第 6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、
處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當
安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計
或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資
料。
前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之
辦法,由中央目的事業主管機關會同法務部定之。
第 7 條 第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知
本法所定應告知事項後,所為允許之書面意思表示。
第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集
者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響
後,單獨所為之書面意思表示。
第 8 條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料
時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務
所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害第三人之重大利益。
五、當事人明知應告知之內容。
第 11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請
求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但
因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限
。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,
刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事
人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,
刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,
應於更正或補充後,通知曾提供利用之對象。
第 15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有
特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。
第 16 條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法
定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者
,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,
且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事
人。
六、有利於當事人權益。
七、經當事人書面同意。
第 19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應
有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過
提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利
用,顯有更值得保護之重大利益者,不在此限。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之
處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人
資料。
第 20 條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集
之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利
用:
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,
且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事
人。
六、經當事人書面同意。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時
,應即停止利用其個人資料行銷。
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支
付所需費用。
第 41 條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規
定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,
足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬
元以下罰金。
意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以
下罰金。
第 45 條 本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯
第四十二條之罪者,不在此限。
第 53 條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關
指定之。
第 54 條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利
用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期
未告知而處理或利用者,以違反第九條規定論處。
第 1 條 為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理
利用,特制定本法。
第 2 條 個人資料之保護,依本法之規定。但其他法律另有規定者,依其規定。
第 3 條 本法用詞定義如左:
一、個人資料:指自然人之姓名、出生年月日、身分證統一編號、特徵、
指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動
及其他足資識別該個人之資料。
二、個人資料檔案:指基於特定目的儲存於電磁紀錄物或其他類似媒體之
個人資料之集合。
三、電腦處理:指使用電腦或自動化機器為資料之輸入、儲存、編輯、更
正、檢索、刪除、輸出、傳遞或其他處理。
四、蒐集:指為建立個人資料檔案而取得個人資料。
五、利用:指公務機關或非公務機關將其保有之個人資料檔案為內部使用
或提供當事人以外之第三人。
六、公務機關:指依法行使公權力之中央或地方機關。
七、非公務機關:指前款以外之左列事業、團體或個人:
(一) 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。
(二) 醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。
(三) 其他經法務部會同中央目的事業主管機關指定之事業、團體或個人
。
八、當事人:指個人資料之本人。
九、特定目的:指由法務部會同中央目的事業主管機關定之者。
第 4 條 當事人就其個人資料依本法規定行使之左列權利,不得預先拋棄或以特約
限制之:
一、查詢及請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止電腦處理及利用。
五、請求刪除。
第 5 條 受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內
,其處理資料之人,視同委託機關之人。
第 6 條 個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,
不得逾越特定目的之必要範圍。
第 7 條 公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形
之一者,不得為之:
一、於法令規定職掌必要範圍內者。
二、經當事人書面同意者。
三、對當事人權益無侵害之虞者。
第 8 條 公務機關對個人資料之利用,應於法令職掌必要範圍內為之,並與蒐集之
特定目的相符。但有左列情形之一者,得為特定目的外之利用:
一、法令明文規定者。
二、有正當理由而僅供內部使用者。
三、為維護國家安全者。
四、為增進公共利益者。
五、為免除當事人之生命、身體、自由或財產上之急迫危險者。
六、為防止他人權益之重大危害而有必要者。
七、為學術研究而有必要且無害於當事人之重大利益者。
八、有利於當事人權益者。
九、當事人書面同意者。
第 9 條 公務機關對個人資料之國際傳遞及利用,應依相關法令為之。
第 10 條 公務機關保有個人資料檔案者,應在政府公報或以其他適當方式公告左列
事項;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱。
三、個人資料檔案利用機關名稱。
四、個人資料檔案保有之依據及特定目的。
五、個人資料之類別。
六、個人資料之範圍。
七、個人資料之蒐集方法。
八、個人資料通常傳遞之處所及收受者。
九、國際傳遞個人資料之直接收受者。
十、受理查詢、更正或閱覽等申請之機關名稱及地址。
前項第五款之個人資料之類別,由法務部會同中央目的事業主管機關定之
。
第 11 條 左列各款之個人資料檔案,得不適用前條規定:
一、關於國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益
者。
二、關於司法院大法官審理案件、公務員懲戒委員會審議懲戒案件及法院
調查、審理、裁判、執行或處理非訟事件業務事項者。
三、關於犯罪預防、刑事偵查、執行、矯正或保護處分或更生保護事務者
。
四、關於行政罰及其強制執行事務者。
五、關於入出境管理、安全檢查或難民查證事務者。
六、關於稅捐稽徵事務者。
七、關於公務機關之人事、勤務、薪給、衛生、福利或其相關事項者。
八、專供試驗性電腦處理者。
九、將於公報公告前刪除者。
十、為公務上之連繫,僅記錄當事人之姓名、住所、金錢與物品往來等必
要事項者。
十一、公務機關之人員專為執行個人職務,於機關內部使用而單獨作成者
。
十二、其他法律特別規定者。
第 12 條 公務機關應依當事人之請求,就其保有之個人資料檔案,答覆查詢、提供
閱覽或製給複製本。但有左列情形之一者,不在此限:
一、依前條不予公告者。
二、有妨害公務執行之虞者。
三、有妨害第三人之重大利益之虞者。
第 13 條 公務機關應維護個人資料之正確,並應依職權或當事人之請求適時更正或
補充之。
個人資料正確性有爭議者,公務機關應依職權或當事人之請求停止電腦處
理及利用。但因執行職務所必需並註明其爭議或經當事人書面同意者,不
在此限。
個人資料電腦處理之特定目的消失或期限屆滿時,公務機關應依職權或當
事人之請求,刪除或停止電腦處理及利用該資料。但因執行職務所必需或
經依本法規定變更目的或經當事人書面同意者,不在此限。
第 14 條 公務機關應備置簿冊,登載第十條第一項所列公告事項,並供查閱。
第 15 條 公務機關受理當事人依本法規定之請求,應於三十日內處理之。其未能於
該期間內處理者,應將其原因以書面通知請求人。
第 16 條 查詢或請求閱覽個人資料或製給複製本者,公務機關得酌收費用。
前項費用數額由各機關定之。
第 17 條 公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項
,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第 18 條 非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情
形之一者,不得為之:
一、經當事人書面同意者。
二、與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。
三、已公開之資料且無害於當事人之重大利益者。
四、為學術研究而有必要且無害於當事人之重大利益者。
五、依本法第三條第七款第二目有關之法規及其他法律有特別規定者。
第 19 條 非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人
資料之蒐集、電腦處理或國際傳遞及利用。
徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人,應經目的
事業主管機關許可並經登記及發給執照。
前二項之登記程序、許可要件及收費標準,由中央目的事業主管機關定之
。
第 20 條 申請為前條之登記,應具申請書,載明左列事項:
一、申請人之姓名、住、居所。如係法人或非法人團體,其名稱、主事務
所、分事務所或營業所及其代表人或管理人之姓名、住、居所。
二、個人資料檔案名稱。
三、個人資料檔案保有之特定目的。
四、個人資料之類別。
五、個人資料之範圍。
六、個人資料檔案之保有期限。
七、個人資料之蒐集方法。
八、個人資料檔案之利用範圍。
九、國際傳遞個人資料之直接收受者。
十、個人資料檔案維護負責人之姓名。
十一、個人資料檔案安全維護計畫。
前項應記載之事項有變更者,應於變更後十五日內申請為變更登記。業務
終止時,應於終止事由發生時起一個月內申請為終止登記。
為前項業務終止登記之申請時,應將其保有個人資料之處理方法陳報目的
事業主管機關核准。
第一項第三款之特定目的與第四款之資料類別,由法務部會同中央目的事
業主管機關定之。
第一項第十一款之個人資料檔案安全維護計畫之標準及第三項之處理方法
,由中央目的事業主管機關定之。
第 21 條 前條申請登記核准後,非公務機關應將前條第一項第一款至第十款所列之
事項於政府公報公告並登載於當地新聞紙。
第 22 條 非公務機關應備置簿冊登載第二十條第一項第一款至第十款所列事項,並
供查閱。
第 23 條 非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但
有左列情形之一者,得為特定目的外之利用:
一、為增進公共利益者。
二、為免除當事人之生命、身體、自由或財產上之急迫危險者。
三、為防止他人權益之重大危害而有必要者。
四、當事人書面同意者。
第 24 條 非公務機關為國際傳遞及利用個人資料,而有左列情形之一者,目的事業
主管機關得限制之:
一、涉及國家重大利益者。
二、國際條約或協定有特別規定者。
三、接受國對於個人資料之保護未有完善之法令,致有損當事人權益之虞
者。
四、以迂迴方法向第三國傳遞或利用個人資料規避本法者。
第 25 條 目的事業主管機關,認有必要時,得派員攜帶證明文件,對於應受其許可
或登記之非公務機關,就本法規定之相關事項命其提供有關資料或為其他
必要之配合措施,並得進入檢查。經發現有違反本法規定之資料,得扣押
之。
對於前項之命令、檢查或扣押,非公務機關不得規避、妨礙或拒絕。
第 26 條 第十二條、第十三條、第十五條、第十六條第一項及第十七條之規定,於
非公務機關準用之。
非公務機關準用第十六條第一項規定酌收費用之標準,由中央目的事業主
管機關定之。
第 27 條 公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但
損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,
並得請求為回復名譽之適當處分。
前二項損害賠償總額,以每人每一事件新臺幣二萬元以上十萬元以下計算
。但能證明其所受之損害額高於該金額者,不在此限。
基於同一原因事實應對當事人負損害賠償責任者,其合計最高總額以新臺
幣二千萬元為限。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或
已起訴者,不在此限。
第 28 條 非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。
但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第五項之規定。
第 29 條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行
使而消滅;自損害發生時起,逾五年者,亦同。
第 30 條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機
關適用民法之規定。
第 31 條 當事人向公務機關行使第四條所定之權利,經拒絕或未於第十五條所定之
期限內處理者,當事人得於拒絕後或期限屆滿後二十日內,以書面向其監
督機關請求為適當之處理。
前項監督機關應於收受請求後二個月內,將處理結果以書面通知請求人。
第 32 條 當事人向非公務機關行使第四條所定之權利,經拒絕後,當事人得於拒絕
後或期限屆滿後二十日內,以書面向其目的事業主管機關請求為適當之處
理。
前項目的事業主管機關應於收受請求後二個月內,將處理結果以書面通知
請求人。認其請求有理由者,並應限期命該非公務機關改正之。
第 33 條 意圖營利違反第七條、第八條、第十八條、第十九條第一項、第二項、第
二十三條之規定或依第二十四條所發布之限制命令,致生損害於他人者,
處二年以下有期徒刑、拘役或科或併科新臺幣四萬元以下罰金。
第 34 條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案
為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔案之正
確,致生損害於他人者,處三年以下有期徒刑、拘役或科新臺幣五萬元以
下罰金。
第 35 條 公務員假借職務上之權力、機會或方法,犯前二條之罪者,加重其刑至二
分之一。
第 36 條 本章之罪,須告訴乃論。
第 37 條 犯本章之罪,其他法律有較重處罰規定者,從其規定。
第 38 條 有左列情事之一者,由目的事業主管機關處負責人新臺幣二萬元以上十萬
元以下罰鍰,並令限期改正,逾期未改正者,按次處罰之:
一、違反第十八條規定者。
二、違反第十九條第一項或第二項規定者。
三、違反第二十三條規定者。
四、違反依第二十四條所發布之限制命令者。
有前項第一款、第三款或第四款之情事,其情節重大者,並得撤銷依本法
所為之許可或登記。
第 39 條 有左列情事之一者,由目的事業主管機關限期改正,逾期未改正者,按次
處負責人新臺幣一萬元以上五萬元以下罰鍰:
一、違反第二十條第二項之規定者。
二、違反第二十一條關於登載於當地新聞紙之規定者。
三、違反第二十二條規定者。
四、違反第二十六條第一項準用第十二條、第十三條、第十五條、第十七
條之規定者。
五、違反第二十六條第二項之收費標準者。
有前項第一款、第二款、第三款或第四款之情事,其情節重大者,並得撤
銷依本法所為之許可或登記。
第 40 條 有左列情事之一者,由目的事業主管機關,按次處負責人新臺幣一萬元以
上五萬元以下罰鍰:
一、不遵守目的事業主管機關依第二十條第三項核准方法處理者。
二、違反第二十五條第二項規定者。
三、違反依第三十二條第二項限期改正命令者。
有前項第二款或第三款之情事,其情節重大者,並得撤銷依本法所為之許
可或登記。
第 41 條 依本法所處之罰鍰,經通知限期繳納而逾期不繳納者,移送法院強制執行
。
第 42 條 法務部辦理協調連繫本法執行之相關事項;其協調連繫辦法,由法務部定
之。
依本法規定應由目的事業主管機關辦理之事項,如無目的事業主管機關者
,由法務部辦理之。
非公務機關個人資料之蒐集、電腦處理及利用之登記、公告或其他事項之
管理,法務部及目的事業主管機關必要時得委託公益團體辦理之。
第 43 條 本法公布施行前已從事個人資料之蒐集或電腦處理,而依本法規定應申請
登記或許可者,應於本法施行之日起一年內補辦之。
經法務部會同中央目的事業主管機關依第三條第七款第三目指定之事業、
團體或個人,應於指定之日起六個月內,辦理登記或許可。
逾期未為前二項之申請或申請未獲核准者,以未經核准登記或許可論處。
第 44 條 本法施行細則,由法務部定之。
第 45 條 本法自公布日施行。