個人資料保護法Q&A

重建社會信任的礎石

PART 1：基礎篇
Q1　個人資料保護法的立法目的——隱私還是資安？∕  3
Q2　個人資料保護法適用的對象∕  6
Q3　哪些資料是屬於個人資料？∕  8
Q4　當事人就其個人資料享有什麼樣的權利？∕ 10
Q5　應該向誰行使個資的權利？∕ 13
Q6　個人資料蒐集、處理及利用的帝王條款——比例原則∕ 15
Q7　特種（敏感性）個人資料禁止蒐集原則∕ 17
Q8　書面同意是不是僅限於簽名在紙本上？條文規定的書面同意都是一樣的嗎？∕ 22
Q9　蒐集個人資料時，法定應告知事項為何？∕ 25
Q10　什麼情形下蒐集個資無須告知當事人？∕ 30
Q11　什麼是「間接蒐集」？如何合法「間接蒐集」個人資料？∕ 35
Q12　公務機關及非公務機關「主動」更新、停止利用或刪除個人資料的義務？∕ 38
Q13　個資外洩時應該如何處理並對受影響的當事人為通知？∕ 41
Q14　公務機關合法蒐集、處理個資的要件為何？∕ 45
Q15　公務機關合法利用個資的要件為何？∕ 48
Q16　非公務機關合法蒐集、處理個資之要件為何？∕ 50
Q17　非公務機關合法利用個資之要件為何？∕ 53
Q18　公務機關應盡的個資安全維護義務為何？∕ 56
Q19　非公務機關應盡的個資安全維護義務為何？∕ 59
Q20　新舊法有關個人資料檔案安全維護計畫標準的差異為何？∕ 62
Q21　個人資料國際傳輸應注意事項為何？∕ 65
Q22　違反個資法的行政責任為何？∕ 69
Q23　違反個資法的刑事責任為何？∕ 72
Q24　違反個資法的民事責任為何？∕ 75
Q25　個資侵害事件與團體訴訟∕ 78
Q26　施行前合法蒐集的個人資料，施行後得否繼續利用？∕ 82
Q27　施行前間接蒐集個人資料溯及既往的特別規定∕ 85
Q28　委外處理個人資料發生違法情事時，應該由誰負責？∕ 88

PART 2：業務執行建議篇
Q29　企業因應個資法施行之管理機制建立建議∕ 95
Q30　員工的個人資料也受個資法保護嗎？∕100
Q31　是否應該要求員工一律簽署個人資料同意書？∕103
Q32　員工的個人資料可以保留多久呢？∕106
Q33　員工的健檢資料公司可否合法蒐集及應該如何管理？∕109
Q34　公司徵才時可以蒐集哪些應聘人員個資？∕113
Q35　機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁？∕116
Q36　蒐集個資時告知當事人的「特定目的」是不是多多益善？如何確保可以合法向消費者行銷？∕118
Q37　只要消費者曾進行購物，就可以後續進行其他商品或服務的行銷？消費者有無事後拒絕行銷的權利？∕121
Q38　網站或App以使用者勾選同意或點選接受的方式取得當事人蒐集個人資料的同意是否合法？∕125
Q39　新聞報導有需要利用被報導對象的個人資料，須事先取得同意嗎？∕129
Q40　企業委外進行個資蒐集、處理及利用應盡之監督責任為何？∕133
Q41　採購資安產品是否就能免於個資的賠償責任？∕137
Q42　取得政府機關或第三公證單位的認證，是否就能免於個資賠償責任？∕140
Q43　員工盜拷會員資料出售予他人，企業須負什麼樣的責任？∕145
Q44　可以向他人購買個人資料作為行銷使用嗎？施行前從網路上買來的個人資料可以繼續利用嗎？∕149
Q45　公務員違反個資法，賠償責任誰負？∕152
Q46　網站架設在國外是否適用個資法？∕155
Q47　政府機關間個人資料的提供，應遵守的原則為何？∕159
Q48　公務機關個人資料利用與政府資訊公開法之履行∕164
Q49　學校可以公告成績單、獎懲或榜單等事項嗎？∕169
Q50　父母向學校索取學生成績或其他校內表現紀錄，學校該怎麼辦呢？∕172

PART 3：個人權益保障篇
Q51　保護個人資料，從小地方做起∕177
Q52　已經過世的自然人，繼承人是否可代為行使個人資料的權利？∕181
Q53　E-mail、IP位址是否屬於個人資料？∕183
Q54　當事人提供予特定多數人的聯絡資訊，是否屬於當事人已公開之資料？∕186
Q55　一般商務往來交換名片或參加活動時提供個人名片，蒐集者可以做怎麼樣的利用？∕189
Q56　企業規定有權備份及查核員工電子郵件，是否違反個資法？∕192
Q57　與當事人約定永久保留、使用其個人資料，是否有違反法律？∕195
Q58　朋友在Facebook的照片、打卡未經同意標記我，是否有違反個資法？∕197
Q59　可否要求網路業者刪除網友張貼之個人資料？∕200
Q60　我可以對垃圾郵件業者提起違反個資法的訴訟嗎？∕205
Q61　政府機關未善盡敏感性個資保密責任我能怎麼辦？∕209
Q62　違反個資法所生損害賠償責任的特別規定∕212
Q63　使用者因個資外洩遭詐騙，可以向業者把遭詐騙的損失全部要回來嗎？∕215
Q64　信箱滿滿的廣告，電話總是接到行銷來電，業者隨機投遞信件或隨機撥打電話行銷是否違反個資法？∕218
Q65　收到行銷訊息，我能拒絕並要求業者要自行負擔成本嗎？∕221

PART 4：新聞時事篇
Q66　手機定位服務的個資爭議∕227
Q67　依法股東名冊絕不能外流？∕230
Q68　雇主臉書（Facebook）洩個資，當然不行！∕233
Q69　「我愛波波」公開揭露醫生的學歷是否合法？∕238
Q70　網友「人肉搜索」的合法性？∕243
Q71　從NFC手機談個人資料的管制∕253
Q72　企業上雲端，個資保護責任誰負？∕261
Q73　企業應交付什麼樣的個人資料複本予當事人或供當事人查詢？∕266
Q74　個人資料錯誤之更正義務∕270
Q75　拒絕電話行銷後，仍然不斷收到相同業者的電話？∕273
Q76　違法間接蒐集個資的行為法律效果？∕276
Q77　臉書洩電話正妹被擾，可以公開對方的電話反擊嗎？∕279
Q78　開發應用程式上架App Store銷售，是否需限制對兒童個人資料的蒐集？∕284
Q79　聯名信用卡終止發行與個資利用問題∕288
Q80　房仲為什麼會知道不動產所有權人的資料？∕294

附　錄
一、個人資料保護法∕299
二、個人資料保護法施行細則∕317
三、個資法部分條文修正草案條文對照表∕325
四、個人資料保護法之特定目的及個人資料之類別∕333

重建社會信任的礎石

　「假警察、假檢察官辦案詐騙」、「中獎、投資詐騙」、「網路購物詐騙」、「求職詐騙」，臺灣街頭巷尾處處可見的多樣化的防詐騙宣導文宣，或許可以作為政府致力改善詐騙案件的具體成果，實際上，確實民眾遭詐騙的金額有具體的減少，但亦可說是臺灣社會近年來個人資料遭侵害、濫用現況最大的反諷。

　　筆者律師執業的期間，幾度受邀參與各公私部門舉辦抽獎活動的見證，在遇到獎項比較貴重，抽獎資格限制比較嚴格的情形，經常會在抽獎後直接電話與中獎者聯繫，確認其身分之真實性。在經歷幾次「您好！請問您是某某某先生嗎？是。請問您是否有參加某某抽獎活動？恭禧您中獎嘟嘟嘟」筆者話還沒說完就直接被掛電話。這無疑反應了臺灣的社會瀰漫著不信任的濃霧。
　　
　　早幾年人們對於會被電話詐騙的民眾，除了同情之外，大多還是延續古早對於「金光黨」的印象，帶著「貪婪」這樣有色的眼鏡，認為如果不是貪心就不會被騙。但當愈來愈多人被詐騙，上至知識份子下至販夫走卒，都成為詐騙集團猖獗的受害者，而其關鍵則在於當詐騙集團掌握了我們認為只有特定人才會掌握的資訊時，我們當然會假定其是代表特定人與我們聯絡，進而相信其指示，最後終遭詐騙。前述所謂的特定人，通常指我們日常進行交易的對象或是政府機關，而會使我們相信其代表該等特定人的資訊，不是詳細的個人資料，就是特定交易的資訊。

　　試想，當有人撥電話給我們，直接跟我們說某某某先生∕小姐，您在某年某月某日在本公司網站的消費，因為系統設定錯誤，將分期付款錯誤處理為小額借款，為維護您的權益，請您至銀行提款機進行解除小額借款的操作，由於操作比較複雜，請您屆時依本公司指示進行操作；某某某先生∕小姐，這裡是某某銀行信用卡部門，您的信用卡卡號4563-XXXX-0028-XXXX被通報為偽卡，請您提供下述個人資料，並依本公司指示進行操作，以解除偽卡設定，否則，將會移送警方處理。當詐騙集團所握有的個人資訊較你我想像的多更多的時候，即令是再怎麼小心謹慎的人，都有被騙的時候，甚至有些人在警方告知其被詐騙的時候，不敢相信以自己這麼聰明還會被騙，還懸賞相當於被詐騙金額的破案獎金要找出詐騙集團。

　　然而，一則又一則詐騙案件的新聞，一張又一張防詐騙的文宣，一次又一次地將整個社會推向隨時可能遭詐騙的恐懼之中，我們從小時候不斷被耳提面命應該對於陌生人警戒，到現在對所有人的不信任，我們付出的就是整個社會人們彼此交流互動的門檻將會愈來愈難跨越，促成商業交易的成本也會愈來愈高。

　　2010年5月修正至2012年10月1日始施行的《個人資料保護法》，擴大全面適用於所有政府機關及公私立組織乃至於個人，相對嚴格的規範，一時之間亦造成許多企業的反彈與無所適從，甚至有特定行業擬透過立法委員提案修法將該行業排除在個人資料保護法之適用範圍外。姑不論法規遵循本即為企業應盡的責任，事實上，透過法律強化對於個人資料的保護，避免個人資料不當的蒐集、利用，正是減少詐騙案件的治本之道，筆者相信，建立安全的個人資料保護的環境，重建社會人與人與間彼此的信任，正是台灣社會進入21世紀政府或公私立組織進行各項社會活動的最重要的礎石。

　　個人資料保護法之修法與施行，就其「促進個人資料之合理利用」的立法目的而言，並非在於「懲罰」不守法的機關或企業，而是在於建立機關及企業對於個人資料保護的概念與環境。如何在政府機關及企業組織內，建立個人資料保護的制度，傳布個人資料保護的概念，乃是個人資料保護法最大的挑戰。

　　筆者執業的益思科技法律事務所，自成立十餘年來即本於「預防法學」之理念，協助客戶進行各項法規遵循的作業，並持續本於資訊分享（InfoShare）的理想，將各類法律專業資訊分享予客戶。本書也是在這樣的理念下，趕在個人資料保護法施行後
出版，希望能透過Q&A的方式，提供社會各界建立個人資料保護法之基本概念，以因應個人資料保護法施行，建立友善的個人資料保護環境，使台灣重回具有信任感的社會，相信這也是一種「幸福感」的來源。