個人資料保護法之常見問題

1. 公司行號或組織蒐集一般個人資料時,應就哪些事項為告知?於合乎那些條件時得免除告知?又應如何告知?

  依照個人資料保護法(下稱個資法)規定,不論是公務機關或非公務機關,欲合法蒐集一般個人資料,即應踐行告知義務。而公司行號或組織蒐集資料時,可能由當事人處直接蒐集,亦可能從其他管道間接蒐集而來,故二者之免除告知之事由也因此有些許不同,請參考以下表格:

  直接蒐集 間接蒐集



依個資法第 8 條第 1 項及第 9 條第 1 項規定,應就以下六點告知:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人有查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止
        蒐集、處理或利用、請求刪除個人資料之權利及請求之方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。








一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行
        法定職務或非
公務機關履行法定
        義務所必要。

三、告知將妨害公務機關執行法定職
        務。

四、告知將妨害第三人之重大利益。
五、當事人明知應告知之內容。
除左列 5 款規定外,更包含:
一、當事人自行公開或其他已合法         公開之個人資料。
二、不能向當事人或其法定代理人         為告知。
三、基於公共利益為統計或學術研
        究之目的而有必要,且該資料
        須經提供者處理後或蒐集者依
        其揭露方式,無從識別特定當
        事人者為限。
四、大眾傳播業者基於新聞報導之
        公益目的而蒐集個人資料。

  至於公司行號或組織應如何為告知義務,依個資法施行細則第 16 條規定,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

2. 公司行號或組織可否利用個人資料做行銷之用途?

  公司行號或組織若欲將其所持有之一般個人資料做行銷之用途時,應注意以下兩點:

一、該個人資料應屬合法蒐集而來:
  依個資法規定,蒐集一般個人資料應設定特定目的、符合法定要件及履行告知義務方屬適法,換言之,如為不合法蒐集而來之資料,如向他人購買電子郵件信箱或聯絡電話等,即不可做行銷用途。

二、若當事人拒絕行銷,則即應停止:
  若資料為合法蒐集,應可做為行銷之用途,然而根據個資法第 20 條第 2、3 項規定,若非公務機關利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。且非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。

3. 公司行號或組織應如何處理未獲聘用求職者之履歷或個人資料?

  當公司欲徵求員工時,多數人皆會附上履歷以便應徵職缺,內容理當含豐富之個人資料,而公司也常會面臨若求職者未獲聘用時,其資料是否應保存或銷毀等問題,事實上個資法就此並未特別規定,故僅能依一般個人資料蒐集與利用原則而為之。

  雇主蒐集員工履歷資料,應符合個資法第 19 條規定「與當事人有契約或類似契約之關係」或「經當事人書面同意」之要件,且依法雇主在蒐集應徵者個人資料時,即應踐行告知義務,尤應具體告訴求職者其履歷之使用用途、範圍及使用方式等,較可避免不必要之爭議。另建議公司亦可於刊登求職訊息時,即載明求職者提供之履歷表,將保存多久之年限或如何處理,以杜求職者之疑慮。

4. 可否將公開活動所拍攝之人物照片或影片上傳至網路?

  許多公司行號或組織常透過舉辦各種公開活動來招攬會員或生意,想當然必拍攝活動詳情留下紀錄,甚至在社群網路發達的現今,更是會上傳分享,以達到宣傳之目的。其中往往不乏與會者之照片,若經本人同意上傳分享,自無疑義,然而若與會者眾,無法一一取得同意,上傳照片是否有違反個資法之問題,可能就是必須注意的部分。

  依個資法第 51 條第 1 項第 2 款規定,若屬「於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」則不在個資法適用之範圍內。換言之,僅係將公開場所或公開活動拍撤之照片或影片上傳,縱有拍攝到與會者,也不在個資法管理範圍內。然而若採用社群網站中「標籤(tag)」之功能,將影音資料與特定對象之個人資料結合後,第三者即有辦法從此得知他人之個人資料,如此即違反個資法。

  除個資法外,另一個需要注意的問題是肖像權,原則上若使用者提出刪除之要求,即應刪除為妥,若更進一歩逾越合理之適用範圍,如製成宣傳廣告等,則可能涉及民法上之侵權行為,故應多加注意。

5. 在個資法施行前,對於非由當事人提供之個資,需要補行告知程序嗎?

  在個資法上路後,原本不受個資法規範從事個人資料蒐集、處理或利用者,修法後均將適用個資法規範。但是在個資法修正施行前已蒐集完成之個人資料(該等資料大多屬於間接蒐集之情形),雖然並非違法,卻因當事人均不知資料被蒐集情形,如未給予規範而繼續利用,恐仍會損害當事人權益,是以自宜訂定過渡條款,期能兼顧當事人與資料蒐集者雙方權益。

  依個資法第 54 條規定:「本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處」。又依個人資料保護法施行細則第 16 條規定:「依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。」但是目前本條暫緩實施,行政院已通過修正草案,只要在使用或處理前告知當事者即可,不用在施行後 1 年內完成當事人告知。

6. 違反個資法會有哪些責任?

  若違反個資法,可能涉及行政、民事及刑事責任,其規定與內容請參考下表:

  違反內容 處罰或責任內容



※個資法第 47 條
一、違法蒐集、處理、利用當事人之一般資料與特種資料
        (個資法第 6條、第 19 條、第 20 條)。
二、違反中央目的事業主管機關依個資法第 21 條規定限制
        國際傳輸之命令或處分。
5-50 萬罰鍰。
※個資法第 48 條
一、違反蒐集資料之告知義務(個資法第 8 條、第 9 條)
        。
二、違反違護資料完整性、尊重當事人自主性、資料外洩
        報告義務等(個資法第 10 至第 13 條)。
三、違反當事人意願行銷(個資法第 20 條第 2、3 項)。
四、違反採行適當安全措施、未依法訂定個人資料檔案安
        全維護計畫或業務終止後個人資料處理方法。(個資法
        第 27條)。
2-20 萬罰鍰。
※個資法第 49 條
無正當理由對於主管機關進入、檢查或處分,有規避、妨
礙或拒絕之情事。(個資法第 22 條)。
2-20 萬罰鍰。



※個資法第 28 條
公務機關違反本法規定,致個人資料遭不法蒐集、處理、
利用或其他侵害當事人權利者,負損害賠償責任。被害人
雖非財產上之損害,亦得請求賠償相當之金額;其名譽被
侵害者,並得請求為回復名譽之適當處分。
損害賠償。
※個資法第 29 條
非公務機關違反本法規定,致個人資料遭不法蒐集、處理
、利用或其他侵害當事人權利者,負損害賠償責任。但能
證明其無故意或過失者,不在此限。
損害賠償。



※個資法第 41 條第 1 項
違法蒐集、處理或利用一般個人資料或特種資料或中央目
的事業主管機關依法限制國際傳輸之命令或處分,足生損
害於他人者。
處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。
※個資法第 41 條第 2 項
意圖營利而違法蒐集、處理或利用一般個人資料或特種資
料或中央目的事業主管機關依法限制國際傳輸之命令或處
分,足生損害於他人者。
處五年以下有期徒刑,得併科新臺幣一百萬元以 下罰金。
※個資法第 42 條
意圖為自己或第三人不法之利益或損害他人之利益,而對
於個人資料檔案為非法變更、刪除或以其他非法方法,致
妨害個人資料檔案之正確而足生損害於他人者。
處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。