個人資料保護法部分條文修正草案總說明
按個人資料保護法(以下簡稱本法)於九十九年五月二十六日修正公布全文後,嗣於一百零四年十二月三十日修正部分條文。考量個人資料之保護,除應以法律明確訂定蒐集、處理及利用個人資料之目的及要件外,並應對所蒐集之個人資料採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨;個人資料保護之獨立監督機制,即為上述組織上與程序上之重要關鍵制度,俾確保個人資料蒐集、處理及利用者,均符合本法規定, 以增強個人資料蒐用之合法性與可信度。 至於監督機制如何設置,則屬立法形成自由( 憲法法庭一百十一年憲判字第十三號判決意旨參照)。
為落實前開憲法法庭判決所示應建立個人資料保護獨立監督機制之意旨,一百十二年五月三十一日增訂公布本法第一條之一,已考量本法需監督之對象廣泛、監督職權複雜且涉及公權力行政事項, 爰明定設立獨立機關之個人資料保護委員會(以下簡稱個資會)擔任本法之主管機關。 鑒於我國歷來從未有個人資料保護獨立監督機關, 應正視其草創伊始,職務資源與量能尚難以立即、有效及於全體公務機關及非公務機關之現實情況。
本次修正依循前開憲法法庭判決意旨,在研議如何建構獨立監督機制之立法形成自由空間下,考量目前公務機關係自行管理,本法現行規定尚無明定外部監督機制, 對於原本全然缺乏外部監督機制之公務機關,將優先由個資會進行全面監管,此亦為前開憲法法庭判決原因案件特別關注之重點所在。
非公務機關部分,因目前係由各中央及地方目的事業主管機關就其營運活動一併監督其個人資料保護事務,個資會將優先納管尚無明確目的事業主管機關之非公務機關,至於已有明確目的事業主管機關之非公務機關,則明定過渡條款,於過渡期間內仍暫時維持由其中央或地方目的事業主管機關監管之現況,並分階段將各該目的事業主管機關之監管權限逐步移轉予個資會,俾漸進達成個人資料保護事務監督一元化之立法政策目標。
此外,個資會亦將透過召開「 個人資料保護政策推進會議」與各該目的事業主管機關進行統籌協調聯繫,訂定共通版之個人資料保護管理辦法供非公務機關及其目的事業主管機關有所依循,並透過訴願案件之受理,由個資會對於目的事業主管機關就具體個案之處分或決定進行適法性及妥適性之審查, 構築實質有效之獨立監督機制, 以符合前開憲法法庭判決意旨。
綜上,本次修正主要係為配合個資會成立,賦予個資會相關執法權限,包含對公務機關與非公務機關之行政監督,以及與公務機關之上級或監督機關、非公務機關之中央或地方目的主管機關之協力合作機制等配套規定; 至於本法其他諸多修法議題,當由正式成立之個資會以本法主管機關之地位,賡續進行通盤修正研議及立法政策決定。爰擬具本法部分條文修正草案,其修正要點如下:
- 增訂中央及地方各級政府應共同協力以推動落實本法,及主管機關召開個人資料保護政策推進會議之權限。(修正條文第一條之二)二、 增訂公務機關或經公告指定之非公務機關應置個人資料保護長及個人資料保護稽核人員之依據,並授權主管機關訂定相關人員之職掌、職能條件、訓練、獎勵及其他相關事項之辦法。(修正條文第二條之一)
- 增訂公務機關或非公務機關遇有個人資料事故,負有採行應變措施、事故紀錄保存及通報之義務,並修正通知當事人之要件。(修正條文第十二條)
- 將公務機關應指定辦理個人資料檔案安全維護事項之專人,修正名稱為個人資料保護管理人員,並授權主管機關就個人資料檔案安全維護事項、管理機制等相關事項訂定辦法;另增訂公務機關對於所屬人員辦理個人資料保護事務績效優良者,應予獎勵之規定。(修正條文第十八條)
- 有關非公務機關之個人資料檔案安全維護事項,修正為授權主管機關就個人資料檔案安全維護事項、管理機制等相關事項訂定辦法。(修正條文第二十條之一)
- 增訂公務機關個人資料保護事務之行政監督規定,包括個人資料保護管理事項實施情形之提出、日常稽核、缺失改善、實地檢查、違法改正及情節重大之公布等權限。(修正條文第二十一條之一至第二十一條之四)
- 修正對非公務機關進行行政檢查之權責機關為主管機關及其檢查方式,並新增相關機關有配合主管機關採取有效措施或協助之義務。
- (修正條文第二十二條)
- 增訂個人資料事故高風險行業與非公務機關之擇定及評估程序,並明定得對其優先實施行政檢查。(修正條文第二十七條)九、 配合個人資料事故應變措施、紀錄保存及通報義務之明文化,增訂非公務機關違反相關義務之罰則。(修正條文第四十八條)
- 為因應漸進達成非公務機關個人資料保護事務監督權限之一元化,增訂權限變動之過渡條款,明定得由行政院公告一定範圍之非公務機關,仍暫時維持由中央目的事業主管機關或直轄市、縣(市)政府監管其個人資料保護事項,以及對其依本法所為之處分或決定不服者,向主管機關個資會提起訴願,並於六年之過渡期間內,分階段將該監管權限逐步改由個資會管轄,及過渡期間之相關配套機制。(修正條文第五十一條之一)
- 配合個資會之成立及部分非公務機關監管權限之過渡機制,修正主管機關、中央目的事業主管機關及直轄市、縣(市)政府關於行政檢查之權限移轉相關規範。(修正條文第五十二條)
- 增訂主管機關有訂定相關適法性參考指引之權限。(修正條文第五十三條)
- 增訂對主管機關依本法所為之處分或決定不服者,應逕提行政訴訟救濟,以符獨立機關特性。(修正條文第五十三條之一)
個人資料保護法部分條文修正草案條文對照表
修正條文 | 現行條文 | 說明 |
第一條之一 本法之主管機關為個人資料保護委員會。 | 第一條之一 本法之主管機關為個人資料保護委員會。 自個人資料保護委員會成立之日起,本法所列屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項,由該會管轄。 | 憲法法庭一百十一年憲判字第十三號判決要求建立個人資料保護獨立監督機制,其目的在於確保蒐集、處理或利用個人資料者,均符合本法規定,增強其合法性與可信度,以完足憲法第二十二條對人民資訊隱私權保障之意旨,未來主管機關個人資料保護委員會(以下簡稱個資會)即屬獨立監督機關。鑒於主管機關個資會之監督範圍並不僅限於非公務機關,尚包含公務機關,且本次修正已將本法所列原屬中央目的事業主管機關、直轄市、縣(市)政府及第五十三條、第五十五條所列機關之權責事項進行整體性修正,為免誤解個資會之權責事項仍僅限於監督非公務機關,爰配合刪除現行條文第二項規定。 另因本法所定非公務機關,包含公務機關以外之自然人、法人或其他團體(第二條第八款規定參照),考量各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一,且整體數量龐大,現行係由中央目的事業主管機關、直轄市、縣(市)政府監管,於主管機關個資會成立後,其監管事權劃一尚非一蹴可幾,實務上仍有訂定過渡期間之需要,而非公務機關監管權限之過渡條款,涉及本次修正之諸多條文,且須有相關配套措施,爰將過渡期間相關配套措施另明定於附則(修正條文第五十一條之一及第五十二條規定),併此敘明。 |
第一條之二 中央及地方各級政府應致力配合推動達成本法立法目的之具體措施,確保其所轄公務機關及所管非公務機關,於執行職務及業務時遵守本法規定,共同建構安全可信賴之個人資料保護環境。 為落實前項規定,主管機關應提供必要之諮詢、指導及協助,並得就下列事項邀集相關機關召開個人資料保護政策推進會議: 第二條之一所定個人資料保護長及個人資料保護稽核人員之職能訓練及職權行使等事項。 第十二條所定個人資料侵害事故之通報及應變措施等事項。 依第三章之一所定行政監督之指導、配合、支援及協助等事項。 依第二十一條所定個人資料國際傳輸限制之會商及評估等事項。 其他有關個人資料保護事項。 前項政策推進會議運作方式及其他相關事項之辦法,由主管機關定之。 | 本條新增。 因個人資料廣布於公務機關之職務及非公務機關之業務活動中,個人資料保護之落實程度,亦攸關相關職務、業務能否妥適執行推展,是各公務機關及非公務機關,皆應予重視並採取適當措施,以落實本法之要求。其中,各級政府及其所屬公務機關之角色尤為重要。蓋公務機關非但自身職務範圍涉及個人資料之蒐集、處理、利用及管理,如同時為其他公務機關之上級、監督機關,或為非公務機關之目的事業主管機關,亦須督導所轄機關或輔導所管業者之職務、業務狀況。而個資會之成立,旨在強化個人資料保護,但因個人資料之蒐集、處理及利用是附隨於各種類之職務或業務而生,其特定目的之必要範圍及合規性之審認判斷,與其職務或業務之相關法令規範或實務運作模式均密不可分,主管機關必須透過與熟悉公務機關職務之上級、監督機關,或熟悉非公務機關業務之目的事業主管機關之協力合作,共同達成強化個人資料保護法令遵循與管理落實、健全之目的。爰於本條第一項揭明中央及地方各級政府應致力配合,確保所轄公務機關及所管非公務機關,於執行職務及業務時遵守本法規定,共同建構安全可信賴之個人資料保護環境。 為使前項中央及地方機關之配合及相互合作得以順利進行,並對於相關法令解釋、適切措施之規劃或安排,得藉由一定協調程序或平台機制之建立,有效形成共識,爰參考南韓個人資料保護法(以下簡稱南韓個資法)施行令第五條之二規定,於第二項明定由主管機關個資會召集個人資料保護政策推進會議,並於第三項授權其就政策推進會議運作方式及其他相關事項訂定辦法。 | |
第二條之一 公務機關應置個人資料保護長,由機關首長指派副首長或適當人員兼任,負責推動及監督本機關、所屬機關或所監督機關內之個人資料保護相關事務。 經主管機關公告指定之非公務機關應置個人資料保護長,由非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內個人資料保護相關事務。 前二項公務機關及非公務機關應指派人員擔任個人資料保護稽核人員,受個人資料保護長指揮辦理前二項事務,並對於適用本法規定提供諮詢與建議,檢視相關法令遵循情形,規劃及執行個人資料保護管理相關稽核作業。 公務機關或非公務機關不得因個人資料保護長及個人資料保護稽核人員依法執行職務而予以不利之處分或管理措施;辦理績效優良者,應予獎勵。 主管機關應妥善規劃推動個人資料保護長及個人資料保護稽核人員之職能訓練,增進其個人資料保護專業知能。 個人資料保護長及個人資料保護稽核人員之職掌、職能條件、訓練、獎勵及其他相關事項之辦法,由主管機關定之。 | 本條新增。 個人資料保護法令遵循制度之建構及落實,須以組織整體作為考量,從組織全景、內外部關注方之需要與期望出發,審酌部門及跨部門流程等各項環節,據以規劃及執行。準此,公務機關或一定規模之非公務機關應有個人資料保護專業之成員,或具備此等輔助機能之組織角色,始足因應個人資料保護所涉廣泛性、高度變化性的實務運作問題;對於規模較大、職務或業務複雜度高,及所屬、監管對象或分支機構繁多者尤然。爰依循「二○二二至二○二四國家人權行動計畫」數位人權保障項下編號第一百三十四號行動,規劃建立個人資料保護長機制之政策,並考量增設個人資料保護長對全國公務機關、非公務機關之組織文化衝擊及資源配置等影響,宜先確立其組織定位及支援體系,俾該機制逐漸融入機關之個人資料保護管理事務,強化機關內部自律功能,爰增訂本條。 考量個人資料保護長之機制,涉及各類機關之組織員額、職務或業務範疇及相對應之個人資料保護專業能力,且我國對此制度目前尚缺乏實務運作經驗,允宜漸進式推動,故參考現行資通安全管理法之規範,初期先以公務機關為主要適用範圍,於第一項明定公務機關均應置個人資料保護長,由機關首長指派副首長或適當人員兼任。至於非公務機關,因其涵蓋範圍廣泛,組織規模大小不一,初期尚不宜一律要求非公務機關均應置個人資料保護長,仍需由主管機關審酌非公務機關之組織規模、業務屬性、經營模式、保有之個人資料類型或數量等具體情狀,於必要時再行公告指定應置個人資料保護長之非公務機關,爰於第二項保留未來由主管機關公告指定之彈性,亦即受公告指定之非公務機關始應置個人資料保護長,由非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任。 個人資料保護長之職掌為推動及監督組織內部(包含公務機關之本機關、所屬機關或所監督機關內)個人資料保護相關事務。為使相關工作得以有效執行,爰於第三項明定設有個人資料保護長之公務或非公務機關,應視組織及業務規模,指派適當人員擔任個人資料保護稽核人員並受個人資料保護長指揮,以協助個人資料保護長執行組織內部之個人資料保護相關事務,包含對於適用本法規定提供諮詢與建議,檢視及確保相關法令遵循情形,規劃及執行個人資料保護管理相關稽核作業。 個人資料保護長及個人資料保護稽核人員,其職責在於對組織內部整體落實個人資料保護管理相關事項之監督,故須秉持中立之立場,並具備對應其權限之專業能力,爰於第四項明定個人資料保護長及稽核人員依法執行職務之適當權益保障及獎勵;另於第五項明定由主管機關妥為規劃推動該等人員之職能培訓事宜。 有鑑於前開各項規定涉及個人資料保護長及相關稽核人員之職掌、職能條件、訓練、獎勵等技術性、細節性事項,爰於第六項授權主管機關訂定相關事項之辦法。 | |
第十二條 公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時,應採取即時有效之應變措施,防止侵害事故之擴大,並記載相關事實、影響及已採取之因應措施,保存相關紀錄至少三年,以備主管機關查驗。 公務機關或非公務機關有前項情形且對當事人權益有重大危害之虞者,應以適當方式通知當事人,並依下列規定辦理通報: 公務機關:應向主管機關及依第二十一條之一第一項規定收受其實施情形之機關通報。 非公務機關:通報主管機關。主管機關受理通報後,並轉知其目的事業主管機關。 前項規定通報之受理或轉知,主管機關得委託其他機關(構)、行政法人或公益團體辦理。 前三項應變措施、紀錄保存、應通報或通知之情形、內容、時限及其他相關事項之辦法,由主管機關定之。 | 第十二條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 | 考量修正條文第十八條第一項、第二十條之一第一項所列事故類型包含個人資料被竊取、竄改、毀損、滅失或洩漏,為使本條所列事故類型及用語與前揭條文一致,第一項將現行條文之「竊取、洩漏、竄改或其他侵害」修正為「竊取、竄改、毀損、滅失或洩漏」。 公務或非公務機關對於個人資料之法令遵循與管理,實務上主要採取 PDCA 循環(即 Plan 計畫-Do執行-Check查核 -Act行動)之方法論,持續推動改善。有鑑於個人資料被竊取、竄改、毀損、滅失或洩漏等事故(以下簡稱事故)發生乃個人資料風險之具體實現,事故機關發現事故發生,即應視事故規模、態樣及可能之影響範圍,採行適當之應變機制,避免損害擴大,此為當事人權益保障之關鍵,是本法施行細則第十二條第二項第四款已將此列為事故機關「得」評估採行之安全措施,惟在規範強度及位階上仍顯不足,爰將事故機關之應變義務,提升至法律位階,明定於第一項。另事故發生反映事故機關既有個人資料管理制度可能存在組織或技術層面之闕漏,是包括該事故之事實、根因、所生影響,與事故機關所採取之通報、通知及應變作為等,對於上開 PDCA 循環之持續推動改善及主管機關之監理等,毋寧具有高度價值,相關紀錄自應予適度保存,以備主管機關查驗,亦不因該事故之重大程度是否須進行通報或通知而有異。爰參酌歐盟一般資料保護規則(General Data Protection Regu- lation , 以 下 簡 稱 GDPR)第三十三條第五項及行政罰法第二十七條第一項所定裁處權時效三年之規定,於第一項規定事故機關就事故相關紀錄之保存義務及最低年限。 現行條文並未就個人資料事故明定事故機關之通報義務,本法施行細則第十二條第二項第四款所定「事故之預防、通報及應變機制」,亦僅屬公務或非公務機關「得」採行之安全措施。如無事故通報義務之明文規定,恐使主管機關對於公務或非公務機關之重大風險事故發生,無法及時獲悉並按其影響程度進行適切之調查及協助,除影響監理效能外,亦可能導致事故機關之忽視及怠於處理,顯然不利我國個人資料保護之落實。爰修正現行規定並改列於第二項,明定事故機關知悉對當事人權益有重大影響之事故發生,負有主動通報之義務。又鑒於受理通報管道之資源有限,每一事故規模及其影響各異,如不分事故所涉個人資料種類、數量、規模及危害程度,一律要求事故機關進行通報,可能對真正重大且急迫之事故產生排擠,且考量修正條文第一項已要求事故機關應自主採取即時有效之應變措施,對當事人已有適當之保障。爰為妥適運用執法資源,參考日本個人情報保護法(以下簡稱日本個資法)第二十六條第一項、第六十八條第一項及南韓個資法第三十四條第三項、個資法施行令第四十條規定,以「事故對於當事人權益有重大危害之虞」為通報要件,俾符比例原則。 考量現行條文關於事故發生後通知當事人之規定,以公務或非公務機關就相關事故有「違反本法規定」及經「查明後」為適用前提要件,惟通知當事人之目的在使當事人知悉該事故,俾其自主評估、關注可能之權益損害,並適時採取應對作為,與事故機關是否違反本法規定,尚無直接關聯,且所謂「查明後」通知當事人之時點,實務上亦有相當爭議。爰參考日本個資法第二十六條第二項、第六十八條第二項及南韓個資法第三十四條第一項規定,刪除現行條文關於「違反本法規定」及「查明後」兩項要件,以資明確,並參酌前開關於事故通報制度之修正精神,將通知與通報之要件併予規定。 關於事故通報之受理權限,如公務機關發生事故,除通報主管機關外,尚應基於公務體系層級節制之固有職務監督關係,循修正條文第二十一條之一第一項所定個人資料保護管理事項實施情形之報送程序,同時通報其上級或監督機關;無上級或監督機關者,則向主管機關通報即可。又如係非公務機關發生事故,基於主管機關之獨立監督角色、減少通報對象之認定疑義,且修正條文第五十一條之一僅為過渡措施,爰事故機關應向主管機關通報,再由主管機關轉知各該目的事業主管機關。但如其他業管法規另要求非公務機關亦應通報其目的事業主管機關者,自仍應一併通報之。 第三項授權主管機關得將通報之受理或轉知權限委託其他機關(構)、行政法人或公益團體辦理。 本條所定應變措施、紀錄保存、應通報或通知之情形、內容、時限等相關具體事宜,應建立適當機制及程序以利遵循,爰於第四項授權主管機關訂定相關技術性、細節性事項之辦法。 |
第十八條 公務機關保有個人資料檔案者,應指定個人資料保護管理人員辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。 公務機關對於所屬人員辦理個人資料保護事務績效優良者,應予獎勵;其獎勵事項之辦法,由主管機關定之。 | 第十八條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 | 現行條文規定公務機關保有個人資料檔案者應指定專人辦理安全維護事項,惟其職務應為專職或專責,不無疑義。為揭明公務機關須有常設之個人資料保護管理人員之意旨,並與第二條之一所定個人資料保護長及個人資料保護稽核人員相區隔,爰修正第一項,將專人改為個人資料保護管理人員。至於該等人員之個人資料保護管理職務是否為專職、專責或兼辦及其人數等,則由各公務機關視組織人力狀況自行調配。 目前公務機關辦理個人資料檔案安全維護事項,係各自就其實際組織及業務情況,依本法施行細則第二十四條之規定,訂定相關個人資料保護管理要點。惟觀察實務現況,尚非所有公務機關均已訂定此類行政規則;縱有訂定,規範內容亦缺乏一致性;又有無配合法規異動及管理需求定期檢視修正,及是否落實執行等,亦存疑慮。為強化公務機關對於個人資料之保護與管理,確保在不同職務下,均能達到一定水準,爰增訂第二項,授權由主管機關訂定公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法。 為促進公務機關所屬人員對於個人資料保護事務之重視與投入,並給予激勵,爰增訂第三項規定,明定該等人員辦理個人資料保護事務績效優良者,公務機關應予獎勵,並授權主管機關訂定獎勵事項之辦法。 |
第二十條之一 非公務機關保有個人資料檔案者,應辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項之辦法,由主管機關定之。 | 第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。 | 條次變更,內容由現行條文第二十七條移列並酌作修正。 基於本法主管機關成立後對非公務機關監督權限之調整,比照修正條文第十八條第二項之修正精神,由主管機關衡酌當前非公務機關個人資料檔案安全維護之整體狀況及需求,就其中具重要性之管理事項建立應遵循之原則,以確保其個人資料之保護達到一定之水準,並作為個人資料保護業務之監理基礎,爰於第二項明定授權由主管機關就非公務機關個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事項訂定辦法。 至於過渡期間內,各中央目的事業主管機關對於所管非公務機關所保有之個人資料檔案安全維護事項之監管,則依修正條文第五十一條之一第三項至第五項規定辦理,併此敘明。 |
第二十一條 非公務機關為國際傳輸個人資料,而有下列情形之一者,得由主管機關會商中央目的事業主管機關限制之: 一、涉及國家重大利益。 國際條約或協定有特別規定。 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 以迂迴方法向第三國(地區)傳輸個人資料規避本法。 | 第二十一條 非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 國際條約或協定有特別規定。 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 以迂迴方法向第三國(地區)傳輸個人資料規避本法。 | 配合第一條之一主管機關之成立及其監理權限,並審酌我國國情及產業特性,國際傳輸之限制對非公務機關之營業活動可能產生重大影響,爰明定其限制應由主管機關會商相關中央目的事業主管機關為之。 |
第三章之一 行政監督 | 章名新增。 現行條文第三章除規定非公務機關對個人資料之蒐集、處理及利用外,尚規定相關行政檢查及裁處事宜;與之相比,第二章則未針對公務機關定有相關外部監督機制。鑒於憲法法庭一百十一年憲判字第十三號判決已要求對公務機關蒐用個人資料之合法性與可信度加強監督,爰增訂本章,分為兩節,第一節為「對公務機關之監督」,第二節為「對非公務機關之監督」,並於第一節增訂對公務機關監督之相關規定。 | |
第一節 對公務機關之監督 | 節名新增。 | |
第二十一條之一 公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情形;無上級機關或監督機關者,依下列各款規定辦理:一、 總統府、國家安全會議及五院,向主管機關提出。 直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向主管機關提出。 直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。 公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之個人資料保護管理事項實施情形。 依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應向稽核機關提出改善報告,並由稽核機關審查後,連同稽核結果送交主管機關。 稽核機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。 前四項實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。 | 本條新增。 考量資訊安全與個人資料保護與管理之間,於權益保障核心雖有所差異,但安全保障之整體組織及技術層面仍有相當交集,爰參考一百十三年七月四日行政院第三九一一次會議通過核轉立法院審議之資通安全管理法修正草案(以下簡稱政院版資安法修正草案)第十四條至第十六條規定,於本條明定本法對公務機關之監督架構。 第一項要求公務機關(包含行政法人)應向上級或監督機關提出個人資料保護管理事項實施情形,以利上級或監督機關掌握知悉,作為後續依第二項發動督導、稽核作為之基礎,並明定無上級或監督機關者,其個人資料保護管理事項實施情形提出之對象。 鑒於公務機關執行法定職務,與民眾個人資料之蒐集、處理、利用及安全維護密不可分,為藉由公務體系層級節制之固有職務監督機制,加強對公務機關個人資料保護事務之監管,爰於第二項明定公務機關應對所屬、所監督或所轄之公務機關進行督導及稽核。 依第二項規定稽核後,受稽核之公務機關如有缺失或待改善者,應將改善報告提交原稽核機關審查,經審認已確實改善後,再由稽核機關連同稽核結果送交主管機關,其監督作業始屬完備,爰為第三項規定。至於原稽核機關或主管機關收受稽核結果或改善報告後,認有續行釐清事實或調整實務作業之必要時,均得依第四項規定要求之,以利對受稽核機關進行監督及指導。 第五項授權主管機關就前四項實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項訂定辦法,以利各公務機關遵循。 | |
第二十一條之二 主管機關得定期或不定期稽核公務機關之個人資料保護管理事項實施情形;必要時,得請求該公務機關之上級機關或監督機關協助。 依前項規定稽核後,發現受稽核機關實施情形有缺失或待改善者,受稽核機關應提出改善報告,送交依前條第一項規定收受其實施情形之機關審查後,由該審查機關送交主管機關。 前項審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整。 前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。 依前條及本條參與稽核之人員,因稽核而知悉公務或他人資料者,負保密義務。 | 本條新增。 參考政院版資安法修正草案第八條,並配合主管機關之獨立機關屬性酌作調整。 本條所定主管機關之外部監督權限,係源自其個人資料保護獨立監督機關之權限,與前條所定上級或監督機關基於公務體系層級節制之固有職務監督不同,但兩者可併行不悖、相輔相成。第一項明定主管機關對公務機關之個人資料保護管理事項實施情形有定期或不定期稽核之權限,第二項則規定受稽核機關如有缺失或待改善者,負有提出改善報告之義務、報告送交對象及審查事宜。 為使改善報告審查機關或主管機關得對受稽核機關進行監督及指導,爰於第三項明定審查機關或主管機關認有必要時,得要求受稽核機關進行說明或調整,俾使其得就缺失或待改善事項妥為處理。 第四項授權主管機關就前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項訂定辦法,以利公務機關遵循。 公務機關依修正條文第二十一之一第二項進行稽核時,或主管機關依本條進行稽核時,參與稽核之相關人員均應就所接觸之公務資料或他人資料等予以保密,爰於第五項一併明定參與稽核之人員,因稽核而知悉公務或他人資料者,負保密義務。 | |
第二十一條之三 公務機關有違反本法規定之虞時,主管機關得請公務機關提出資料及說明,或派員攜帶執行職務證明文件進行實地檢查。 前項實地檢查,必要時得請求該公務機關之上級機關或監督機關協助。 主管機關依前二項規定行使職權,公務機關及其相關人員有配合之義務。 參與檢查之人員,因檢查而知悉公務或他人資料者,負保密義務。 | 本條新增。 第一項明定公務機關有違反本法規定之虞時, 主管機關有發動行政檢查之權限, 並明定檢查方式包含請公務機關提出資料及說明,或派員攜帶執行職務證明文件進行實地檢查。 本條所定行政檢查與前二條所定上級、監督機關或主管機關針對公務機關日常個人資料保護事務所為稽核,屬不同之監管措施。又公務機關有無違反本法規定之虞,尚需由主管機關審酌前二條所定稽核結果(包括:缺失或待改善之嚴重程度、受稽核機關說明或調整情形等)、個人資料事故通報、 檢舉或陳情等個案情節認定之。 基於公務機關層級節制與內部監督考核之精神,並落實第一條之二公務機關之協力合作原則,爰於第二項規定主管機關必要時得請求公務機關之上級或監督機關協助進行實地檢查。 鑒於主管機關作為獨立監督機關,其監督之對象多為無組織層級隸屬關係之公務機關,除須將監督權限明確化外,亦須受行政檢查之機關予以相當配合,方能有效執法。此外,第二項所定主管機關請求公務機關之上級機關或監督機關協助實地檢查,亦有賴各該上級或監督機關積極配合方能收效,爰於第三項規定公務機關及其相關人員均有配合義務。 主管機關進行本條行政檢查,係執行本法監督權限,相關參與人員自應就所接觸之公務資料或他人資料等予以保密,爰於第四項明定其保密義務。又此負有保密義務者,應涵蓋所有參與檢查之人員,包括主管機關檢查人員、上級或監督機關之協助檢查人員,及受檢查機關配合、協力檢查之人員等,皆應遵守,併此敘明。 | |
第二十一條之四 公務機關有違反本法規定之情事者,由主管機關令其限期改正,該公務機關應依限為適當之改正與處置,並應將改正情形以書面答覆主管機關;如違反本法規定情節重大者,主管機關並得公布該公務機關名稱及其違法情形。 公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 | 本條新增。 為賦予主管機關對公務機關監督時具有一定之管制手段,爰參考日本個資法第一百五十七條至第一百五十九條,及南韓個資法第六十四條第三項,於本條明定主管機關對於違反本法之公務機關,得視違失情節輕重令其限期改正或對外公布其違法情形,並課予公務機關適當改正、處置與書面答覆義務。又本條所定限期改正,以公務機關經主管機關認定有違反本法規定之情事為發動要件;如屬日常稽核發現之一般作業缺失或待改善事項,則依修正條文第二十一條之一第四項或第二十一條之二第三項辦理。 為促進公務機關所屬人員對於個人資料保護管理工作之重視與投入,並適當究責,爰於第二項明定公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關規定予以懲戒或由其所屬公務機關懲處,並於第三項授權主管機關就懲處事項訂定辦法。 | |
第二節 對非公務機關之監督 | 節名新增。 對應第一節增訂對公務機關監督之相關規定,爰新增節名,以資區隔。 | |
第二十二條 主管機關為監督非公務機關履行本法規定而認有必要或有違反本法規定之虞時,得依下列方式進行檢查: 通知非公務機關或其相關人員陳述意見。 通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他配合措施。 自行或會同中央目的事業主管機關、直轄市、縣(市)政府或其他有關機關派員攜帶執行職務證明文件進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 主管機關為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 對於依前二項所為之通知、進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 主管機關為第一項第三款檢查時,得率同資訊、電信、法律或其他專業人員共同為之。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。 第一項情形,主管機關於必要時得請求中央目的事業主管機關、直轄市、縣(市)政府或其他相關機關(構)配合採取有效措施或提供協助,受請求者有配合之義務。 | 第二十二條 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。 | 配合第一條之一主管機關之成立及其監理權限,明定主管機關對非公務機關之行政檢查權,並酌修現行條文第一項至第三項關於中央目的事業主管機關、直轄市、縣(市)政府權限之文字。 考量實務上個案情狀不一,基於比例原則,宜提供主管機關干預程度不同之檢查方式,以供適切選擇運用,爰將現行條文第一項所定命為必要說明、配合措施或提供證明資料等,改於同項第一款、第二款分別規範及酌修文字;至於進入檢查之程序及配套方式,則修正為同項第三款,並審酌非公務機關類型繁多,主管機關仍可能有會同目的事業主管機關或其他機關執行之需求,故明定主管機關得視個案情境,決定自行或會同有關機關進入檢查。 現行條文第三項、第四項,分別移列至第四項及第三項,並酌修文字。 復按第一項第三款雖已規定主管機關得會同有關機關進入檢查,惟考量非公務機關類型及業務範疇廣泛,不論係該項任一款檢查方式之採用、相關事證之取得、解析或運用等,皆可能因不同之檢查情境,而需在檢查前、中、後獲得權責或專業機關(構)之資源、技術等實質措施或協助,始能竟其功,爰參考南韓個資法第六十三條第三項及第四項規定、行政院及所屬各機關落實個人資料保護聯繫作業要點(以下簡稱行政院聯繫作業要點)第四點及第十三點關於公務機關間專業協力及情報分享之精神,增訂第六項規定,明定相關機關(構)受請求時,均有配合之義務,以完備主管機關之檢查職能。 另於過渡期間內,中央目的事業主管機關或直轄市、縣(市)政府對非公務機關所為行政檢查,因與分管現況相當,仍得循其既有協力或輔助機制辦理,爰第六項未列入修正條文第五十一條之一過渡期間中央目的事業主管機關或直轄市、縣(市)政府之適用範圍,併此敘明。 |
第二十四條 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向主管機關聲明異議。 前項聲明異議,主管機關認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於主管機關前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。 | 第二十四條 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。 |
第二十五條 非公務機關有違反本法規定之情事者,主管機關除依本法規定裁處罰鍰外,並得為下列處分: 禁止蒐集、處理或利用個人資料。 命令刪除經處理之個人資料檔案。 沒入或命銷燬違法蒐集之個人資料。 公布違法情形,及其姓名或名稱與負責人。 主管機關為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。 | 第二十五條 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分: 禁止蒐集、處理或利用個人資料。 命令刪除經處理之個人資料檔案。 沒入或命銷燬違法蒐集之個人資料。 公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。 |
第二十六條 主管機關依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。 | 第二十六條 中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。 |
第二十七條 主管機關得會商中央目的事業主管機關或直轄市、縣(市)政府,擇定發生個人資料侵害事故風險較高之行業別,優先實施行政檢查。 前項行業別擇定後,中央目的事業主管機關或直轄市、縣(市)政府應評估所管非公務機關發生個人資料侵害事故之風險,將其中具有高風險者送交主管機關彙整。 主管機關應參酌前二項風險評估結果,擬定行政檢查計畫,將其中具有高風險者優先列入行政檢查對象,據以執行。 前三項之風險評估方式、考量因素、行政檢查計畫之擬定及其他相關事項之辦法,由主管機關定之。 | 本條新增。 現行條文第二十七條內容移列至修正條文第二十條之一, 並酌作修正。 非公務機關對個人資料之蒐集、處理、利用及管理,依其業務性質、營運模式或科技運用而有相當之差異,事故風險之高低及影響程度亦不一致。故主管機關對於非公務機關之行政檢查規劃,應採風險導向,妥適決定發動檢查之對象、次序及頻率等,以符比例原則。又鑒於非公務機關業務類型及態樣繁多,相較於主管機關,各目的事業主管機關積累之日常業務監理經驗,更能全面掌握其事故風險樣貌。爰參酌修正條文第一條之二揭示之協力合作原則、行政院聯繫作業要點第四點關於風險評估之機制及南韓個資法第六十三條之二,於第一項規定,主管機關為推動風險導向之行政檢查,得會商相關中央目的事業主管機關或直轄市、縣(市)政府,以利擇定優先實施檢查之行業別。第二項則規定,高風險業別依第一項擇定後,該業別之中央目的事業主管機關或直轄市、縣(市)政府,應續行評估其中具高風險之個別非公務機關,並提供予主管機關彙整,以利統籌。主管機關亦應依第三項規定,參酌前二項之風險評估結果,據以擬定行政檢查計畫。 本條所定事故風險之評估方式、考量因素,及主管機關將如何規劃行政檢查等事項,宜授權主管機關另定相關技術性及細節性事項之辦法,以提高執法可預見性及可行性,爰於第四項規定其授權依據。 另配合本次修正所設計之過渡機制,修正條文第五十一條之一第一項明定於過渡期間內,本條第三項關於行政檢查計畫之擬定及執行權限,於部分範圍之非公務機關仍暫時維持由中央目的事業主管機關或直轄市、縣(市)政府管轄;至於風險評估作業及第三項檢查計畫擬定之應遵循事項等,仍依第一項、第二項及主管機關依第四項授權訂定之辦法辦理,併此敘明。 | |
第四十一條 意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 | 第四十一條 意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 | 配合第一條之一主管機關之成立及修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除現行條文關於中央目的事業主管機關之文字。 |
第四十七條 非公務機關有下列情事之一者,由主管機關處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 違反第六條第一項規定。 違反第十九條規定。 違反第二十條第一項規定。 違反依第二十一條規定限制國際傳輸之命令或處分。 | 第四十七條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之: 一、違反第六條第一項規定。 違反第十九條規定。 違反第二十條第一項規定。 違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文序文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。又修正條文第二十一條國際傳輸限制之權限已改由主管機關個資會行使,爰刪除現行條文第四款關於中央目的事業主管機關之文字。 |
第四十八條 非公務機關有下列情事之一者,由主管機關令其限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰: 違反第八條或第九條規定。 違反第十條、第十一條或第十三條規定。 違反第十二條第二項或依第四項所定辦法中有關通知當事人之規定。 違反第二十條第二項或第三項規定。 非公務機關違反第十二條第一項、第二項或依第四項所定辦法中有關應變措施、紀錄保存、通報內容或時限之規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。 非公務機關違反第二十條之一第一項或依第二項所定辦法者,由主管機關處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。 非公務機關違反第二十條之一第一項或依第二項所定辦法,其情節重大者,由主管機關處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。 | 第四十八條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰: 違反第八條或第九條規定。 違反第十條、第十一條、第十二條或第十三條規定。 違反第二十條第二項或第三項規定。 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限。 為配合第十二條關於事故通知義務要件之修正,及事故通報等義務之增訂,督促非公務機關確實執行,爰於本條增訂對應之罰則。其中,通知義務係為使當事人得以及時獲悉個人資料事故之發生,以自主維護其權益,而應變措施、紀錄保存或通報義務主要係為控管危害,並使主管機關得及時掌握事態及日後進行查驗,立法意旨及違失情節尚有不同,爰針對違反通知當事人義務者,於第一項第三款單獨規定處罰事由,並應先令非公務機關限期改正;現行條文第一項第三款規定,遞移為第四款。而針對違反個人資料事故應變措施、紀錄保存或通報等義務者,則新增第二項處罰規定,毋庸先令其限期改正即可逕予處罰;現行條文第二項及第三項,遞移為第三項及第四項,並配合修正條文第二十條之一進行調整及酌修文字。 |
第四十九條 非公務機關無正當理由違反第二十二條第三項規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰。 | 第四十九條 非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。 | 配合第一條之一主管機關之成立及其監理權限,修正現行條文原涉及中央目的事業主管機關及直轄市、縣(市)政府權限之文字,改為主管機關個資會之權限;又修正條文第二十二條已將現行第四項移列為第三項,爰配合修正所援引之項次。 |
第五十一條之一 第二十二條第一項至第五項、第二十三條至第二十六條、第二十七條第三項、第四十七條至第五十條所列監管非公務機關之權責事項,得由行政院公告一定範圍之非公務機關仍由中央目的事業主管機關或直轄市、縣(市)政府管轄。前項公告,應由行政院每二年會商主管機關及相關機關後,分階段公告其減列範圍,並自主管機關成立之日起滿六年時公告廢止之。 於第一項公告之範圍內,中央目的事業主管機關得指定所管非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之,其內容應符合主管機關依第二十條之一第二項訂定之辦法。但中央目的事業主管機關所定辦法有更嚴格之規定者,從其規定。 於第一項公告之範圍內,中央目的事業主管機關依本法中華民國○年○ 月○日修正前第二十七條第三項訂定之辦法,除有關個人資料侵害事故通報應變之規定外,仍繼續有效。但其內容未符合主管機關依第二十條之一第二項訂定之辦法者,應於主管機關所定辦法施行後一年內完成修正。 於第一項公告之範圍內,對中央目的事業主管機關或直轄市、縣(市)政府依本法所為之處分或決定不服者,向主管機關提起訴願。 | 本條新增。 按本法所定非公務機關包含公務機關以外之自然人、法人或其他團體,涵蓋範圍廣泛,鑒於各類非公務機關蒐集、處理、利用個人資料之營運活動態樣不一,且整體數量龐大等現實情況,監管事權劃一尚難以一蹴可幾,為避免於主管機關個資會甫成立時,貿然倉促全部變動現有監管權限導致衝擊影響過大,亦難以確保監管效能,允宜設計過渡機制,漸進達成非公務機關個人資料保護事務監督權限之一元化,爰明定主管機關成立後,於過渡期間內,部分範圍之非公務機關仍暫時維持由各中央目的事業主管機關或直轄市、縣(市)政府併同業務活動監管之相關原則及配套措施。 第一項規定相關條文所列監管非公務機關之行政檢查與裁處等權責事項,得由行政院公告一定範圍之非公務機關,於過渡期間仍暫時維持由各該中央目的事業主管機關或直轄市、縣(市)政府繼續併其業務監管;並參考日本個人情報保護委員會完成監理一元化整體所費時間,於第二項明定過渡期間為六年,亦即行政院應於主管機關成立滿六年時公告廢止第一項之公告,以終止過渡期間,另設計「 定期檢討、逐步變動」機制,由行政院每二年會商主管機關及相關機關後,審酌主管機關之人力、資源整備情形、各類型非公務機關之監管情況等,分階段將第一項之公告範圍逐步減列,減列之非公務機關的行政檢查與裁處等權責事項即不再由中央目的事業主管機關或直轄市、縣(市)政府管轄,而改由主管機關管轄,以逐步達成事權劃一之政策目標。 因應過渡期間內,中央目的事業主管機關對於特定業別之監管,仍有持續訂定或修正個人資料檔案安全維護辦法之需求,爰於第三項至第五項,明定其相關權限。鑒於現行個人資料檔案安全維護辦法多定有事故通報應變之相關條文,俟修正條文第十二條及其授權辦法生效後,自應改依新法規定辦理,爰於第五項本文揭明此旨。又既有相關安全維護辦法之標準,亦應符合(或調整至符合)主管機關依修正條文第二十條之一第二項所定辦法之基礎水平,爰於第五項但書明定以主管機關所定辦法施行後一年為調整期限。 各中央目的事業主管機關或直轄市、縣(市)政府於過渡期間內依本法所為之處分或決定,與主管機關基於獨立機關地位所為之處分或決定不同,故不適用修正條文第五十三條之一;又依訴願法第五條第二項規定:「訴願管轄,法律另有規定依其業務監督定之者,從其規定。」為利統一個人資料保護法令解釋及見解,發揮獨立監督機關之功能,就具體個案之處分或決定審視其適法性及妥適性,爰於第六項特別規定以主管機關為此類訴願案件之管轄機關。 | |
第五十二條 第二十二條至第二十四條規定由主管機關執行之權限,主管機關得委託或委辦其他機關(構)、行政法人或公益團體辦理;於前條第一項公告之範圍內,中央目的事業主管機關或直轄市、縣(市)政府得委任所屬機關、委託或委辦其他機關(構)、行政法人或公益團體辦理。 依前項規定受委託、委辦或委任者,其成員因執行相關事務所知悉之資訊,負保密義務。 第一項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。 | 第五十二條 第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。 前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施權,以自己之名義提起損害賠償訴訟。 | 鑒於第二十五條及第二十六條所定權限屬於終局處分或決定,與第二十二條至第二十四條所定行政檢查屬於程序中之決定或處置容有不同,考量終局處分或決定仍較適宜由主管機關進行最終審認判斷,爰修正限縮本條適用範圍為行政檢查相關作業。又配合修正條文第五十一條之一規定,在過渡期間內,因一定範圍之非公務機關之個人資料保護監管事務仍暫由中央目的事業主管機關或直轄市、縣(市)管轄,實務上中央目的事業主管機關或直轄市、縣(市)政府仍可能有權限移轉之必要,爰於第一項後段明定其權限移轉之依據,且仍限於行政檢查相關作業。 現行條文第一項後段關於保密義務之規定,移列第二項,現行條文第二項遞移為第三項,並均酌修文字。 |
第五十三條 主管機關應訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。 主管機關得就本法之適用或執行訂定相關參考指引。 | 第五十三條 法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別,提供公務機關及非公務機關參考使用。 | 配合第一條之一主管機關之成立及其監理權限,修正第一項規定。 按法令規定時有窮盡,而個人資料保護問題則隨著新興科技、公務革新及產業發展日趨複雜,有賴主管機關賡續觀察外國個人資料保護法令、實務,在立法基礎齊備前,先以指引之形式,供我國公務及非公務機關法令遵循落實參考,俾個人資料保護規範體系更加完備。爰參考南韓個資法第十二條規定,增訂本條第二項,賦予主管機關訂定相關參考指引之權限。 |
第五十三條之一 對主管機關依本法所為之處分或決定不服者,直接適用行政訴訟程序。 本法修正施行前,尚未終結之訴願事件,依訴願法規定終結之。 | 本條新增。 主管機關個資會之組織定位為中央行政機關組織基準法第三條第二款定義之「 獨立機關」,依據法律獨立行使職權,自主運作,除法律另有規定外,不受其他機關指揮監督。 三、又參照司法院釋字第六一三號解釋理由書所示:「 承認獨立機關之存在,其主要目的僅在法律規定範圍內,排除上級機關在層級式行政體制下所為對具體個案決定之指揮與監督。 」倘若不服主管機關依本法所為之處分或決定, 仍適用訴願法第四條第七款規定,而由行政院管轄並進行訴願審議, 恐有違背上開解釋旨趣、剝奪主管機關作為獨立機關地位之嫌。爰參考公平交易法第四十八條、 有線廣播電視法第七十五條之一、廣播電視法第五十條之二、衛星廣播電視法第六十六條之一等規定, 於第一項明定, 對主管機關依本法所為之處分或決定不服者,直接適用行政訴訟程序, 並於第二項規定本法修正施行前,尚未終結之訴願事件處置方式。 | |
第五十五條 本法施行細則,由主管機關定之。 | 第五十五條 本法施行細則,由法務部定之。 | 配合第一條之一主管機關之成立及其監理權限,修正本條規定。 |
https://join.gov.tw/policies/detail/4b6fdd7e-c73e-4028-b293-64a3b2427556