第一章　總則

第 1 條 (立法目的)

為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

修正理由：

鑒於本法保護客體不再限於經電腦處理之個人資料，且本法規範行為除個人資料之處理外，將擴及至包括蒐集及利用行為，爰將本條修正為「為規範個人資料之蒐集、處理及利用」，以資明確。

名詞解釋：

1.個人：指現生存之自然人。(個資法施行細則2)

2.人格權：係以人的尊嚴價值及精神利益為其保護內容，與其人本身具有不可分的密切關係，具有排他性，得對任何人主張，屬於一身專屬權，於本法係指個人資料自主權。

3.合理利用：在一定條件下，得為特種資料及一般個人資料之蒐集、處理或利用。換言之，當私益與公益有所衝突時，於合乎憲法比例原則之考量下，立法者認為不必獲得當事人同意，即可本於法律明文規定；或公務機關基於執行法定職務之必要，蒐集或利用當事人之個人資料。因為如果所有情形都須要獲得當事人同意方可使用個資，可能影響國家公共任務或公權力之行使，有害於公益（例如行政執行機關蒐集公法債務人之財產資料，係本於法定職掌之作為，如需先獲得債務人本人同意，勢必無法達成債權保全之目的）。因此，個人的資訊自決權，在此一範圍內即應受到限制。

條文釋義：

1.依本條規範內容可知，個資法的立法目的係在避免侵害資料主體的人格權下，建立適當個人資料的管理規範以促進個人資料的合理流通利用，因此若個人資訊之內容不足以造成個人人格權之侵害，或者該資訊根本無法辨識、特定究係何特定人之資料，自不在個資法保護範圍內。而個資法所稱蒐集、處理及利用則是揭示個人資料使用行為態樣。

2.對於個人資料保護，通常論述多以隱私權保護作為出發點。而將隱私做為一種權利而以「隱私權」為一獨立概念，以1890年由Samuel Warren與Louis Brandeis在哈佛法學評論（Harvard Law Review）刊載之《The Right to Privacy》 為最早專論。在《The Right to Privacy》一文中，先從社會的發展產生了新權利之需求開始論述，表示個人的權利從最初的身體方便擴及到了名譽，最後不可避免的擴張至情感跟精神方面。再者，由於攝影技術的進步與報紙的興盛，造成了對私人以及家庭生活的侵害。報紙上的報導逾越了正常社會禮儀所需的界線，將閒話流言轉化成販賣牟利的商品，以滿足大眾粗俗的品味，這為該文主張應有隱私權保障的原因 。

3.在傳統的法制下，對於個人隱私權雖已設有一定的保障，例如：憲法上的秘密通訊自由、居住自由；民法的人格權……等。然而，或由於傳統法制下個別權利的特殊構成要件，例如：秘密通訊需有通訊行為，居住自由需包含空間因素等；或因為個人資料保護本身的特殊性：權利範圍廣（包含所有與特定個人或得特定個人有關之資訊），及侵害行為的多樣性（包括蒐集、使用、比對、儲存），往往使得傳統法制的保護機制出現保護漏洞。因此關於個人資料的保護，實有單獨加以承認及另行設計之必要 。又個資法之規範，以保障「人格權」為核心，應包括消極面的資訊隱私不受侵犯及積極面的個人資訊自我決定權，即尊重人格自我型塑的權利 。再者，「並促進個人資料之合理利用」，此處明確揭櫫「資訊隱私權」的保護非屬絕對不受侵害，其應同時注意「資訊之合理流通利用」，因此這樣的規範內容亦屬「利益衡量」(balance of interests)原則的具體呈現。因而，個資法的基本結構，應該由保護當事人「資訊自主決定權利」的規定，及要求資訊蒐集利用者負擔「資訊隱私保護義務」的規定兩大部分組成 。

4.資訊隱私權，在美國法上稱為The right of Information Privacy，其係指個人具有其資料的控制與處理的權利(the control and handling of personal data)，有學者認為資訊隱私權乃指「非侷限於不讓他人取得我們的個人資訊，而是應該擴張到我們自己控制個人資訊的使用與流向」 ，亦有認為 資訊隱私權為「再沒有通知當事人並獲得其書面同意之前，資料持有者不可以將當事人為特定目的所提供的資料用在另一個目的上」。綜上可知，「資訊隱私權的中心思想乃在於：個人不僅是個人資料產出的最初來源，也是其正確性、完整性的最後查核者，以及該個人資料的使用範圍的參與決定者」 。所謂「資訊自決權」依照德國聯邦憲法法院在人口普查案判決的見解，「在現代資料處理（Datenverarbeitung）之條件下，應保護每個人之個人資料（persönliche Daten），免遭無限制之蒐集﹑儲存﹑運用﹑傳遞，此係屬基本法第二條第一項（一般人格權）及基本法第一條第一項（人性尊嚴）保護範圍。該基本人權保障每個人，原則上有權自行決定其個人資料之交付與使用。」 。

5.在釋字第603號解釋中對「資訊隱私權」有相當詳細的說明：「維護人性尊嚴與尊重人格自由發展，乃自由民主憲政秩序之核心價值。隱私權雖非憲法明文列舉之權利，惟基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基本權利，而受憲法第22條所保障（本院釋字第585號解釋參照）。其中就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。惟憲法對資訊隱私權之保障並非絕對，國家得於符合憲法第23條規定意旨之範圍內，以法律明確規定對之予以適當之限制。」。晚近的釋字第689號解釋亦不脫離上開論述脈絡 。上開解釋也確認「資訊隱私權」或「個人資訊自決權」為憲法上之權利，因此就資訊隱私權的核心領域及搭配其他憲法原則檢驗，若法律中有關資訊蒐集、處理之規定，侵害資訊隱私權，仍有可能違憲無效 。

舊個資法在適用上常遭受批評者，在於其適用範圍侷限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等俗稱的「八大行業」，而不及於一般事業及個人；且保護之客體，只限於經電腦處理之個人資料。個資法則刪除舊個資法中對非公務機關行業別之限制，且將適用之主體擴大至自然人、法人、公務與非公務機關等；並擴大保護客體至紙本處理的個人資料；增加病歷、醫療、基因、性生活、健康檢查及犯罪前科等6類「特種個資」，嚴格規範其蒐集處理與利用等等。又個資法賦予企業更重的個人資料安全維護責任，並賦予目的事業主管機關更大的介入查核權限。

6.公務機關及非公務機關對個人資料之利用，依個資法第16條但書及同法第20條但書規定，尚得為「特定目的外」之利用，如有符合前開規定但書所定各款情形之一時，亦允許該個人資料蒐集機關得為特定目的外之利用，以符合個資法第1條規定「個人資料之合理利用」宗旨。如學校基於教育目的，為獎勵學生而於該校之榮譽榜公布其姓名，並符合本法目的外之利用，即屬本法個人資料之合理利用。

7.個資法立法目的之一為個人人格權之隱私權保護，故惟有生存之自然人方有隱私權受侵害之恐懼情緒，及個人對其個人資料之自主決定。至於已死亡之人，已無恐懼其隱私權受侵害之可能，且其個人資料已成為歷史，故非在個資法保護之列。但如該當資料，性質上同時也屬於其家屬或家族之資料時（如有關死者財產資料，同時亦為其繼承人之資料），則應將此類資料視為其家屬等個資予以保護 。又本法所稱個人，不論其為本國人或外國人，均屬本法之保護對象，因此外國人的資訊自決權，應與我國國民受到同等的保護。

8.對於不同公務機關間資料之流通問題最高行政法院106年度判字第54號判決認為:有關不同公務機關間，已蒐集個人資料之流通，在實證需求上實難避免，而且此等流通可以減輕重複蒐集之行政成本支出，從「促進個人資料之合理利用」觀點言之（新個資法第1條參照），實無禁止之必要 。

實務見解：

1.臺灣高等法院105年度金上訴字第5號刑事判決

按根據某項或多項個人資料之內容，無法或難以識別係特定個人之資訊時，由於欠缺直接識別性，究係何人之個人資料？無法或難以與該特定之個人建立直接識別性時，自個人資料保護法立法理由之解釋而言，即非個人資料保護法所保障之對象。換言之，個人資料保護法揭示之立法目的，既在於保障個人之資訊，避免受到公務機關或非公務機關之侵害，其前提必須在具備直接識別性之情形下，始有保護之必要。倘資訊之本身根本無從或難以識別究係何人，縱使依客觀方式進行推測，亦無法確定究係何一特定之個人時，則對於該資訊之蒐集、處理或利用，並未侵害特定個人之資訊，自不在個人資料保護法規範之範圍內。反之，若就資訊之本身進行觀察，已足以辨識、特定具體個人之資訊，亦即，資訊之內容與特定個人間已具備「直接識別性」時，此時既涉及個人資料之保障，自有個人資料保護法之適用。惟就個人資料保護法第1條之文義解釋及其立法解釋而言，並非完全排除公務機關或非公務機關對於個人資料之蒐集、處理或利用，質言之，若公務機關或非公務機關基於公共利益之目的，本於使用最小侵害之方式下，仍得在法律所宣示之「合理使用」範圍內，蒐集、處理或利用個人之資訊。

2.法務部104年1月19日法律字第10403500300號函

學校要求學生於制服繡上姓名、學號，尚未涉及學校蒐集、處理及利用個人資料，故無個資法之適用。

3.法務部102年10月02日法律字第10203510940號函

電信事業依「通訊保障及監察法」及施行細則規 定「架設專線」，應屬協助通訊監察所需工具裝設，尚未涉及個人資料蒐集、處理及利用，故無個人資料保護法適用。

4.法務部101年9月5日法律字第10103106510號函

(1)土地登記規則第24之1條規定：「申請提供土地登記及地價資料，其資料分類、內容及申請人資格如下：一、第一類：顯示登記名義人全部登記資料；應由登記名義人、代理人或其他依法令得申請者提出申請。二、第二類：隱匿登記名義人之統一編號、出生日期及其他依法令規定需隱匿之資料；任何人均得申請。」

(2)查新修正之個人資料保護法已於99年5月26日經總統公布在案，代表我國政府重視民眾個人資料之隱私權，以強化憲法所保障人性尊嚴之精神。

(3)內政部規劃各類不動產登記謄本申請事宜，雖係依上開土地登記規則之特別規定為之，惟為妥善保護民眾個人資料之隱私權，建請內政部重新審酌上開土地登記規則第24條之1規定內容，參酌個資法規定意旨，於權衡「避免人格權（指個人資料隱私權）受侵害」與「促進個人資料之合理利用（維護交易安全）」之情形下，考量公開或提供第二類登記謄本之方式所涉個人資料之內容與範圍，是否僅限於隱匿登記名義人之統一編號、出生日期及其他依法令規定需隱匿之資料，並妥為處理。

5.法務部101年7月30日法律字第10103106010號函

(1)個人資料者，乃涉及當事人之隱私權益，故個資法立法目的之一乃在個人人格權中隱私權之保護。

(2)準此，依個資法第16條第5款或第20條第1項第5款規定，用於統計或學術研究之個人資料，經提供者處理後或蒐集者依其揭露方式無從再識別特定當事人，則該筆經提供者處理後之資料或蒐集者揭露之資料已非個資法第2條第1款所定「得以直接或間接方式識別該個人之資料」，即無個資法之適用。

6.法務部100年9月26日法律字第1000017452號函

(1)按民法第1148條規定：「繼承人自繼承開始時，除本法另有規定外，承受被繼承人財產上之一切權利、義務。但權利、義務專屬於被繼承人本身者，不在此限。」次按現行電腦處理個人資料保護法（簡稱個資法）第4條所定當事人個人資料之權利，係屬人格權（司法院釋字第603號解釋參照），為一身專屬之權利，尚不得為繼承之標的（郭振恭、黃宗樂、陳棋炎著，民法繼承新論，修訂版，頁111參照）。惟繼承人因繼承事件而有查詢被繼承人之銀行帳戶資料者，乃繼承人基於承受被繼承人財產上一切權利、義務之地位，而須行使之相關權利及履行義務，此似即財政部83年10月5日台融局（一）字第83162620號函之意旨。

(2)至於被繼承人之往來明細中涉有第三人（即受款人）之姓名及帳號等資料，如該第三人為生存之自然人，則該等資料即屬個資法第3條第1款所稱「個人資料」，其蒐集、處理或利用則應符合個資法之規定；如繼承人向銀行請求查詢，就銀行而言，即屬特定目的外之利用，應符合個資法第23條但書各款規定之一，始得為之。

相關條文：

(個人)個資法施行細則2。(個人資料)個資法2。(蒐集)個資法2。(直接蒐集告知) 個資法8。（間接蒐集告知）個資法9。(請求權限制)個資法10。(處理) 個資法2。(利用)2。（公務特定目的外使用）個資法16。（公務特定目的外使用）個資法20。(人格權)民法18、227-1。

第一章　總則

第 1 條 (立法目的)

為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

修正理由：

鑒於本法保護客體不再限於經電腦處理之個人資料，且本法規範行為除個人資料之處理外，將擴及至包括蒐集及利用行為，爰將本條修正為「為規範個人資料之蒐集、處理及利用」，以資明確。

名詞解釋：

1.個人：指現生存之自然人。(個資法施行細則2)

2.人格權：係以人的尊嚴價值及精神利益為其保護內容，與其人本身具有不可分的密切關係，具有排他性，得對任何人主張，屬於一身專屬權，於本法係指...

「個人資料保護法」於101年施行迄今已有6年，其間個資法除在104年做出重大修正外，在實務上亦產生不少重大判決(如最高行政法院對健保資料庫相關使用案之行政判決)及解釋。為使個人資料所有人及資料使用人，能了解並遵循最新修正之個資法要求，因而修訂編著本書。

本次改版修正搭配最新修正發布之個資法、相關判決及解釋，並且簡介美國安全港隱私原則、被遺忘權在歐盟的運作。此外新增介紹幾個重要個人資料保護之標準制度如日本個人資料管理制度（JISQ15001）、英國個人資料保護管理制度（BS 10012）、臺灣標準（CNS 29100）臺灣個人資料保護與管理制度規範(TPIPAS)提供讀者建立個人資料保護制度之參考。

最後，本次改版，需特別感謝謝佳芸校正並提供寶貴意見，然所有文責,當由作者自負，本書相關內容之編排，雖已力求完備，惟疏漏誤繕在所難免，敬請讀者賢達不吝指正，俾使本書更臻周妥。

「個人資料保護法」於101年施行迄今已有6年，其間個資法除在104年做出重大修正外，在實務上亦產生不少重大判決(如最高行政法院對健保資料庫相關使用案之行政判決)及解釋。為使個人資料所有人及資料使用人，能了解並遵循最新修正之個資法要求，因而修訂編著本書。

本次改版修正搭配最新修正發布之個資法、相關判決及解釋，並且簡介美國安全港隱私原則、被遺忘權在歐盟的運作。此外新增介紹幾個重要個人資料保護之標準制度如日本個人資料管理制度（JISQ15001）、英國個人資料保護管理制度（BS 10012）、臺灣標準（CNS 29100）臺灣個人資料保...

出版緣起
二版序
自序
凡例
沿革
緒論
本論
第一章 總則
第二章 公務機關對個人資料之蒐集、處理及利用
第三章 非公務機關對個人資料之蒐集、處理及利用
第四章 損害賠償及團體訴訟
第五章 罰則
第六章 附則
附錄
附錄一：法務部對個人資料保護法部分條文修正說明
附錄二：個人資料保護法施行細則部分條文修正草案總說明
附錄三：個人資料保護法之特定目的及個人資料之類別

出版緣起
二版序
自序
凡例
沿革
緒論
本論
第一章 總則
第二章 公務機關對個人資料之蒐集、處理及利用
第三章 非公務機關對個人資料之蒐集、處理及利用
第四章 損害賠償及團體訴訟
第五章 罰則
第六章 附則
附錄
附錄一：法務部對個人資料保護法部分條文修正說明
附錄二：個人資料保護法施行細則部分條文修正草案總說明
附錄三：個人資料保護法之特定目的及個人資料之類別