澳洲）
Q1 澳洲的個人資料保護／隱私規範的發展與特色為何？
Q2 澳洲「聯邦隱私法」所規範之義務與權利為何？
貳、日本
Q1 日本為我國國人經常旅遊之地，請問日本關於個人資料保護，其法律的制度為何？
Q2 設置於歐盟境內設有據點之日本企業，蒐集歐盟人民的個資欲跨境傳輸回日本總公司處理時，應適用歐盟GDPR，抑或適用日本個資法為妥？
參、馬來西亞
Q1 新南向政策下，我國與東協（ASEAN）諸國來往日益密切，馬來西亞為東協大國，占主導地位，其個人資料保護法制發展、架構與重點規範為何？
Q2 馬來西亞個資法所規範之義務與權利為何？
肆、新加坡
Q1 新加坡為東協成員，又是亞洲四小龍之一，作為都市國家的典範，其法制常作為我國借鏡，其個資保護法制之發展架構為何？
Q2 新加坡個人資料保護法制與我國相比有何特色？
伍、美國
Q1 美國晚近較為重要的立法即為加州「消費者隱私法」，其內容為何？
Q2 美國隱私立法以州層級為主，但聯邦卻少見地針對兒童隱私保護議題制定相關法律，其規範特色有何值得我國參考之處？

第十一章　 臺灣個人資料保護與管理制度（TPIPAS）
Q1 何謂臺灣個人資料保護與管理制度（TPIPAS）？
Q2 TPIPAS是否一定要全機關、全範圍驗證？
Q3 通過TPIPAS驗證或特定範圍檢視對機關有什麼助益？

附錄
一　個人資料保護法
二　個人資料保護法施行細則
三　個人資料保護法非公務機關之中央目的事業主管機關列表
四　各中央目的事業主管機關發布之「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」等相關事項之辦法一覽表（依發布機關分類）
五　公開資源與其他資訊

序／導讀

序

「這是一個最好的時代，這是一個最壞的時代；這是一個智慧的年代，這是一個愚蠢的年代；這是一個光明的季節，這是一個黑暗的季節；這是希望之春，這是失望之冬；人們面前應有盡有，人們面前一無所有；人們正踏上天堂之路，人們正走向地獄之門。」

借用狄更斯《雙城記》的開頭名言正好足以道盡，當前新興科技發展與應用面臨隱私議題與個人資料保護的處境。人類發展隨著數次產業革命的蛻變，近代在資通訊科技的長足發展，資料運算能力的提升一直是最為關鍵的進展之一。如今傳輸能力逐步走入5G環境的布建，加以人工智慧在各種情境的應用發展，諸如醫療、製造、資服、零售等等領域，不僅持續改變人類生活的步調與模式，也改變著產業看待資料的方式，使得企業導入數位轉型，以及資料經濟的發展成為最熱門的課題。

事實上，這也頻頻突顯出國內產業結構面對個人資料保護與保護成本之衡平，以及產業如何有效利用資料的問題。然而，個人資料保護與產業利用之間並非絕對性的衝突，當個人對個人資料的保護意識抬頭，唯有合法且妥善管理的個人資料，才是人工智慧等技術發展所需要的大量且高品質之資料，更是數位轉型、資料經濟的堅強基石。同時，當國際趨勢發展無論是歐盟「一般資料保護規則」（GDPR），抑或是亞太經合組織（APEC）所推動的「跨境隱私保護規則」（CBPR），都不斷在數位經濟發展議題下，強調資料傳輸跨境保護議題的重要性。換言之，我國醫療、製造、資服、零售等等領域的數位轉型發展，都無法輕忽個人資料保護的重要性。

我國「個人資料保護法」最新修正條文於2016年3月15日施行，隨著數年間實務上的持續運作，國內個人資料相關法律實務已有相當發展。然而，面臨著國際間近年來，諸如歐盟GDPR在2018年正式生效的最新發展，仍然存在力有未逮之處。在我國政府奮力加入APEC CBPR，及推動歐盟GDPR之適足性認定的當前，對於國內個人資料保護及環境的未來發展，有必要重新仔細的強化對現行法令的瞭解。為此，在各界的呼籲下，資策會科法所針對「個人資料保護法」的基礎入門書重新編輯改版，盼求可符合各界對個人資料保護基礎入門的需求。

本書以我國「個人資料保護法」之整體架構為脈絡，因應「個人資料保護法」最新修正條文，更新《個資保護1.0》相關法規內容說明，並新增個人資料保護國際概況掃描及臺灣個人資料保護與管理制度（TPIPAS）章節，透過深入淺出的內容說明個人資料保護與管理，搭配相關函釋及案例分析，使國內個人資料保護工作者更快速、清楚認識如何維護權益及遵循法律。期盼本書能拋磚引玉，吸引更多專業人士投入個人資料保護工作行列，也希望各界先進不吝指正，以使本書更臻完善。