個人資料保護法分為六章,涵蓋總則、公務機關與非公務機關對個人資料的處理規範、損害賠償、團體訴訟、罰則及附則,全面規範個人資料的蒐集、處理和利用,旨在保障個人隱私權,促進數據的合理利用。
第一章 總則:本法於第一條明確規範,旨在保障個人資料蒐集、處理及利用的合法性,防止對人格權的侵害,並促進資料的合理使用。本法明確個人資料的定義,包括姓名、出生年月日、國民身分證號等能夠直接或間接識別個人的信息。法律要求任何涉及個人資料的蒐集和利用都應符合法律規範,並尊重當事人的權益,不得超出特定目的的必要範圍。此外,法律規定當事人對其個人資料擁有的基本權利,如查詢、閱覽、補充、更正和刪除等,這些權利不得被預先拋棄或以特約限制。
本法的適用範圍涵蓋公務機關和非公務機關,定義個人資料的基本概念,包括姓名、聯絡方式、健康資訊等,並規定任何資料蒐集和處理均需符合誠信原則,僅限於特定目的內的必要範圍。當事人享有查詢、閱覽、更正、停止利用及刪除個人資料的基本權利,這些權利不得以任何方式預先放棄或受限制。
在針對公務機關和非公務機關的規定中,公務機關的個人資料處理需以執行法定職務為基礎,並符合特定目的;非公務機關則須依照法律、契約或當事人同意來蒐集和利用個人資料,且應採取適當的安全措施防止資料洩漏。特別是涉及敏感個人資料,如病歷、健康檢查或犯罪前科等,只有在符合法律例外情形或獲得當事人書面同意的情況下方可蒐集或利用。
第二章 公務機關對個人資料之蒐集、處理及利用:根據第15條,公務機關蒐集或處理個人資料需基於特定目的,並應符合以下條件之一:執行法定職務所需、經當事人同意或對當事人權益無侵害。公務機關對個人資料的利用則需符合與蒐集目的相關的必要範圍,例外情形包括法律規定、公共利益需要、當事人生命安全受到威脅或當事人書面同意等。為確保個人資料的安全性,公務機關需採取適當措施防止資料洩漏、竄改或損毀。
第三章 非公務機關對個人資料之蒐集、處理及利用:第19條規定,非公務機關蒐集或處理個人資料需有特定目的,並須符合法律規定、契約關係或當事人同意等條件。同樣,非公務機關的利用行為應與蒐集目的相符,例外情況下可在法律允許的範圍內進行特定目的外的利用,例如基於公共利益的統計或學術研究。此外,非公務機關應提供當事人拒絕接受行銷的權利,並在行銷活動中保障當事人資料的安全性。對於涉及國際傳輸的情形,若存在損害國家利益或當事人權益的風險,主管機關得予以限制。
第四章 損害賠償及團體訴訟:第28條規範,若公務機關或非公務機關違反本法規定,致使個人資料被不法蒐集、處理或利用,應對當事人承擔損害賠償責任,賠償範圍包括財產損害及精神損害。當事人若因同一原因事實受害,得以團體形式提起訴訟,相關的財團法人或公益社團法人需符合特定資格方可代表當事人進行訴訟。本法對損害賠償的數額及團體訴訟的程序均作出詳細規定,目的是提高被害人權利救濟的效率,同時限制團體訴訟的濫用。
第五章 罰則:第41條規定,意圖為自己或他人謀取不法利益,或損害他人利益而違法處理個人資料者,可處五年以下有期徒刑及罰金。若行為人為公務員,並利用職務之便進行違法行為,將加重其刑罰。此外,未依法處理資料或違反國際傳輸限制的非公務機關,可能面臨高額罰鍰。此章明確各類違法行為的刑事責任及行政處罰,旨在嚴格執行個資法規,遏制違法行為。
第六章 附則:根據第51條,若個人或家庭活動中蒐集的個人資料,或於公開場所蒐集的未結合其他資料的影音資料,不適用本法。此外,本章對本法的執行細則、主管機關的權責及法律施行日期作出規定,確保法律的可操作性與執行效力。
此外,本法還強調個人資料的國際傳輸問題。當跨境傳輸個人資料可能涉及國家重大利益或當事人權益時,中央主管機關有權限制相關行為。同時,法律賦予當事人對不法行為的聲明異議權,並要求檢查、扣留或複製的行為須符合最小侵害原則。
為實現更有效的執法,本法授權相關主管機關對違規機構進行檢查,並可要求其改正違規行為,對情節嚴重者予以重罰。法律還特別規定,公益性組織可以代表多數受害者提起團體訴訟,並對訴訟的進行和費用分配進行詳細規範。
本法的核心是保護個人資料,平衡個人權益與公共利益,並促進資料在合法基礎上的合理利用。其規範涵蓋從資料蒐集、處理、利用到損害賠償的全過程,對於保障個人隱私、促進數據治理有著重要意義。
