刑事責任:營利的主觀意圖(如竊取個資販賣等)或未有營利的意思或意圖(如未盡保護責任導致資料遺失等),刑期2~5年。 個資法主管機關 國發會目前除積極與歐盟進行GDPR適足性諮商工作外,為因應數位經濟發展及國際趨勢,自108年8月起推動個資法修法工作,陸續召開多場座談會與公聽會,將持續徵集、整合各界意見,以利後續相關工作之進行。 公司所有處理客戶基本資料的電腦設備,全部置放於國外的區域中心內,因為機器設備不在台灣,所以不受新版個資法的限制。 除了前揭(一)至(五)所列舉之個人資料外,判別特定資 料是否為個人資料,主要是判斷是否得以透過該資料,直接或間 接識別其所屬之個人。 前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。
對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。 ﹝1﹞非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 ﹝2﹞非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 身分證統一編號 因為姓名可能會重複,身分證統一編號便成了識別個人的重要依據。 替代識別 為了避免身分證號碼這種明顯的個資造成困擾,我們常常可以看到用組織內的編碼,例如職工編號、學號或病歷號碼作為替代識別的做法。 以個案討論的案例來說,如果只保留病歷號碼、出生年月日是否就沒問題了呢?
《個資法》要保護的個人資料: TNL 網路沙龍守則
在第九條中提到,公務機關或非公務機關依規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及五種相關事項,但有五種情形是不需要告知,其中第四種情況就是和個資去識別化有關。 只有姓名、國民身分證統一編號、護照號碼、指紋等資料具有直接特定個人識別性;至於個人資料保護法第2條所規定第一款的其他例示性資料,單獨提出沒有辦法特定個人,一定要與前面的資料結合,或有複數的資料一起呈現,才能識別出特定個人。 《個資法》要保護的個人資料2023 個人資料保護法的立法目的,是在於保障個人資訊,避免受到公務機關或非公務機關的侵害。
- 我們也建議企業定期檢視所保存資料是否有使用的必要性,這也是資料保存「最小化原則」的展現。
- 在蒐集個人資料時,個資法規定蒐集者應盡告知義務,除了部分特殊情形外,必須盡到告知當事人的義務,應明確告知當事人其公務機關或非公務機關名稱、蒐集目的、資料類別、資料使用期間、地區、對象及方式、當事人得行使之權利及方式、當事人選擇不提供個資時,對其權益之影響。
- 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。
- 重點是,這裡還有雙罰的規定,當企業因此而受罰時,其代表人等除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰,也是相當嚴格的架構。
- 若有違反,依據第41條[5]規定,可能面臨5年以下有期徒刑,得併科新臺幣100萬元以下罰金;主管機關也能夠依據第47條[6]課予罰鍰。
單純在告知函內容中宣告並不具備完整合法要件,將資料提交出去的公司為違法利用,收到的一方,因未依據個資法第9條間接取得個資進行告知,並符合蒐集、處理的合法要件,其蒐集之行為亦屬違法。 只有少數狀況在企業Email中使用可辨識公司名稱的網址,加上當事人的中文音譯姓名或英文姓名,確實有相當高的機會可以識別出該個人,因此如果嚴格認定的話,考慮到這些特殊狀況,即使單獨蒐集Email還是有可能被判定為個人資料。 由於無法判定哪些是個人資料,導致有時蒐集個資而不自覺,或是蒐集了非個資卻自認應遵循個資法之各項規定。 根據個資法第2條,所謂的個人資料指:自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 依上所述,需要符合「特定目的」與「八款法定事由之一」的要件,始能合法為個人資料的蒐集或處理,以及於蒐集之特定目的必要範圍內為利用(本法第20條參照)。 當讀者認識了個資法規範的主體(公務機關與非公務機關)、客體(指保護的對象即個人資料)與行為(蒐集、處理、利用)後,本文將分享如何在本法的規範下,合法蒐集、處理與利用個人資料。
《個資法》要保護的個人資料: ‧ 《個資法》增病歷為敏感資料 當事人同意方式不限書面
因此,如有任何法律適用上的疑慮,請務必事先諮詢法律專業人士,以免觸法。 臺灣BSI總經理蒲樹盛指出,從法律、制度與標準三大構面來看,成立個資因應小組皆有其必要性。 從法律面來看,即使法規沒有強制要求,但企業唯有成立組織,才能投入資源,並且透過專責組織達到指揮、推動和監督的功用,持續落實個資保護的安全維護措施,才能確保企業一直遵循法規。
萬幼筠指出,有許多個資因應小組已經上軌道的企業,在每個月的經營管理會議上,都會定期檢討並報告個資小組的執行進度與運作狀況。 召集人要有實質的權力,才能叫得動各個單位;也要有預算,才有足夠的資源落實管理制度與保護措施;更要有人力,才能夠透過分工和各司其職的方式,逐步推動並落實相關的制度。 而且,負責人(代表人、管理人)更要負起實質的監督責任,非公務機關若因違法而被處以罰鍰,負責人亦會被課以相同額度的罰鍰,可不能卸責;除非,負責人能證明已善盡防止的義務。 為了改善這個問題,我們希望打造一個讓大家安心發表言論、交流想法的環境,讓網路上的理性討論成為可能,藉由觀點的激盪碰撞,更加理解彼此的想法,同時也創造更有價值的公共討論,所以我們推出TNL網路沙龍這項服務。 投稿請寄到 來信請附上投稿人真實名字、email和電話,並直接附上投稿內容(Word、純文字皆可)。 結語 身分證號碼也是跨系統資料交換的重要依據,不全的身分證號碼真的很難作業。
《個資法》要保護的個人資料: 個資法要保護的個人資料: 內容—
5.公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 讀者若是到104人力銀行登錄成為會員,或是到徵才企業官網投遞履歷應徵職務,又或者是到徵才企業進行面試,讀者應有機會事先閱讀到網站上網頁或紙本書面所揭示的「蒐集、處理及利用個人資料告知事項」內容。 除了蒐集個資必須符合特定目的,蒐集者必須盡到告知義務外,個資當事人也有可行使之權利,包括了查詢、修改、補充個資,要求提供個資副本、要求停止蒐集、處理、利用個資,或者要求直接刪除個資,而且這些權利是不得被事先要求放棄或以合約限制的(見圖二)。
個資法除強調保護當事人的人格權外,亦希望促進個資的「合理利用」,而並非完全禁止。 詳言之,個資法依個資的生命週期,從開頭的蒐集,到後續處理、利用階段,皆有不同的規範及要件,只要企業能夠完整掌握這些要件,自然就能在個資風暴中安身立命,這也是後續企業在競爭力上脫穎而出的決勝點。 數位經濟隨著網際網路蓬勃的發展,結合通訊及各式穿戴式裝置、物聯網、雲端計算等新興科技,架構出的應用模式日益龐大,不斷地突破人們想像,而消費者的個人資料也更廣泛地於使用過程中被紀錄。 近年更藉由創新及新科技的發展,從個人資料中開創出數據價值(例如,data mining),帶來更大的經濟和社會效益,但與此同時也提高了隱私風險。 對於個人資料涉及隱私權與公益或商業發展的衝突議題,合理的個人資料使用成為平衡下的共識,各國也以修定個人資料保護專法或相關管制措施加以規範。 「中央或地方機關」是指中央政府、地方政府及隸屬於政府的各級行政機關,「行政法人」則是指中央目的事業主管機關,為執行特定公共事務,依法律設立的公法人[3],例如「國家表演藝術中心」、「國家中山科學研究院」、「國家災害防救科技中心」,都是屬於行政法人。
《個資法》要保護的個人資料: 個資法要保護的個人資料: 網路書店不慎外洩用戶個資,有法律責任嗎? 2年前
目前大多數的企業開始留存系統log、防火牆記錄、資料或檔案存取記錄…等軌跡資料,以期在個資爭議時能舉證以確保自身權益,但是企業普遍缺乏對於留存哪些資料、記錄而使該些資料在真正需要時能派上用場、具備證據能力並有高度證據力的知識。 盲目地留存非必要的記錄只會增加成本與作業負擔,卻無法真正保護企業,這顯然是過度強調證據留存的盲點。 因此,臺灣企業必須重視API保護工作,否則一旦發生資料外洩事件,將面臨商譽損失和高額罰金。 市場上有不少針對API安全設計的資安方案,其中逸盈科技代理的 Noname API平台功能最完整,能預先察覺漏洞和錯誤設定,目前在全球市場深受各產業用戶肯定。 個資法施行細則對於病歷、醫療、基因、性生活、健康檢查及犯罪前科的個人資料,有進一步的定義,例如性生活的個人資料是指性取向或性慣行,犯罪前科的個人資料是指經緩起訴、職權不起訴或法院判決有罪確定、執行的紀錄。 而病歷的個人資料,是指醫療法第67條第2項所列的各款資料,醫療的個人資料則是指病歷及醫師或醫事人員在診察、治療、處方、用藥、施術或處置所產生的個人資料。
在民事損害賠償部分,個資法對於不易或不能證明實際損害額時,規定每人每一事件可求償5百元以上2萬元以下,而同一事件的最高賠償總額為2億元以下。 但是若可證明實際損害金額每人超過2萬元、總額超過2億元,則以實際的損害額賠償。 來看兩個數據,台灣都在全球名列前茅:開放資料(open data),台灣2015年從11名躍升為第一名,也是非歐洲國家首度得到開放資料排名前三名;資訊安全威脅,台灣網路遭惡意入侵數量居全球前四名。 戰爭爆發至今,俄羅斯及烏克蘭政府雙方已經過多輪的談判,但雙方政府並沒有展現出要為了區域和平,而願意妥協的態度。 如果連基本的個資與資安都做不到,那麼高等解決方案的「隱私強化技術」又如何能有應用空間?
《個資法》要保護的個人資料: 個資法主管機關: | 個人資料保護管理政策 |
5.數據價值本附隨著個資與隱私保護的命題,隨著科技的發展,同樣的命題也會滾動檢視,保障民眾權利並迄與經濟發展間取得平衡。 就以個資的範圍為例,國外陸續承認cookie也屬於個資範疇,近日更多被討論的第三方Cookie退場,及後續cookie此類工具如何使用,也為個資法規因應實務發展的動態討論。 4.行政責任,對於上述三項嚴重的違法行為,政府、主管機關可按次開罰處5萬元至50萬元的罰鍰。 而較輕的其他違法行為,如未於限期改正,也同樣將受罰鍰之風險(2萬元至20萬元)。 《個資法》要保護的個人資料2023 重點是,這裡還有雙罰的規定,當企業因此而受罰時,其代表人等除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰,也是相當嚴格的架構。
- 然而AI技術進化以及市場發展過於快速,現有採購類型沒有可以直接適用AI採購的判斷標準範本。
- 因此時常耳聞當事人以個資法挾為激進主張的情況,例如:鄰居或好友反目互告,或股東間的糾紛,以此作為武器。
- 而本案學生報名資料遭「瀏覽」一節,如駭客除瀏覽外亦對資料進行複製、拍照、截圖、下載、刪除、竄改等行為,則亦可能取得、刪除或變更他人電腦或其相關設備之電磁紀錄,而不構成刑法第359條之罪;如有蒐集或處理個人資料之行為,也可能違反個人資料保護法第41或42條之罪。
- 葉奇鑫說,個資因應小組從一開始的籌備、定案到後續的開會檢討、進度追蹤等,專案初期適合每周至少召開一次定期會議,等到制度逐步落實後,則可以每兩個月或每季召開定期會議。
- 但反觀台灣,過去兩年政府在檯面上幾乎是寂靜無聲,彷彿GDPR是地球另一端的事情。
醫院為了方便就診民眾,醫院網站上只要輸入病歷號碼跟出生年月日,就可以線上掛號。 為了讓民眾確認,掛號完成後又常常會附帶顯示就診民眾的姓名與約診日期等資訊。 就算只保留入院日期跟年齡(yy年m月),有心人士還是能推算大概的出生年月日,不用多久也藉由一些便民服務取得個案的姓名等資訊。 企業內部的作業程序多有標準作業流程,但往往沒有以個資法法律觀點重新檢視流程。 舉例來說,線上遊戲業者通常會蒐集身份證影印本,以便日後消費者進線要求客戶服務時可以證明其身份,雖說身份證影印本是證明身份的方法,但保留、儲存該身份證影印本卻多蒐集了消費者的配偶與父母姓名,亦即與該次服務不相干的其他人個人資料,這樣的作業流程仍有違法疑慮。 常常有企業認定,在蒐集個人資料後,如果歸還、不儲存就不叫做蒐集個資,這是對蒐集行為的錯誤解讀,因為個資法第2條對於蒐集的定義係指「以任何方式取得個人資料」。
《個資法》要保護的個人資料: 內容—
相較之下,單靠資料遮罩,並無法掌握資料的動向或存取的資訊,但這種作法的長處在於,去除或遮蔽原本資料所含的敏感內容。 此外,在個資法的施行細則的第十七條,則對上述法條的「無從識別特定當事人」的作法,提出進一步說明。 「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人」。
萬幼筠則建議,第一步要成立個資因應小組,接下來先求符合施行細則其餘規定的10項安全維護措施,並接著從組織單位中,個資成分最重的流程開始著手進行相關的個資盤點、風險評鑑等因應措施。 兩大法律目的分別是「避免人格權受到侵害」「促進個人資料的合理利用」,那麼對個人資料之「蒐集」、「處理」與「利用」即受規範。 進行去識別化處理,處理方式可能包括直接遮罩、重複抽樣、匿名等,視去識別化目的、資料欄位、所要串接的資料是否可能連結導致重新識別等因素,綜合考量後,再決定去識別化方法。 個人資料的定義在《個人資料保護法》(以下簡稱《個資法》)的第2條規定,列舉了各種護照、指紋、病例、基因等等比較具體的個人資料,但「薪資」這一件事並不在舉例的範圍裡,那麼是不是同一條規定的「其他得以直接或間接方式識別該個人之資料」,就有不同的解釋空間。 且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接覆寫回原資通系統,最後,備份資料如有機密性考量,宜加密保護之。 國際討論之焦點多集中於疫苗接種證明為個人健康隱私資訊、具有敏感性質,國家應恪遵保護人權與隱私的法律義務。
《個資法》要保護的個人資料: 個人資料保護法對於公務機關,是怎麼規範的?
2.接著,「特定目的」拘束原則,強調個資的蒐集和目的應具有「正當合理」的關聯。 所以,像上述提到的應徵者提交良民證,或是要求其提交如正式員工的身分證字號、銀行帳戶,其實都沒有必要。 《個資法》要保護的個人資料 而企業對外的「意見調查表」,如果要求填寫者提供身分證字號等個資,也同樣會有必要性的疑問。 這樣的概念,其實希望創業家從各個業務流程,重行思考個資使用的必要性,相信會有截然不同的想法。 這裡我們還要提醒,上面所提到的「特種個資」,因為非常敏感而有侵害當事人隱私的疑慮,原則上是「不得使用」的,只有例外在符合個資法第6條的法定要件時,才能使用,而違反則有嚴重的刑事等責任。 因此,像過往公司喜歡要求應徵者提供警察刑事紀錄證明書(俗稱「良民證」),除非是特定行業,否則這樣的行為即存有風險,而另外像是生技類、醫療產業的新創公司,會涉及到很多關於受試者的個資(病歷、醫療、基因),也建議特別確認是否具有合法事由。
最嚴重的違法情形則發生在企業對外蒐集名單,例如收到其他公司交付的名單或蒐集公協會會員名單,因為無法達到個資法第19條蒐集、處理合法要件的要求,所謂合法要件像是該名單內人員與蒐集單位有契約或類契約關係,或已取得當事人書面同意等,對於該名單的蒐集、處理行為均屬違法。 《個資法》要保護的個人資料 企業普遍因個人資料合法性考量而進行個資盤點,盤點項目以個資的數量及種類為主,但僅盤點個人資料並無法判定該資產是否違法,是以,進行盤點者應包含個人資料蒐集、處理及利用的行為,再藉由比對行為與法定要求的合法性才能判斷是否符合個資法。 個資法約束範圍亦包括個人,其目的事業主管機關為縣市政府,若欲檢舉網拍業者(此指沒有商業登記的個人賣家),應向縣市政府為之,再者,個資法的賠償及行政罰則亦不會因為是個人而所減輕,因此個人業者一旦違法,其賠償的義務不若公司可以有限的資本進行賠償,反而會背負著賠償義務一輩子,不可不慎。 也就是說身為個資的當事人,依照《個資法》的規定,可以向蒐集研究資料的研究者請求查詢、閱覽、複製本、補充或更正個人資料,也可要求研究者停止蒐集、處理或利用個資,甚至可以請求刪除資料,而且研究者不得要求個資所有人拋棄或限制個人資料行使的權利。
《個資法》要保護的個人資料: 網站導覽
為更完善保護民眾的個人資料,對於企業與他企業間的合作關係(協力廠商),如涉及委託蒐集處理利用個人資料,亦屬於管制範疇。 管制方式也授權中央目的事業主管機關得指定特定業別,訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,做為強化個資安全維護的管理措施。 《個資法》要保護的個人資料 同時也因政府及公眾媒體的重視,民眾也逐漸意識到人格權益的保護,也開始見有民眾使用個資法捍衛其權利。 對於企業來說可能是鋒利的武器和工具,稍有不慎,除了見報使企業商譽受損,更可能面臨行政、民事、刑事責任。 《個資法》要保護的個人資料2023 因此,企業為能順利乘著數據浪潮,從中創造商機、或內化為被投資的亮點,將個資法做為內部遵法項目,實存有效益價值。
相比之下,Noname API安全平臺是一個現代化、彈性的解決方案,涵蓋整個API安全範圍的三大面向:API盤點及狀態管理、資安威脅偵測與API上線前的檢測。 《個資法》要保護的個人資料 換句話說,Noname不僅協助企業保護所有API和關鍵資產,還能建立有效的API安全計畫,讓企業在推動創新業務時無需擔心API交換中的資安風險。 對此,國發會主委龔明鑫先前就曾表示,籌備處預計在今年8月成立,初期會有40人到50人,正式成立後隨業務量調整,編制到100人是可能的。 但正式掛牌前還要先送組織法草案,連同第二階段修法,送到立法院審查。 智慧財產權議題涉及專利、著作權和商業機密,近年來因開放原始碼軟體而備受矚目。 開放原始碼軟體可共享、修改和重新發布,和傳統專屬軟體的保密性和發布限制迥然不同。
《個資法》要保護的個人資料: 真的掰了!花旗宣布「刪除粉絲團」
而這些ERP廠商資安能力良莠不齊,故刑事局成立專案,若再有個資外洩,將針對這些ERP廠商進行刑案調查。 法務部為個資法的解釋機關,個資法的條文中亦有明定由中央目的事業主管機關或直轄市、縣(市)政府共同辦理;換言之,每一個行業別之目的事業主管機關即是該行業別在個資法的主管機關,例如,畜牧業由農委會主管、金屬製造業由經濟部主管、電信事業由國家通訊傳播委員會主管。 A 不是,新版個人資料保護法是由舊法「電腦處理個人資料保護法」修法而來,刪除「電腦處理」字眼,擴大了保護範圍。 例如醫院為免除病人生命、身體之危險,向戶政事務所請求提供無自主能力患者的親屬戶籍資料,以通知患者親屬協處相關事宜,戶政事務所提供個人資料的行為,可認為是為了防止患者權益之重大危害。 財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。
