博創資訊http://www.safelink.com.tw

個資法施行細則修訂重點與防護策略

主任顧問師 彭至賢Email: sam@safelink.com.tw

Mobile: 0952-695460May 29, 2012

博創資訊http://www.safelink.com.tw

大 綱

• 個資施行細則修訂重點• 損害賠償與責任區分• 損害因果關係之證明• 公民營機關(構)因應措施

–個資保護生命週期

2.

博創資訊http://www.safelink.com.tw

扯 680份保單掉滿街• 2012年 1月22日蘋果日報• 新北巿一名男子三重街頭

散步時，發現數百張紙片

沿街飄散，拾起一看竟是

台灣產物保險公司的客戶

個資，還有重要證件影本

• 全家動員拾撿，將680多份資料送交警局，當警方

通知保險公司領回資料，

保險公司還不情願地說：

「可不可以過完年再領？

」令警民大呼離譜。

3.

博創資訊http://www.safelink.com.tw

台新銀 2萬筆個資外洩• 2011年 12月24日蘋果日報• 警方月前破獲詐騙集團，查

扣電腦中發現約2萬筆台新銀行現金卡個資，數量多到需以身分證英文字母排序！

• 《蘋果》從個資中隨機訪尋，當事人痛批：「他們（銀行）沒有善盡保護（個資）責任，每個月都接詐騙電話，實在可惡！」

• 最令警方憂心的是，「歹徒得到資料後，會不斷轉賣，根本無從得知資料轉賣了多少次？」

4.

博創資訊http://www.safelink.com.tw

病歷堆停車場 洩個資

• 2011年 12月21日蘋果日報• 新竹國泰醫院離職員工爆料，院方將最重要的病歷違法擱置在地下停車場，且擺放兩年，「真的很離譜！」

• 對此，新竹國泰醫院解釋，因空間不足才暫時堆放該處，地下停車場只有醫師才能申請使用，且都有警衛巡視，故不會有個資外洩問題，但已立即移置這些病歷資料。

• 主管機關新竹縣衛生局表示，院方違反《醫療法》，可處最高5萬元罰鍰。

5.

博創資訊http://www.safelink.com.tw

違法放2年 「真離譜」• 記者實地前往直擊，確實在地下三樓停車場發現上百箱病歷，靠牆堆疊在觸手可及的地方，翻開察看，清楚見到病患基本資料，就診科目，甚至開出來的處方箋，就大剌剌地擺放在停車場牆邊，且不時可見清潔人員及院方廠商途經該處，病患隱私全部大曝光。

• 對此，新竹國泰醫院行政室主任解釋，近年來病歷室已漸無空間堆放病歷，去年起便在院外租賃倉庫，先將多年未使用的病歷放置地下室，達一定數量後再送往倉庫擺放。

6.

博創資訊http://www.safelink.com.tw

個人資料外洩嚴重

• 資料外洩以及個人隱私被侵犯情況嚴重– 刑事警察局犯罪預防科根據2009年的統計資料指出，165反詐騙諮詢專線接獲詐騙投訴電話，排名第一的是個資外洩詐騙事件，占總數的35%，未收到網購產品的詐騙事件則名列第二。

– 詐騙問題在十大民怨調查當中高居第二。

突顯個人資料外洩已嚴重影響到民眾與消費者之財產安全與生活品質

博創資訊http://www.safelink.com.tw

無所不再之個人資料

博創資訊http://www.safelink.com.tw

什麼是個人資料

‧個人資料是一種可以讓大家更加了解我的資訊

WHAT

HOW

WHO 彭至賢，男生，58年次

1.已婚、育有一子2.資訊科技與應用研究所3.博創資訊科技公司 副總4.身高172公分,體重70公斤

電話:04-25255438地址:台中市西區中港路二段58號

博創資訊http://www.safelink.com.tw

個人資料保護法

• 立法院於99年4月27日，將電腦處理個人資料保護法，修訂並三讀通過為「個人資料保護法」。

修訂方向：

擴大保護客體

增修行為規範

妥適調整罰則

促進民眾參與

普遍適用主體

強化行政監督

促進民眾參與

博創資訊http://www.safelink.com.tw

個資法之新舊比較

• 電腦處理個人資料保護法 → 個人資料保護法

（以下簡稱舊法） （以下簡稱新法）

• 個資法保護對象：包括數位化資料+人工資料

84.08.11舊法 99.05.26新法

姓名:王小明生日:06月06日

姓名:王小明生日:06月06日

姓名:王小花就診:99.06.15科別:小兒科

施行日期:待行政院公佈(估計約1年)

姓名:王小花就診:99.06.15科別:小兒科

博創資訊http://www.safelink.com.tw

個資法之新舊比較(一)‧新法擴大適用對象

‧新法擴大保護對象

‧新法擴大規範行為

‧新法加重罰責

如違反要受到哪些處罰？

哪些是個人資料？哪些個資項目要被保護？

行為主體

保護客體

規範行為

處罰

哪些行為是個資法所禁止？

哪些人被規範在內？

【2010.04.27日三讀通過】【2010.05.26總統公佈】

醫院、醫師、教師、學校行政人員、志工、委外單位

博創資訊http://www.safelink.com.tw

個資法之新舊比較(二)• 擴大行為主體範圍—不再侷限於特定行業別

行為主體

公務機關(新法第2條第1項第7款)

(本法第4條)

非公務機關(本法第2條第1項第8款)

依法行使公權力之中央或地方機關或行政法人

受委託行使公權力

非公務機關(新法第2條第1項第8款)

前款以外之自然人、法人或其他團體

醫院學校電信業金融業證券業保險業及大眾傳播業(舊法第3條第1項第7款)

博創資訊http://www.safelink.com.tw

個人資料保護法－範圍擴大

• 擴大適用行業原適用八大行業(徵信、醫院、學校、電信、金融、證券、保險及傳播業)適用範圍擴大至公務機關(含行政法人)與公務機關外的自然人、法人或其他團體。

• 個資新定義與科技演進結合原個資定義：姓名、生日、身份證字號、特徵、指紋、婚姻、職業等。

增加了護照號碼、犯罪前科、聯絡方式，並原病歷擴大為需考量醫療、基因、性生活、健康檢查等。

• 調整資料儲存型式原有對儲存於電磁紀錄物或其他類似媒體。

調整為以自動化機器或非自動化個人資料之集合。

博創資訊http://www.safelink.com.tw

個資法之新舊比較(三)• 擴大保護客體範圍—不再侷限於數位資料

– 一般性資料– 敏感性資料 (病歷、醫療、基因、性生活、健康檢查)

• 原則：不得搜集與利用• 例外：法律規定或醫療、衛生、犯罪預防目的

自然人姓名、出生年月日

特徵、指紋、婚姻、家庭、教育、職業

國民身分證、護照號碼、

病歷、醫療、基因、性生活、健康檢查

其他

犯罪前科、聯絡方式、財務情況、社會活動

企業

團體

個人

機關

過去電子病歷已為個資法的保護客體即目前保護客體為數位資料＋人工資料

博創資訊http://www.safelink.com.tw

個資法之新舊比較(四)• 擴大規範行為—新增國際傳輸

規範行為

蒐集 利用處理

任何方法取得個人資料1.直接自當事人蒐集者2.間接從當事人取得者(新法第2條)

為建立或利用個人資料所為之紀錄、輸出、儲存 編輯更正複製、檢索、刪除、輸出、連結或內部傳送將個人資料作為跨國境之處理機關內部之資料傳送(新法第2條)

將蒐集之個人資料為處理以外使用將個人資料作為跨國境之利用

將資料提供給當事人以外之第三人(新法第2條)

建立個人資料檔案而取得個人資料(舊法第3條第1項第4款) 電腦處理

(舊法第3條第1項第3款)

公務機關或非公務機關將個人資料檔案為內部使用或提供第三人(舊法第3條第1項第5款)

博創資訊http://www.safelink.com.tw

個資法之新舊比較(五)罰則—加重任民事、刑事、行政責任– 企業、團體或個人若違反個資法，最重受刑法處罰為5年以下有期徒刑；民事賠償最高達新台幣2億元

1. 我方查明後應以適當方式通知當事人(新法第12條)

2. 建議為降低個資外洩所造成之損害，仍應於事故發生當下先行通知當事人

個資外洩 我方因應 訴訟程序

1. 公務機關:無過失損害賠償責任(第28條)2. 非公務機關:舉證責任倒置之過失責任(第29條)

同一原因事實應對於當事人負損害賠償責任者，原則上依實際能證明損賠額賠償如無法證明時，每人每一事件500-20000元，最高賠償額新台弊２億元為限行為人是否有故意過失之判斷應由公正第三人判斷之

1. 公務機關:無過失損害賠償責任(第28條)2. 非公務機關:舉證責任倒置之過失責任(第29條)

同一原因事實應對於當事人負損害賠償責任者，原則上依實際能證明損賠額賠償如無法證明時，每人每一事件500-20000元，最高賠償額新台弊２億元為限行為人是否有故意過失之判斷應由公正第三人判斷之

刑事處罰：最重刑責5年(第41、42條)1.犯罪行為

無營利行為 ：處2年以下有期徒刑 拘役或併科NT20萬元以下罰金意圖營利行為：處5年以下有期徒刑 拘役或併科NT100萬元以下罰金

2.告訴乃論之罪3.處罰對象

中華民國境內或外之中華民國人民公務人員假借職務上之權力機會或方法犯本章之罪者，加重其刑至1/2

刑事處罰：最重刑責5年(第41、42條)1.犯罪行為

無營利行為 ：處2年以下有期徒刑 拘役或併科NT20萬元以下罰金意圖營利行為：處5年以下有期徒刑 拘役或併科NT100萬元以下罰金

2.告訴乃論之罪3.處罰對象

中華民國境內或外之中華民國人民公務人員假借職務上之權力機會或方法犯本章之罪者，加重其刑至1/2

博創資訊http://www.safelink.com.tw

個資法之新舊比較(六)• 罰則—加重任民事、刑事、行政責任

– 行政監督(新法第22-26) ：

成本非公務機關

中央目的事業主管機關

地方政府

如發現無涉嫌違法情形經非公務機關同意後得公布檢查結果

聲明異議有理由：立即停止或變更行為無理由：得繼續執行

如發現有涉嫌違法情形1. 「按次」裁處罰鍰2萬-

20萬2. 得為相關處分(如:公布

非公務機關違法情形及姓名等)

3. 檢查時發現得沒入或可為證據之個人資料或檔案，得予扣留或複製

4. 機關與負責人(包括管理人)併罰制

如公務機關違反本法規定而認為有必要時 即得派員攜帶執行文件進入非公務機關進行檢查或要求說明、提供資料

博創資訊http://www.safelink.com.tw

個人資料保護法整體架構

19.

博創資訊http://www.safelink.com.tw

立法目的

20.

博創資訊http://www.safelink.com.tw

個人資料之定義

• 個資法第二條 用詞定義如下：• 個人資料：

– 指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他

–得以直接或間接方式識別該個人之資料。– 細則第二條 本法所稱個人，指現生存之自然人。

21.

博創資訊http://www.safelink.com.tw

特種個人資料之定義

• 本法第二條第一款所稱病歷，應指下列各款資料：– 醫師依醫師法執行業務所製作之病歷。– 各項檢查、檢驗報告資料。– 其他各類醫事人員執行業務所製作之紀錄。

• 醫療：– 指除前項病歷以外，其他以治療、矯正或預防人體疾病、傷害、殘缺為目

的，所為之診察、診斷及治療；或基於診察、診斷結果，以治療為目的，

所為之處方、用藥、施術、或處置等行為全部或一部所產生之個人資料。

• 基因：指由一段去氧核醣核酸構成，為生物體控制特定功能之遺傳單位訊息• 性生活：指性取向或性慣行之個人資料。• 健康檢查：指對於無明顯疾病症狀，非出於對特定疾病診斷或治療之

目的，以醫療行為所為診察行為之全部或一部之總稱。

• 犯罪前科：指經緩起訴、職權不起訴或法院判決有罪確定之紀錄。

22.

博創資訊http://www.safelink.com.tw

個人資料檔案

• 指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合

• 施行細則草案§5：本法第二條第二款所稱個人資料檔案，包括備份檔案及軌跡資料

• 注意軌跡資料可能之衝擊影響？

23.

個人資料檔案的類型

博創資訊http://www.safelink.com.tw

個資法-規範行為定義• 蒐集

– 為建立個人資料檔案而取得個人資料– 取得方式不限，任何方式取得皆為蒐集– 包括「直接蒐集」與「間接蒐集」。

• 處理– 為建立或利用個人資料檔案所為之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結、或內部傳送。

• 利用　– 將蒐集之個人資料為「處理」外之使用。

• 國際傳輸– 將個人資料作跨國(境)之處或利用。

24.

◎組織內部資料傳送 - 處理◎將個資提供第三人 - 利用

博創資訊http://www.safelink.com.tw

個資 vs 個案

25.

博創資訊http://www.safelink.com.tw

當事人權利

• 個資法第三條 當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：

– 查詢或請求閱覽。– 請求製給複製本。– 請求補充或更正。– 請求停止蒐集、處理或利用。– 請求刪除。

• 當事人可否要求查詢軌跡資料(個人資料檔案)？

26.

博創資訊http://www.safelink.com.tw

委託人之監督責任(一)• 個資法第四條 受公務機關或非公務機關委託蒐集、處理

或利用個人資料者，於本法適用範圍內，視同委託機關。

• 細則第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。前項情形，當事人行使本法之權利，應向委託機關為之。

‧第八條 委託他人蒐集、處理或利用個人資料之全部或一部時，委託人應對受託人為適當之監督。前項監督至少應包含下列事項：

1. 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

2. 受託人就第九條第二項應採取之必要措施。

3. 有複委託者，其約定之受託人。

27.

博創資訊http://www.safelink.com.tw

委託人之監督責任（二）

4. 受託人或其受僱人違反個人資料保護法規或委託契約條款時，應向委託人通知之事項及採行之補救措施。

5. 委託人對受託人保留指示之事項。

6. 委託關係終止或解除時，個人資料載體之返還，及儲存於受託人持有個人資料之刪除。

‧第一項之監督，委託人應定期確認受託人執行之狀況，並將確認結果記錄之。

‧受託人僅得於委託人指示之範圍內，蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事，應立即通知委託人。

28.

博創資訊http://www.safelink.com.tw

Fair and lawful

• 個資法第五條– 個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，

– 不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯

• 什麼樣的程序符合：尊重？• 公平及合法處理

29.

博創資訊http://www.safelink.com.tw

哪些個人資料不宜蒐集？

• 個資法第六條– 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，除法有規定，不得蒐集、處理或利用。

• 但有下列情形之一者，不在此限：– 法律明文規定。– 公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。

– 當事人自行公開或其他已合法公開之個人資料– 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。

30.

博創資訊http://www.safelink.com.tw

直接蒐集個資-告知之義務•本法第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個資時，應明確告知當事人下列事項：

– 一、公務機關或非公務機關名稱。– 二、蒐集之目的。– 三、個人資料之類別。– 四、個人資料利用之期間、地區、對象及方式。– 五、當事人依第三條規定得行使之權利及方式。– 六、當事人得自由選擇提供個人資料時，不提供將

對其權益之影響。

•告知之方式–細則第十三條：依本法第八條、第九條及第五十四條所定告知之方式，得以書面、電話、傳真、電子文件或其他適當方式為之

31.

博創資訊http://www.safelink.com.tw

得免為告知之情形

• 有下列情形之一者，得免為前項之告知：– 一、依法律規定得免告知。– 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。

– 三、告知將妨害公務機關執行法定職務。– 四、告知將妨害第三人之重大利益。– 五、當事人明知應告知之內容。

32.

博創資訊http://www.safelink.com.tw

間接蒐集個資-告知之義務• 本法第九條 公務機關或非公務機關依第十五條或第十九

條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。

• 有下列情形之一者，得免為前項之告知：– 一、有前條第二項所列各款情形之一。– 二、當事人自行公開或其他已合法公開之個人資料。– 三、不能向當事人或其法定代理人為告知。– 四、基於公共利益為統計或學術研究之目的而有必要，且該資料

須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。

– 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

• 第一項之告知，得於首次對當事人為利用時併同為之。

33.

博創資訊http://www.safelink.com.tw

告知之時機

•本法第八條(直接蒐集) 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告

知當事人下列事項：

•本法第九條(間接蒐集) 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應

於處理或利用前，向當事人告知個人資料來源及前條第

一項第一款至第五款所列事項。

•本法第五十四條 本法修正施行前非由當事人提供之個人資料，依第九條規定應於處理或利用前向當事人為告

知者，應自本法修正施行之日起一年內完成告知，逾期

未告知而處理或利用者，以違反第九條規定論處。

34.

博創資訊http://www.safelink.com.tw

書面同意

• 施行細則第十一條 本法第七條所定書面意思表示之方式，如其內容可完整呈現，並可於日後取出供查驗者，經蒐集者及當事人同意，得以電子文件為之。

• 第十二條 本法第七條第二項所定單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，應於適當位置使當事人得以知悉其內容後並確認同意。

• 同意之表達，當事人互相表示意思一致者，無論其為明示或默示，契約即為成立。

• 當事人對於必要之點，意思一致，而對於非必要之點，未經表示意思者，推定其契約為成立。

35.

博創資訊http://www.safelink.com.tw

適當方式通知當事人

• 個資法第十二條– 公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方

式通知當事人。

– 施行細則第十八條 所稱適當方式通知，係指即時以書面、電話、傳真、電子文件或其他足以使當事人知

悉或可得知悉之方式為之。

• 但耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式為之。

– 依本法第十二條通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

36.

博創資訊http://www.safelink.com.tw

非公務機關對個人資料之蒐集或處理• 個資法第十九條 非公務機關對個人資料之蒐集或處理，除

第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：– 一、法律明文規定。

– 二、與當事人有契約或類似契約之關係。– 三、當事人自行公開或其他已合法公開之個人資料。– 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料

經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

– 五、經當事人書面同意。– 六、與公共利益有關。– 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理

或利用，顯有更值得保護之重大利益者，不在此限。

• 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

37.

博創資訊http://www.safelink.com.tw

非公務機關特定目的外之利用

• 個資法第二十條 非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：– 一、法律明文規定。– 二、為增進公共利益。– 三、為免除當事人之生命、身體、自由或財產上之危險。– 四、為防止他人權益之重大危害。– 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有

必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

– 六、經當事人書面同意。• 非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷

時，應即停止利用其個人資料行銷。

• 非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

38.

博創資訊http://www.safelink.com.tw

防範個資外洩之法律義務

• 本法第十八條– 公務機關保有個人資料檔案者，應指定專人辦理安全維護事項防止個人資料被竊取、竄改、毀損、滅失或洩漏。

– 細則第二十條 公務機關保有個人資料檔案者，應訂定個人資料安全維護規定，其內容應包括第九條第二項所定事項。

– 第二十一條 所稱專人，指具有管理及維護個人資料檔案之專業能力，且足以擔任機關檔案資料安全維護經常性工作之人員

– 公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。

• 本法第二十七條– 非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

– 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

39.

博創資訊http://www.safelink.com.tw

適當安全維護措施(1/2)• 細則第九條 本法所稱適當安全維護措施、安全維護事項或適當之安全措施，指公務機關或非公務

機關為防止個人資料被竊取、竄改、毀損、滅失

或洩漏，採取技術上及組織上之必要措施。

• 前項必要措施，應包括下列事項：– 一、成立管理組織，配置相當資源。– 二、界定個人資料之範圍。– 三、個人資料之風險評估及管理機制。– 四、事故之預防、通報及應變機制。– 五、個人資料蒐集、處理及利用之內部管理程序。

40.

博創資訊http://www.safelink.com.tw

– 六、資料安全管理及人員管理。– 七、認知宣導及教育訓練。– 八、設備安全管理。– 九、資料安全稽核機制。– 十、必要之使用紀錄、軌跡資料及證據之保存– 十一、個人資料安全維護之整體持續改善。

• 第一項必要措施，以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。

41.

適當安全維護措施(2/2)

博創資訊http://www.safelink.com.tw

損害賠償責任(1/2)

• 第二十八條 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利

者，負損害賠償責任。但損害因天災、事變或其他不

可抗力所致者，不在此限。(無過失責任主義)• 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之

適當處分。

42.

博創資訊http://www.safelink.com.tw

• 第二十九條 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。(過失責任主義)

• 第三十條 損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。

43.

損害賠償責任(2/2)

博創資訊http://www.safelink.com.tw

賠償金額上限

• 如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百

元以上二萬元以下計算。

• 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總

額以新臺幣二億元為限。但因該原因事實所涉利

益超過新臺幣二億元者，以該所涉利益為限。

44.

博創資訊http://www.safelink.com.tw

過失責任之區分

45.

無過失者，不負損害賠償責任

有過失者，應負損害賠償責任

注意義務之存在程度

注意義務之違反程度

民法之過失，以其欠缺注意之程度為標準

博創資訊http://www.safelink.com.tw

團體訴訟

• 個資法第三十四條– 對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自己之名義，提起損害賠償訴訟。

46.

博創資訊http://www.safelink.com.tw

損害因果關係之推論

• 第三十一條 損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。

• 第四十五條 本章（指第五章罰則）之罪，須告訴乃論。

47.

原告被告

博創資訊http://www.safelink.com.tw

證據能力vs證據證明力• 刑事訴訟法第 155 條 證據之證明力，由法院本於確信自由

判斷。但不得違背經驗法則及論理法則。

• 無證據能力、未經合法調查之證據，不得作為判斷之依據。• 因此如何證明證據為真實且未遭干擾破壞？是取得證據能力

之基本要件且監管鍊須完整，確保未遭置換。

48.

博創資訊http://www.safelink.com.tw

團體訴訟

• 個資法第三十四條– 對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自己之名義，提起損害賠償訴訟。

49.

博創資訊http://www.safelink.com.tw

個人社交活動不適用本法

• 個資法第五十一條– 自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料

– 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料

50.

博創資訊http://www.safelink.com.tw

面對個資法的因應策略

51.

博創資訊http://www.safelink.com.tw

面對個資法的因應策略(續)

52.

博創資訊http://www.safelink.com.tw

被誤導之觀念

• 如何證明無過失，以減免損害賠償責任？• 通過標準驗證，能否免除機關之法律責任？• 取得隱私標章，能否免除機關之法律責任？

53.

博創資訊http://www.safelink.com.tw

個資保護最艱難的工作？

• 個人資料檔案清查– Can not measure, will not control.– 個人資料檔案類別

• Web base、Data base、File base、Paper base• 以上類型之個人資料檔案，如何能夠以有效率之方法，進行清查？

54.

機關不知道個人資料檔案在哪裡？才是真正的隱憂！

博創資訊http://www.safelink.com.tw

個資保護生命週期

55.

1.門診

2.檢驗

3.住院

4.手術 6.養生

5.復健

適法性調查

個人資料檔案清查Web baseData baseFile base

蒐集、處理及利用程序

De-identifyingRe-identifying

anonymity

存取紀錄與證據保存設備管理

資料稽查、通報應變

前 中 後

所需時間：1～3天

所需時間：1～4週

所需時間：1~3月

所需時間：3~6月

所需時間：持續進行

所需時間：持續進行

防範行政罰則

防止損害賠償

程序修訂

技術強化

博創資訊http://www.safelink.com.tw

個資風險管理之策略？

56.

博創資訊http://www.safelink.com.tw

個資檔案外洩四大主要管道

人技術行為

外部

內部

57.

E-mail

博創資訊http://www.safelink.com.tw

適法性調查

58.

博創資訊http://www.safelink.com.tw

個資適法性調查

應加強委外契約之要求

是否於正式之文件中告知受委託機關之職責，於本法適用範圍內，視同委託機關？委託人應對受託人為適當之監督, 包括: • 預定蒐集處理利用之個資特定目的、範圍、類別與期間. • 受託人就個人資料安全、個人資料稽核、設備管理、其它安全維護事項所採取措施• 受託人或受僱人, 於違反個資法或契約時, 應向委託人通知之事項• 委託人對受委託人保留指揮權範圍之事項• 委託關係終止或解任時, 轉讓與受託人個資載體之返還, 儲存於受託人個資之刪除• 委託人就委託事項應定期確認, 其結果記錄之

受委託機關職責4

增訂於E管家服務申請同意書中

是否有正式之程序與文件，告知當事人以下權利：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。

當事人權利3

第一章總則

改善建議是否符合檢查要項關鍵字法條

59.

博創資訊http://www.safelink.com.tw

符合除外條件，得合理使用個資

60.

博創資訊http://www.safelink.com.tw

個人資料檔案清查

61.

博創資訊http://www.safelink.com.tw

個人資料檔案NEW_ALL_MEMBER 會員資料檔

欄位名稱 欄位說明

DESCRIPTION 身份證字號

DISPLAYNAME 姓名

FAMILYDATA 家人資料

HOMEPHONE 住家電話

MAIL 電子郵件

MOBILE 手機號碼

STREETADDRESS 地址

TELEPHONENUMBER

電話號碼

BIRTHDAY 生日

存取次數 1002

NEW_ALL_MEMBER _FAMILY會員家人資料檔

欄位名稱 欄位說明

NAME 姓名

BIRTHDAY 生日

PID 身份證字號

存取次數 4415

NEW_MEMBER_SUBSCRIBE

會員訂閱資料檔

欄位名稱 欄位說明

EMSGAPKEY 訂閱鍵值資料

存取次數 9228

62.

博創資訊http://www.safelink.com.tw

個人資料實體資料流程圖

63.

博創資訊http://www.safelink.com.tw

個資保護生命週期-住院階段

64.

博創資訊http://www.safelink.com.tw

個資保護策略

65.

博創資訊http://www.safelink.com.tw

適當安全維護措施

66.

博創資訊http://www.safelink.com.tw

隱私衝擊評鑑

67.

博創資訊http://www.safelink.com.tw

明確告知事項

68.

博創資訊http://www.safelink.com.tw

等同書面同意文件

69.

博創資訊http://www.safelink.com.tw

發展認知、訓練及教育計畫

70.

博創資訊http://www.safelink.com.tw

個資保護生命週期-手術階段

71.

博創資訊http://www.safelink.com.tw

特定隱私保護措施

72.

博創資訊http://www.safelink.com.tw 73.

博創資訊http://www.safelink.com.tw

個資保護生命週期-復健階段

74.

博創資訊http://www.safelink.com.tw

個資保護生命週期-養生階段

75.

博創資訊http://www.safelink.com.tw

你們準備好了嗎？

• ABCD等級政府機關約10,000個機關• 2010國內企業家數約有127萬家，

– 中小企業佔97.68%，– 服務業佔80.35%，– 總數超過100萬家。

• 目前一片觀望，僅有及少數之大型產業開始著手進行保護• 平均需時3~6個月，經費超過100萬以上。• 無法為大多數之政府機關及服務業所能承擔，且通過驗證

並不能免除法律責任。

• 國內資安顧問業產能不足，正式施行勢必短期內暴增大量需求，屆時有錢恐怕也找不到顧問幫忙！

76.

博創資訊http://www.safelink.com.tw

個案討論

• 員工健檢報告企業可否留存？• 學生健檢報告學校可否留存？• 病歷堆停車場 洩個資！• 扯 680份保單掉滿街！• 台新銀 2萬筆個資外洩！

77.