修正條文

現行條文

說明

個人資料保護法施行細則

電腦處理個人資料保護法施行細則

配合本法名稱之修正，將名稱修正為「個人資料保護法施行細則」。

第一條 本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。

第一條 本細則依電腦處理個人資料保護法（以下簡稱本法）第四十四條規定訂定之。

配合本法名稱及條文之修正，酌作文字修正。

第二條 本法所稱個人，指現生存之自然人。

第二條 本法所定個人，指生存之特定或得特定之自然人。

本條酌作文字修正。又本法第二條第一款對於個人資料之定義，已修正為得以直接或間接方式識別該個人之資料，規範意義即為特定或得特定之自然人的個人資料，故刪除特定或得特定等文字。另本法立法目的之一為個人人格權之隱私權保護，唯生存之自然人方有隱私權受侵害之恐懼情緒及個人對其個人資料之自主決定，故增加「現」字，以為明確。

第三條 本法第二條第一款所稱得以間接方式識別該個人之資料，指僅以該資料不能識別，須與其他資料對照、組合、連結等，始能識別該特定個人者。但查詢困難、需耗費過鉅或耗時過久始能特定者，不在此限。

一、本條新增。

二、由於社會態樣複雜，有些資料雖未直接指名道姓，但一經揭露仍足以識別為某一特定人，因而本法第二條第一款個人資料之定義，已將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」，為明確間接方式識別該個人之資料之意義，爰為本條之規定。惟以間接方式識別之個人資料，如查詢有困難、需耗費過鉅或耗時過久始能特定者，屬技術上太複雜及經濟上不可行，則應屬無法識別之個人資料，爰規定如但書條文，以資衡平個人資料保護與個人資料合理利用。

第四條 本法第二條第一款所稱病歷之個人資料，指下列各款資料：

一、醫師依醫師法執行業務所製作之病歷。

二、各項檢查、檢驗報告資料。

三、其他各類醫事人員執行業務所製作之紀錄。（衛生署提供）

本法第二條第一款所稱醫療之個人資料，指除前項病歷以外，其他以治療、矯正或預防人體疾病、傷害、殘缺為目的，所為之診察、診斷及治療；或基於診察、診斷結果，以治療為目的，所為之處方、用藥、施術、或處置等行為全部或一部所產生之個人資料。（衛生署提供）

本法第二條第一款所稱基因之個人資料，指由一段去氧核醣核酸構成，為生物體控制特定功能之遺傳單位訊息。（衛生署提供）

本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。

本法第二條第一款所稱健康檢查之個人資料，指對於無明顯疾病症狀，非出於對特定疾病診斷或治療之目的，以醫療行為所為診察行為之全部或一部之總稱。（衛生署提供）

本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定之紀錄。

一、本條新增。

二、為使本法第二條第一款之病歷與第六條第一項之醫療、基因、性生活及健康檢查等概念，有統整性劃分說明與定義規定，以避免概念混淆，乃就病歷為定義，包括醫療機構及其他各類醫事機構中，醫事人員執行業務所製作之病歷或紀錄，爰規定如第一項。

三、因醫師法第二十八條規定，未具合法醫師資格，擅自執行醫療業務者，處....，故行政院衛生署對醫療行為作成定義，認為在一定目的下，所為綜合可產生療效之行為，均認定為醫療行為；以醫療行為所產生之個人資料，則認屬醫療之個人資料，爰參考規定如第二項。

四、本法第二條第一款之基因，參酌去氧核醣核酸採樣條例第三條規定，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息，爰規定如第三項。

五、本法第二條第一款之性生活（sexual life），應屬有關極為敏感且容易引起偏見或足使個人人格遭受歧視之性生活個人資料，依本條修正說明認為性生活包括性取向等相關事項，並參考澳洲一九九八年隱私權法第六條規定及二零零七年澳洲法律改革委員會之修法建議，將性生活界定為性取向（sexual orientation）及性慣行（sexual practices），爰規定如第四項。

六、本法第二條第一款之健康檢查亦屬醫療行為之一種，惟其與其他疾病診斷、治療之不同，在於係對於外觀健康之人，非以特定疾病之診斷為主要目的，爰規定如第五項。

七、本法第二條第一款之犯罪前科，參酌行刑累進處遇條例施行細則第八條規定，爰規定如第六項。

（刪除）

第三條 本法第三條第二款所稱電磁紀錄物或其他類似媒體，指錄製、記載有電磁紀錄之有體物，包括磁碟、磁帶、光碟、磁泡紀錄體、磁鼓及其他材質而具有儲存電磁紀錄之能力者。

前項所稱電磁紀錄，指以電子、磁性或其他無法以人知覺直接認識之方式所製作之紀錄，而供電腦處理之用者。

一、本條刪除。

二、為配合本法修正第二條第二款關於「個人資料檔案」之定義，並將電磁紀錄物或其他類似媒體等文字刪除，本條已無為定義性規定之必要，爰予刪除。

第五條 本法第二條第二款所稱個人資料檔案，包括備份檔案及軌跡資料。

第四條 本法第三條第二款所定個人資料檔案，包括備份檔案。

軌跡資料係指個人資料在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體之衍生資訊（LOG FILES），包括（但不限於）資料存取人之代號、存取時間、使用設備代號、網路位址（IP）、經過之網路路徑…等，可用於比對、查證資料存取之適當性。因此，為符合本法個人資料保護與個人資料合理利用之立法意旨，個人資料檔案除備份檔案之外，亦應包括軌跡資料在內，爰增訂如上。

第六條 本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。

前項規定，如為事後查核、比對或證明之需要而留存軌跡資料者，得不予刪除。

本法第二條第四款所稱內部傳送，係指公務機關或非公務機關本身內部之資料傳送。

第十條 本法第四條第五款所稱刪除，指依本法第十三條第三項規定，使已儲存之個人資料自個人資料檔案中消失而不復存在。

一、第一項配合本法條次，酌作文字修正。

二、刪除既指使已儲存之個人資料自個人資料檔案中消失，然如使個人資料自個人資料檔案中全部消失，將不利於電腦系統追查過往作業紀錄，為考量資訊安全與數位鑑識等證明作業之需要，乃增列由系統留存之必要軌跡資料，不在刪除之範圍內，爰規定如第二項。

三、第三項新增，明定內部傳送係指公務機關或非公務機關內部之資料傳送，例如公務機關內部各單位間之資料傳送，不包括上級機關傳送個人資料予下級機關，或者法人或團體或自然人之內部資料傳送。又內部傳送，包括機關內部跨國（境）之資料傳送。

（刪除）

第五條 本法第三條第三款所稱自動化機器，指具有類似電腦功能，而能接受指令、程式或其他指示自動進行事件處理之機器。

一、本條刪除。

二、本法對於是否用自動化處理之個人資料，均為相同之規定及法律效果，是現行條文已無規定之必要，爰予刪除。

（刪除）

第六條 本法第三條第五款所稱第三人，指保有個人資料檔案之公務機關或非公務機關以外之自然人、法人或其他團體。但不包括受委託處理資料之團體或個人。

一、本條刪除。

二、本法第二條第五款規定，已刪除現行條文第三條第五款所定第三人等文字，故本條已無規定之必要，爰予刪除。

（刪除）

第七條 本法第三條第七款第三目所稱事業、團體或個人，指其以電腦處理大量之個人資料，足以影響當事人之權益，而有規範之必要者。

一、本條刪除。

二、配合本法放寬規範主體之修正意旨，本法第二條第八款已修正刪除現行條文第三條第七款第三目，本條已無規定之必要，爰予刪除。

（刪除）

第八條 當事人向公務機關行使本法第四條所定之權利，其程序由公務機關定之。

當事人向非公務機關行使本法第四條所定之權利，其程序由其中央目的事業主管機關定之。

一、本條刪除。

二、有關公務機關對於當事人行使依本法第三條所定之權利，與政府資訊公開法所定權利有重疊之處，且相關程序已於各公務機關個人資料保護管理要點中規範，為免重複，爰刪除本條第一項規定。

三、有關非公務機關對於當事人行使依本法第三條所定之權利，為保持程序彈性並因應各行業特性，相關程序可納入本法第二十七條第三項個人資料檔案安全維護計畫及業務終止後個人資料處理方法等相關事項標準辦法，或於消費者保護法第十七條定型化契約應記載或不得記載之事項中規範，爰刪除本條第二項規定。

（刪除）

第九條 當事人行使本法第四條第一款及第二款所定權利時，其個人資料以自個人資料檔案中列印者為限。

一、本條刪除。

二、鑒於本法保護客體不再限於經電腦處理之個人資料，本法第二條第二款個人資料檔案，包括其他非自動化方式檢索、整理之個人資料之集合，故本條已無規定之必要，爰予刪除。

第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

前項情形，當事人行使本法之權利，應向委託機關為之。

第十一條 受公務機關或非公務機關委託電腦處理資料之團體或個人，應依本法規定處理個人資料。

前項情形，當事人行使本法之權利，應向委託機關為之。

一、配合本法第四條修正本條規定，將規範行為除個人資料之處理外，並包括蒐集及利用行為，爰修正如第一項。

二、受委託蒐集、處理或利用個人資料之法人、團體或自然人，依本法第四條規定，於本法適用範圍內視同委託機關，亦即仍以委託機關為權責歸屬機關，爰參考德國聯邦個人資料保護法第十一條之規定，當事人行使本法第三條查詢、閱覽、製給複製本、補充、更正、停止、刪除之權利，以及本法第二十八條至第三十一條之請求損害賠償之權利時，應以委託機關為對象。例如慈濟醫院委託臺大醫院進行某罕見疾病之病歷分析、術後追蹤、新藥與療程技術開發等研究，臺大醫院受委託蒐集、處理或利用個人資料於本法適用範圍內，將依慈濟醫院應適用本法之相關規定為之，當事人如有行使本法相關權利時，應向委託機關慈濟醫院為之。

第八條 委託他人蒐集、處理或利用個人資料之全部或一部時，委託人應對受託人為適當之監督。

前項監督至少應包含下列事項：

一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

二、受託人就第九條第二項應採取之必要措施。

三、有複委託者，其約定之受託人。

四、受託人或其受僱人違反個人資料保護法規或委託契約條款時，應向委託人通知之事項及採行之補救措施。

五、委託人對受託人保留指示之事項。

六、委託關係終止或解除時，個人資料載體之返還，及儲存於受託人持有個人資料之刪除。

第一項之監督，委託人應定期確認受託人執行之狀況，並將確認結果記錄之。

受託人僅得於委託人指示之範圍內，蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事，應立即通知委託人。

一、本條新增。

二、由於本法第四條規定，受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。為進一步釐清公務機關或非公務機關與其受託人之責任歸屬，爰參考日本個人資料保護法第二十二條規定，明定委託人應對受託人採取適當之監督，以確保委託處理個人資料之安全管理，爰規定如第一項。

三、又為委託人與受託人之責任判斷有明確依據，乃參考德國聯邦個人資料保護法第十一條第二項規定，明定委託人之監督事項，以便委託人善盡其選任及監督義務。

四、委託人應定期確認受託人執行個人資料保護措施之狀況，委託人並應將確認結果予以記錄，乃參考德國聯邦個人資料保護法第十一條第二項規定，爰為第三項規定。

五、另於第四項明定受託人受託處理個人資料之範圍及委託人之指示違法，受託人應立即通知委託人之規定。

第九條 本法所稱適當安全維護措施、安全維護事項或適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之必要措施。

前項必要措施，應包括下列事項：

一、成立管理組織，配置相當資源。

二、界定個人資料之範圍。

三、個人資料之風險評估及管理機制。

四、事故之預防、通報及應變機制。

五、個人資料蒐集、處理及利用之內部管理程序。

六、資料安全管理及人員管理。

七、認知宣導及教育訓練。

八、設備安全管理。

九、資料安全稽核機制。

十、必要之使用紀錄、軌跡資料及證據之保存。

十一、個人資料安全維護之整體持續改善。

第一項必要措施，以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。

一、本條新增。

二、本法所稱適當安全維護措施，參考德國聯邦個人資料保護法第九條規定，應係指技術上及組織上之必要措施，規定如第一項。

三、為確保個人資料檔案之合法且正當蒐集、處理或利用，應辦理安全維護之必要措施內容，且為與國際接軌，乃仿英國BS10012：2009及日本JISQ15001：2006等個人資料管理系統之規範，以P-D-C-A方法論予以建立，爰為第二項規定。

四、技術上與組織上之必要措施，如支出費用對公務機關或非公務機關而言須耗費過鉅者，實已與所欲達成之個人資料保護目的間不符適當比例，爰規定如第三項。

第十條 本法所稱當事人自行公開，係指當事人自行對不特定人或特定多數人為揭露。

本法所稱已合法公開之個人資料，指依法規公示、公告或以其他合法方式公開之個人資料。

第三十二條第二項

本法第十八條第三款所稱已公開之資料，指不特定之第三人得合法取得或知悉之個人資料。

一、參酌司法院釋字第六0三號解釋意旨，基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基本權利，而受憲法第二十二條所保障。就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權，乃明確當事人自行公開之方式。又參酌司法院釋字第一四五號解釋意旨，所謂多數人，係包括特定之多數人在內。至於特定多數人之計算，自應視其相關法規之立法意旨及實際情形己否達於公開之程度而定，爰規定如第一項。

二、本條第二項規定係現行條文第三十二條第二項所移列，並酌作文字修正。本法各條規定已合法公開之個人資料，係指該個人資料乃依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開者，爰修正如第二項。

第十一條 本法第七條所定書面意思表示之方式，如其內容可完整呈現，並可於日後取出供查驗者，經蒐集者及當事人同意，得以電子文件為之。

一、本條新增。

二、為明確本法書面意思表示之方式，包括無實體存在介面之意思表示方式，乃參考電子簽章法第四條之規定，如其內容可完整呈現，並可於日後取出供查驗者，經蒐集者及當事人同意，得以電子文件為之，爰為本條規定。

第十二條 本法第七條第二項所定單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，應於適當位置使當事人得以知悉其內容後並確認同意。

一、本條新增。

二、本法第七條第二項所定之書面同意，係因本法第十六條第七款、第二十條第一項第六款所定「經當事人書面同意」，乃當事人同意資料蒐集者，將其個人資料作與蒐集目的不同之其他目的使用，因不符原先蒐集資料之特定目的，該書面同意自應特別審慎，故明文規範須為單獨所為之書面意思表示，惟該意思表示如與其他意思表示於同一書面為之者，應於適當位置使當事人得以知悉其內容後並確認將其個人資料作與蒐集目的不同之其他目的使用之同意，以避免當事人疏忽而為概括同意，爰為本條規定。

第十三條 依本法第八條、第九條及第五十四條所定告知之方式，得以書面、電話、傳真、電子文件或其他適當方式為之。

一、本條新增。

二、個人資料之蒐集，事涉當事人之隱私權益。為使當事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等，本法規定告知義務，俾使當事人能知悉其個人資料被他人蒐集之情形，以落實個人資料之自主控制。

三、又由於本法修正擴大適用範圍，原本不受本法規範從事個人資料蒐集、處理或利用者，修法後均將適用本法，惟其在本法修正施行前已蒐集完成之個人資料（該等資料大多屬於間接蒐集之情形），雖非違法，惟因當事人均不知資料被蒐集情形，故本法明定一定期間內應向當事人完成告知，使當事人知悉其個人資料被使用之情形，以落實個人資料之自主控制。準此，蒐集者應以個別通知之方式讓當事人知悉，爰為本條之規定。

第十四條 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人，指個人資料以代碼、匿名或其他揭露方式，無從辨識該特定個人，或需費過鉅或耗時過久始能予以辨識者。

一、本條新增。

二、本條明定資料經過處理後或依其揭露方式無從識別特定當事人之類型，計有個人資料以代碼、匿名或其他揭露方式使之無從辨識該特定個人，或需費過鉅或耗時過久始能予以辨識者等。

第十五條 當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時，應為適當之釋明。

第二十五條 當事人依本法第十三條第一項規定向公務機關請求更正或補充其個人資料時，應提出足資釋明之證據。

一、配合本法修正酌作文字修正，且當事人請求更正或補充其個人資料時，應舉其原因及事實而為適當之釋明即為已足，爰修正並刪除現行條文提出證據等文字如本條規定。

二、又個人資料有關意見與鑑定部分，因涉及價值判斷，無關事實資料之對錯，不能更正，僅有事實部分可更正，併予敘明。

第十六條 本法第十一條第三項所稱特定目的消失，指下列各款情形之一：

一、公務機關經裁撤或改組而無承受業務機關者。

二、非公務機關歇業、解散或所營事業營業項目變更而與原蒐集目的不符者。

三、特定目的已達成而無繼續利用之必要者。

四、其他事由足認該特定目的已無法達成或不存在者。

第二十三條 本法第十三條第一項所稱正確，指個人資料於特定目的之利用範圍內，應力求其確實、完整及從新。所稱適時，指公務機關應儘速更正或補充。

本法第十三條第二項及第三項所稱執行職務，指公務機關依法令執行公務，或非公務機關經營其所營事業或依其設立目的所從事之行為。

本法第十三條第三項所稱特定目的消失，指左列各款情形之一：

一、公務機關經裁撤或改組者。

二、非公務機關停業、歇業、解散或所營事業營業項目變更者。

三、特定目的已達成而無繼續使用之必要者。

四、其他事由足認該特定目的已無法達成者。

一、現行條文第一項及第二項無規定之必要性，爰予刪除。

二、有關公務機關經裁撤或改組，須無業務之承受機關，始能為公務機關之特定目的消失，爰修正如第一款規定。

三、有關非公務機關所營事業營業項目變更而有與原蒐集目的不符之情形，方為非公務機關之特定目的消失。又原條文規定之停業，因具有期限性，非公務機關尚未喪失其主體性，故非屬特定目的消失之情形，併予刪除，爰修正如第二款。

四、第三款酌作文字修正，將使用修正為利用。

五、第四款增列特定目的已不存在之類型，亦屬特定目的消失之情形。

第十七條 有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或業務所必須：

一、有法令規定或契約約定之保存期限。

二、有理由足認刪除將侵害當事人值得保護之利益。

三、儲存方式特殊致不能刪除或耗費過鉅始能刪除。

四、其他不能刪除之正當事由。

一、本條新增。

二、公務機關或非公務機關有本法第十一條第三項本文所列事由，應主動或依當事人之請求，刪除、停止處理或或利用該個人資料。然如有同條項但書所列因執行職務或業務所必須或經當事人書面同意者，則不在此限。所謂因執行職務或業務所必須，有依法令規定或契約約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益、因儲存方式特殊致不能刪除或耗費過鉅始能刪除或其他不能刪除之正當事由等情形，爰增列於本條規定，以資明確。

（刪除）

第二十四條 公務機關依本法第十三條規定為更正、補充、刪除或停止電腦處理、利用該資料時，應通知其所知悉已收受該個人資料之機關、團體或個人。

前項所稱個人資料，包括經由電腦列印之報表或其他可供紀錄之物品。但本法或其他法律另有規定者，依其規定。

一、本條刪除。

二、有關本條第一項之規定，已明定於本法第十一條第五項，爰予刪除。

三、鑒於本法保護客體不再限於經電腦處理之個人資料，本法第二條第二款個人資料檔案，亦包括其他非自動化方式檢索、整理之個人資料之集合，故本條第二項已無規定之必要，爰併予刪除。

第十八條 本法第十二條所稱適當方式通知，係指即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式為之。

依本法第十二條通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

一、本條新增。

二、為使個人資料發生被竊取、洩漏、竄改或其他侵害者，能即時通知當事人，並兼顧個人資料權益保護與通知效率，以保障個人權益，乃規定通知之適當方式應即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但通知需耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式為之，爰規定如第一項。

三、為使當事人能有知悉其個人資料遭受非法侵害之情形，並明確公務機關或非公務機關通知當事人義務之內容，參照德國聯邦個人資料保護法第四十二條a規定，乃於本項明定依法通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施，以互益雙方，爰規定如第二項。

（刪除）

第十二條 本法第八條第八款所稱有利於當事人權益者，指顯於當事人有利，當事人如知悉其事亦無理由可以拒絕者。

一、本條刪除。

二、由於本條在執行上有解釋之困難，例如社福團體欲為低收入戶提供服務，向主管機關查閱低收入戶的資料，如當事人不想接受，是否即屬「無理由拒絕」，亦即與當事人意思違背時，是否仍得認屬「有利於當事人權益」？容有疑義。由於本法第十六條第六款「有利於當事人權益」之規定為得為特定目的外利用之要件，且由特定目的外利用者證明此種情況是否符合「有利於當事人的權益」之要件，已甚為明確，本條無規定之必要，爰予刪除。

（刪除）

第十三條 本法第九條及第二十四條所稱國際傳遞及利用，指利用有線電、無線電、光學系統或其他電磁系統等經由通信網路傳遞及利用，不包括利用郵寄、攜帶傳輸微縮膠片、打孔卡片、電腦報表、電磁紀錄物傳遞之情形。

一、本條刪除。

二、由於本法第二條第六款已有國際傳輸的定義，本條已無規定之必要，爰予刪除。

第十九條 公務機關依本法第十七條規定為公開時，應於建立個人資料檔案後一個月內為之；變更時，亦同。公開方式應予以特定，並避免任意變更。

本法第十七條所稱其他適當方式，指利用新聞紙、雜誌、政府公報、電子報或其他可供公眾查閱之方式為公開。

第十四條 公務機關依本法第十條第一項規定為公告時，應於個人資料檔案上線使用後一個月內為之。變更時，亦同。

前項公告方式應予以特定，並避免任意更換。

第十五條（第一項） 本法第十條第一項所稱其他適當方式，指利用電視、新聞紙、雜誌或其他可供公眾知悉之傳播媒體為公告。

一、條次變更並酌作文字修正。

二、本法規範已涵括自動化機器或其他非自動化方式蒐集之個人資料，且公務機關保有個人資料可能在蒐集、處理或利用之階段，為使條文適用上具有彈性，由各公務機關依其建立個人資料檔案之情形，斟酌於蒐集、處理或利用後一個月內為之。爰修正如第一項前段規定。

三、另為使民眾有固定管道並處於可得隨時知悉公務機關蒐集、處理或利用之情形，故公開方式要特定，常時揭載，並避免任意變更。原條文第十四條第二項規定酌作文字修正，並移列至本條第一項後段。

四、第二項參考其他法律之規定，增列公開適當方式之例示規定。又新增之政府公報因不屬「傳播媒體」，故將本項後段文字修正為「其他可供公眾查閱之方式」，以為涵蓋。原條文第十五條第一項規定酌作文字修正，並移列至本條第二項。

（刪除）

第十五條 本法第十條第一項所稱其他適當方式，指利用電視、新聞紙、雜誌或其他可供公眾知悉之傳播媒體為公告。

前項公告期間不得少於二日。

一、本條刪除。

二、本條第一項併入修正後條文第九條中規定。

（刪除）

第十六條 本法第十條第一項第三款所定個人資料檔案利用機關名稱，得以概括方式列明其範圍、機關總數公告之。但為特定目的外利用者，應臚列其機關之名稱及本法第八條所定之事由。

一、本條刪除。

二、本次修法已將本法第十條第三款刪除，本條爰配合刪除。

（刪除）

第十七條 本法第十條第一項第四款所稱依據，指保有個人資料檔案法令或行政計畫之依據。

一、本條刪除。

二、保有依據之規定甚為明確，無庸再行定義。

第二十條 公務機關保有個人資料檔案者，應訂定個人資料安全維護規定，其內容應包括第九條第二項所定事項。

第三十四條 公務機關保有個人資料檔案者，應訂定電腦處理個人資料安全維護法令，其內容應包括資料安全、資料稽核，設備管理及其他安全維護等事項。

一、條次變更。

二、公務機關保有個人資料檔案所應訂定個人資料安全維護規定，其內容應與機關應辦理之安全維護事項之內容一致，爰修正文字如本條規定。

第二十一條 本法第十八條所稱專人，指具有管理及維護個人資料檔案之專業能力，且足以擔任機關檔案資料安全維護經常性工作之人員。

公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。

一、本條新增。

二、為使專人之職位更為明確，爰於第一項明定係指具有管理及維護個人資料檔案之專業能力，且其人力足以承擔機關檔案資料安全維護經常性工作之人員，該人力得以團隊方式執行職務。

三、又為使專人經常性接受專業之個人資料保護與管理教育訓練，以維持相當水準之辦理安全維護事項專業能力，所屬公務機關應辦理或使專人接受相關專業之教育訓練，爰規定如第二項。又相關專業，係指以個人資料保護為中心之教育訓練，包括資訊安全、隱私保護、推論控制之控制措施等課程在內。

（刪除）

第十八條 本法第十條第一項第八款所定處所，應載明其地址。所定收受者為法人、團體者，應載明其名稱、代表人姓名；為自然人者，其姓名。

本法第十條第一項第九款及第二十條第一項第九款所定直接收受者，應載明其收受處所之地址。為法人、團體者，應載明其國別、名稱、代表人姓名；為自然人者，其國籍及姓名。

本法第十條第一項第十款所定機關與保有個人資料檔案紀錄之機關相同者，該機關毋需公告機關之名稱及地址。

一、本條刪除。

二、本法為求行政程序之簡便，已刪除相關規定，本條爰配合刪除。

（刪除）

第十九條 本法第十一條第五款所定入出境管理事務，包括個人護照事務。

一、本條刪除。

二、本法基於個人資料檔案因其性質特殊而不宜公開其檔案名稱者，應依政府資訊公開法或相關法律規定予以限制公開，已刪除本法現行條文第十一條規定，本條爰配合刪除。

（刪除）

第二十條 本法第十一條第七款所稱人事事項，指各級公務機關儲存管理之公務員個人基本資料及銓敘有關資料，包括公務機關辦理訓練之機構對於學員履歷、成績考核或其他考查之個人資料檔案處理事項。

前項資料之認定有疑義時，由主管機關確認之。

一、本條刪除。

二、本法基於個人資料檔案因其性質特殊而不宜公開其檔案名稱者，應依政府資訊公開法或相關法律規定予以限制公開，已刪除本法現行條文第十一條規定，本條爰配合刪除。

（刪除）

第二十一條 本法第十一條第八款所稱專供試驗性電腦處理之個人資料檔案，指專供實驗、測試等暫時性使用，而應於六個月內銷毀者。

一、本條刪除。

二、本法基於個人資料檔案因其性質特殊而不宜公開其檔案名稱者，應依政府資訊公開法或相關法律規定予以限制公開，已刪除本法現行條文第十一條規定，本條爰配合刪除。

（刪除）

第二十二條 本法第十二條第三款所稱妨害第三人之重大利益，指左列各款情形之一：

一、有害於第三人個人之生命、身體、自由、財產或其他重大利益者。

二、檔案資料自第三人取得，如應當事人之請求准予查詢、閱覽或製給複製本，將損及保有機關與第三人之協助或信賴關係者。

一、本條刪除。

二、規定甚為明確，無庸再行定義，並保留彈性。

（刪除）

第二十六條 本法第十四條及第二十二條所定簿冊，得以電腦終端設備或其他足供當事人查閱之相關設備、文件方式代替之。

一、本條刪除。

二、本法現行條文第十四條及第十七條所定備置簿冊，業已刪除，本條爰配合刪除。

（刪除）

第二十七條 公務機關依本法第十四條、非公務機關依本法第二十二條規定備置之簿冊，除登載本法第十條第一項、第二十條第一項第一款至第十款所列之事項外，並得將資料之保有期限及已否公開等事項列入。

登載簿冊由公務機關及非公務機關指定管理單位及查閱處所。

一、本條刪除。

二、本法現行條文第十四條及第十七條所定備置簿冊，業已刪除，本條爰配合刪除。

（刪除）

第二十八條 公務機關及非公務機關關於個人資料檔案之查閱及製給複製本之收費，應具體反應受理查閱及製給複製本之成本。

一、本條刪除。

二、由於本法第十四條已明定公務機關或非公務機關得酌收「必要成本」費用，故本條已無規範之必要，爰予刪除。

（刪除）

第二十九條 非公務機關依本法第二十條第一項規定申請登記時，得為二項以上特定目的之登記。

一、本條刪除。

二、本法廢除非公務機關取得執照後始得蒐集、電腦處理及利用個人資料之制度，自無需再申請登記，已刪除相關規定，本條爰配合刪除。

（刪除）

第三十條 本法第十八條第一款所稱當事人書面同意，指依書面之記載，足認當事人已有同意之表示者。

非公務機關基於特定目的，為取得當事人書面同意，於初次洽詢時，檢附為特定目的蒐集、電腦處理或利用之相關資料，連同得於所定相當期間表示反對意思之書面，經本人或其法定代理人收受，而未於所定期間內為反對之意思表示者，推定其已有同意之表示。

一、本條刪除。

二、有關當事人之書面同意，已於本法第七條定有明文，爰刪除本條規定。

第二十二條 本法第十九條第一項第二款所稱契約或類似契約之關係，不以本法修正施行後成立者為限。

第三十一條 本法第十八條第二款所定契約，不以本法施行後成立者為限。

一、條次變更並配合本法修正酌作文字修正。

二、由於契約或類似契約之關係具有持續性，且修正施行前本法第十八條已有規範，人民應有信賴之期待可能性，不致產生衝擊，無須重新締約。

第二十三條 本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者：

一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交易之目的，所進行之接觸或磋商行為。

二、契約因無效、撤銷、解除、終止或履行而消滅時，非公務機關與當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之連繫行為。

第三十二條 本法第十八條第二款所稱類似契約之關係，指左列情形之一者：

一、非公務機關與當事人間於契約成立前，為訂定契約或進行交易為目的，所為接觸，磋商所形成之信賴關係。

二、契約因無效、撤銷、解除、終止或履行而消滅時，非公務機關與當事人為行使權利，履行義務或確保個人資料完整性之目的所形成之連繫關係。

本法第十八條第三款所稱已公開之資料，指不特定之第三人得合法取得或知悉之個人資料。

一、條次變更並酌作文字修正。

二、非公務機關與當事人間於契約成立前，為準備或商議訂立契約所進行之接觸或磋商行為，均屬非公務機關與當事人間之信賴關係，爰參酌民法第二百四十五條之一第一項規定，修正如第一項第一款規定。

三、第二款規定酌作文字修正。原第二項規定移列至第十條第二項規定。

（刪除）

第三十三條 本法第十九條第三項所稱收費標準，指各級目的事業主管機關依本法所為之登記、許可及發給執照所收之審查費、登記費、執照費等規費之數額。

一、本條刪除。

二、適用本法之非公務機關已取消行業別之限制，任何自然人、法人、機構或其他團體均有本法之適用，自無需經目的事業主管機關登記並發給執照及收費之必要，已刪除相關規定，本條爰配合刪除。

（刪除）

第三十五條 第二十四條第一項、第二十五條及第三十四條規定，於非公務機關準用之。

一、本條刪除。

二、本條相關規定已分別明定於其他條文，爰予刪除。

（刪除）

第三十六條 非公務機關依本法第二十條第三項規定為處理方法之陳報時，應依其種類載明左列各款：

一、銷毀：

（一）銷毀之方法。

（二）銷毀之時間、地點。

（三）以何種方式證明銷毀。

二、移轉：

（一）移轉之原因，如出售、贈與或其他原因。

（二）移轉之對象，包括其屬性，為公務機關或非公務機關。

（三）移轉對象得保有該項個人資料檔案之依據及證明。

（四）移轉之方法、時間、地點。

目的事業主管機關於必要時，得派員監督其銷毀或移轉過程。

非公務機關於為第一項銷毀或移轉後，應向目的事業主管機關提出證明。

一、本條刪除。

二、由於本法第二十七條第二項、第三項規定之處理方法，應不限於銷毀、移轉之方式，為避免掛一漏萬，爰不予規定，由各中央目的事業主管機關依行業之特性於本法第二十七條第三項之授權辦法中規定。

（刪除）

第三十七條 非公務機關依本法第二十一條規定為公告時，應於申請登記核准後二個月內為之。變更時，亦同。

一、本條刪除。

二、非公務機關取消行業別限制後，已無需申請登記，已刪除相關規定，本條爰配合刪除。

（刪除）

第三十八條 本法第二十一條所定登載於當地新聞紙，其期間不得少於二日。

一、本條刪除。

二、非公務機關取消行業別限制後，已無需申請登記，已刪除相關規定，本條爰配合刪除。

（刪除）

第三十九條 非公務機關依本法第二十一條所為之公告並登載於當地新聞紙，左列事項得不記載：

一、關於該非公務機關之人事、勤務、薪給、衛生、福利或其他相關事項者。

二、專供試驗性電腦處理者。

三、將於公告前刪除者。

四、其他法律特別規定者。

一、本條刪除。

二、非公務機關取消行業別限制後，已無需申請登記，已刪除相關規定，本條爰配合刪除。

第二十四條 檢查機關依本法第二十二條規定實施檢查時，應注意保守秘密及被檢查者之名譽。

第四十條 本法第二十五條第一項所稱必要時，指有事實足認為該非公務機關有違反本法第十八條至第二十四條之情事，或有違反之虞者。

本法第二十五條第一項所定證明文件，應記載左列事項：

一、檢查機關名稱。

二、檢查人員之姓名及職稱。

三、檢查依據。

檢查機關應保守秘密，並應注意被檢查者之名譽。

一、條次變更，現行條文第一項規定已明定於本法中，乃配合本法修正予以刪除。第二項無規定必要，爰併予刪除。

二、現行條文第三項規定，配合本法條次變更並酌作文字修正。

第二十五條 中央目的事業主管機關或直轄市、縣（市）政府依本法第二十二條第二項規定，扣留或複製得沒入或可為證據之個人資料或其檔案時，應掣給收據，載明其名稱、數量、所有人、地點及時間。

中央目的事業主管機關或直轄市、縣(市)政府依本法第二十二條規定實施檢查後，應作成紀錄。

前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副本交付被檢查者；其拒絕簽名者，應記明其事由。

紀錄於事後作成者，應送達被檢查者，並告知得於一定期限內陳述意見。

第四十一條 目的事業主管機關依本法第二十五條第一項規定派員檢查時，要求受檢查者提供資料、書面說明或其他物品，或為扣押者，應掣給收據，載明其名稱、數量、所有人、地點及時間。

目的事業主管機關實施檢查後，應作成紀錄，記載檢查程序、要求提供之資料、檢查結果及其他之配合措施。有扣押物者，應載明前項收據應載明之事項。

前項紀錄當場作成者，應使被檢查者閱覽並簽名；被檢查者得以另以書面陳述意見。紀錄於事後作成者，應另寄副本與被檢查者，告以得陳述意見；被檢查者於收受後得以書面表示意見。

目的事業主管機關依檢查報告，並斟酌被檢查者提出之意見，認被檢查者違反法令時，應依法處理。

扣押物無留存之必要者，應發還之。

一、條次變更，現行條文第一項前段規定已於本法中規定，本項無規定之必要。第一項至第四項規定配合本法酌作文字修正。

二、第一項明定得扣留或複製之物為本法規定之得沒入或可為證據之個人資料或其檔案，並應掣給收據，載明其名稱、數量、所有人、地點及時間，以供查證。

三、目的事業主管機關實施檢查後，均應作成紀錄，爰規定如第二項。

四、如該紀錄係當場作成者，除應使被檢查者閱覽及簽名之外，亦應將副本立即交付被檢查者，以資證明，並移列項次為第三項。

五、另現行條文第三項後段規定移列至第四項。又同項所定「應另寄副本與被檢查者」，配合行政程序法送達之規定，修正為「應送達被檢查者」，爰規定如第四項。

六、現行條文第四項及第五項規定，得依行政程序法第四十三條規定處理或已明定於本法第二十三條第二項，爰予刪除。

（刪除）

第四十二條 依本法第二十七條或第二十八條規定請求賠償者，以該違法行為及其所生損害均在本法施行後者為限。

一、本條刪除。

二、依法律不溯及既往原則，乃為當然之理，無庸再行規定。

（刪除）

第四十三條 公務機關之監督機關收受當事人依本法第三十一條第一項所為之請求後，認其請求不合法或無理由者，應敘明理由駁回之；認其請求有理由者，應限期命原公務機關依當事人之請求改正之，並通知當事人。

一、本條刪除。

二、本法第三十一條已刪除，本條爰配合刪除。

第二十六條 本法第五十二條所稱之公益團體，指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第四十四條 本法第四十二條第三項所稱之公益團體，指從事與該種類個人資料相關之公益活動，依民法或其他特別法令組成之公益社團法人、財團法人以及經中央目的事業主管機關核准之非法人團體。

一、條次變更。

二、中央目的事業主管機關及直轄市、縣（市）政府，依本法第五十二條第一項於必要時得委託公益團體辦理相關管理事業，屬公權力之授予，事關人民權益，爰對得受委託之公益團體之資格明確規定，除依民法或其他法律設立之外，並須具備個人資料保護專業能力之公益團體，爰參考公益勸募條例第五條規定，訂定公益社團法人、財團法人及行政法人者，以資適用。

第二十七條 本法修正施行前已蒐集或處理由當事人提供之個人資料，於修正施行後，得依本法有關個人資料保護之規定，繼續為處理及特定目的內之利用。其為特定目的外之利用者，應依本法修正施行後之規定為之。

一、本條新增。

二、本法第五十四條係規範本法修正施行前非由當事人提供之個人資料，雖非違法，惟因當事人均不知資料被蒐集情形，如未給予規範而繼續利用，恐仍會損害當事人權益，故訂定過渡條款，以資適用。反面解釋，如屬由當事人提供之個人資料，為避免新舊法銜接之適用疑慮，爰於本條規定本法修正公布施行前公務機關或非公務機關已蒐集由當事人提供之個人資料，於修正施行後，得依本法有關個人資料保護之規定，繼續為蒐集、處理及特定目的內之利用，以資明確。至於如欲為特定目的外之利用，自當依本法修正施行後之規定為之。

（刪除）

第四十五條 本法公布施行前非公務機關已從事個人資料之蒐集或電腦處理，而於依本法申請登記或許可前，經告知當事人而當事人未為反對之意思表示者，得於本法第四十三條第一項所定期間內，繼續從事該個人資料之蒐集或電腦處理。

一、本條刪除。

二、本法已廢除非公務機關應經許可或登記制度，並刪除相關規定，本條爰配合刪除。

第二十八條 本細則自發布日施行。

本細則修正條文施行日期，由行政院以命令定之。

第四十六條 本細則自發布日施行。

條次變更，並配合本法施行日期由行政院定之，爰增訂第二項。