一、建立間接識別個人資料之標準 Q:何謂以間接方式識別該個人之資料? 例如學校職員A從校務行政資料庫,將學生資料中之一個欄位「聯絡方式」賣給補教業者B,則是否屬個人資料保護法所規範之可識別個人資料。 鍾瑞蘭表示,經濟部已有電子簽章法的規範,書面同意可以電子文件的方式進行呈現,但目前討論的關鍵在於,所謂的電子文件是否必須完全符合電子簽章法的規範,例如必須有憑證才算是可以取代書面同意的電子文件呢? 她說,目前希望經濟部可以在這14天的法案預告時間內,針對書面同意如何以電子文件的方式進行完整的表示,可以提出符合電子簽章法規範的建議作法與說明。 (三)本行如有違反個資法規定蒐集、處理或利用 臺端之個人資料,依個資法第十一條第四項規定,臺端得向本行請求停止蒐集。 二、有關本行蒐集 臺端個人資料之目的、個人資料類別、蒐集個人資料之來源及個人資料利用之期間、地區、對象及方式等內容,請 臺端詳閱如後附表。
此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 但她也提醒,雖然施行細則所規範的告知方式相當寬鬆,但企業擔心的後續面臨舉證責任時,不論告知方式為何,企業還是必須負起相關的舉證義務。 由於科技越來越進步,鍾瑞蘭指出,許多的告知方式只要能夠做到「一對一」的告知,不論什麼方式,例如網站的契約規範、電子郵件、簡訊、MSN即時通訊軟體或手機App通知,如WhatsApp等等,都可以滿足告知當事人的規定。
個資法施行細則: 個人資料保護管理要求
而且企業必須要保存這些教育訓練或認知宣導的實施記錄,作為未來證明自己的確有善盡良善管理之責的證明。 措施8:設備安全管理 針對各式各樣的設備,如:USB、隨身硬碟、行動裝置等,要有明確的使用規範,才不會因為使用這些載具而造成個資外洩。 措施9:資料安全稽核機制 企業可聘請專業顧問公司定期稽核個資保護的流程,或是舉辦內部稽核活動,可以從報告中找出缺失或潛在的問題。 措施10:使用紀錄、軌跡資料及證據保存 經由各項程序所產生的任何形式記錄,企業皆需妥善保存,以利日後舉證之用。 依個資法的規範,發生個資損害事件後的5年內都可求償,這也意味著企業相關個資記錄至少要保存5年。 措施11:個人資料安全維護之整體持續改善 企業的管理高層應該定期開會,或是有重大事故時召開會議,評估個資保護制度落實的程度,並持續改善。
本署個人資料管理制度導入範圍內所有與個人資料之蒐集、處理與利用等作業相關之單位、人員、業務流程與系統。 新版個資法第54條規定,企業間接蒐集的個資,在新版個資法修正施行之日起一年內必須完成對當事人的告知義務。 許多企業為了節省告知當事人所耗費的經費,都希望能夠透過「公告」的方式達到告知當事人的目的。 個人資料保護法 第 29 條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。 五、臺端得自由選擇是否提供相關個人資料及類別,惟 臺端所拒絕提供之個人資料及類別,如果是辦理業務審核或作業所需之資料,本行可能無法進行必要之業務審核或作業而無法提供 臺端相關服務或無法提供較佳之服務,敬請見諒。 食品業者經定期檢視發現有非屬特定目的必要範圍內之個人資料,或特定目的消失、期限屆至而無保存必要者,應予刪除、銷毀、停止蒐集、處理、利用或其他適當之處置。
個資法施行細則: 個資法施行細則放寬安全維護要求,不用11 項全做
由於前述說明之草案編號 去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 此外,陳明堂說,個資法正式施行後,法務部也簽准成立一個「個資法研究諮詢小組」的任務編組,匯集學界和業界的專家,針對個資法適用時的法規疑慮進行研究和說明。 至於眾所關心的中央目的事 業主管機關,他表示,行政院正在核定中,預期近日將會對外公布。 她進一步說明,因為公共利益是不確定的法律概念,會因為產業別和應用的不同,而有不同的界定,人肉搜索到底是否違法,還是得看是否符合公共利益而定。
涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。 對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 目前對於個資業務委外之監督,於非公務機關實務方面,常以契約約定方式為之,且內容多以責任轉嫁或分攤為主,意即發生個資事故時,受託者須與委託機關共同承擔等;或甚至提供已取得資料隱私保護標章(dp.mark)之證明,以彰顯個資保護與管理之能力。 但在公務機關部分,則多採要求受託者管理機制及契約約定事項併同為之,如經濟部訂有「委外廠商查核項目」,其依人員及資源配置、界定個人資料、風險評估等11大項分別列出(即個資法施行細則第12條第2項之要求),請受託者先行自評,委託機關再據以檢視,以符合個資法要求之監督。 一、 特種個人資料之修訂 自99年「個人資料保護法」通過施行以後,雖然第六條之規定暫緩施行,然社會大眾仍對於病歷被排除於特種個人資料以外,尤其是醫療資訊並不包含病歷,導致病歷適用一般個人資料的規定,引起相當大的疑慮與爭論。
個資法施行細則: 企業個資委外非卸責藉口 法律義務仍以甲方為主
個資法從10月1日開始正式實施,除了規範特種個資不得利用的第6條,以及間接蒐集個資1年內告知的第54條,這兩條暫緩實施,等待修法以外,其餘條文都正式實施。 未來不分產業,公家機關或是私人企業,甚至是每一個個人,也不管儲存在紙本或是電子形式的個人資料,都需受到個資法的規範。 法務部也在9月26日公告了個資法施行細則,並同步於10月1日實施,沒有緩衝期。 個資法施行細則第12條第2項明定了,企業為保護個資得落實的安全維護措施有11項,這也是企業因應個資法時要做好的11件事,對於尚未著手因應個資法的企業來說,這也是可以優先推動的項目。 而其中第一項安全維護措施和先前預告的版本不同,從原本要求企業要成立管理組織,修改為僅需配置專人即可。 細則第12條第2項中提到的11項作法分別簡述如下: 措施1:配置管理之人員及相當資源 企業必須指派一位人員出任個資管理代表,也就是專門處理個資相關事項的專員。
另外,依據執行時的需要,企業必須提供相關的經費、人力等資源,來協助管理人員實施各項管理程序。 措施2:界定個人資料之範圍 也就是所謂的個資盤點,目的是要找出企業內部所有的個人資料。 企業可依據個資的資料流來設計盤點表,讓各部門逐一清查,找出各部門中存放個資的載體,例如可能儲存個資的文件、手冊或系統等。
個資法施行細則: Q2:個人資料保護法所指「個人資料」之內容為何?
MDR 通常會搭配其他資訊安全解決方案,如 WAF、EDR 等,因為是由專業的資安人員或團隊負責企業的資安服務配置,可以大幅減少企業在強化或導入資安服務時內部缺乏資安專職人員的問題。 提供 MDR 的廠商就等於是企業的資安部門,透過主動式監控、威脅情報分析、風險評估、快速偵測即時回應等,形成完整的資安防護體系,提供更全面的企業個資安全保障。 MDR (Managed Detection and Response) 是更進階的資訊安全服務,核心價值在於有專業的資安人員或團隊,能直接監控、分析、評估企業資安需求,同時管理並調整企業整體的資安佈署。
我國個資法施行細則第3條規定並進一步闡述「間接識別」之概念,本條指出,所謂間接識別,係指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。 透過個資法第2條第1款與個資法施行細則第3條規定可以得知,依上揭規定排除於我國個資法規範外之資料,應屬於歐盟定義下之「匿名化資料」。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。 由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 四、 告知期限之修正 99年「個人資料保護法」第五十四條,原針對舊法時期間接蒐集之個資,應於1年內完成告知,在105年「個人資料保護法」修正為蒐集者於新法修正施行後為處理或利用者,應於處理或利用前,依本法第九條規定向資料主體,也就是當事人進行告知。
個資法施行細則: 法規叢書案例
因此,法務部在召開新版個資法施行細則制定的會議中,多數專家仍傾向不界定公共利益的意涵與判斷標準,避免窄化了公共利益的範圍。 當網站傳輸資料被第三方攔截或竊取時,資料已透過 SSL 數位憑證的驗證與加密,使用者輸入的個資如:帳號、密碼、信用卡號等敏感資料,就都已時被加密後再傳輸到網站伺服器的狀態了,能避免被竊取後偷看。 因此,對於需要使用者輸入個資的網站,安裝 SSL 數位憑證仍是一項必要的措施。
我國個資法上關於去識別化、假名化、匿名化之概念未臻明確,導致法律框架之不協調,亦衍生出實務適用法律及解釋之困難。 本文以歐盟之去識別化概念定義為例,透過國際個資法律之規範內涵省思我國個資法規範現況。 於未來個資法修正時,應可考慮進一步就去識別化之標準為更細緻之規範,尤其應補充各去識別化作業方式及具體保護措施等,俾使法規框架整體趨於協調,並提供當事人更完整之隱私權利保障。 (五)依個資法第十一條第三項規定,個人資料蒐集之特定目的消失或期限屆滿時,得向本行請求刪除、停止處理或利用 臺端之個人資料。
個資法施行細則: ▌「個人資料保護法」修正案詳細內容
而在委託機關合法蒐集之特定目的及要件下,受託者可蒐集、處理或利用相關個資。 但受託者違反個資法規定時,相關民、刑事責任亦以委託機關為主。 國內廠商如果考量人力、成本等因素,如案例2之情形,將部分涉個資業務委外處理,宜先審酌有能力是否符合我國個資法之規定。 因為,依個資法施行細則第7條及實務見解,受託者係受委託機關(可再區分公務或非公務機關)之委託,故不論是遵法行為、個資蒐集時之特定目的,或是適用之法律關係都以委託機關為主。
此外,除了個資法本法需要遵守,還有施行細則的部分也是必需要遵守的。 雖然現在的施行細則還是持續的修正,但會和稽核作業直接有相關的,就是施行細則的第九條。 主要談的內容,就是要建立適當的安全維護措施,簡單的說可以包括了三個層面,分別是人員的管理、資訊安全以及內控作業。 所以在執行稽核作業時,除了前面所提到有關法令遵循的部分,施行細則第九條所列的項目都要進行查核,有關這十一條所對應的控制重點,整理如表4。 個資法和其他法令不一樣的地方,在於個資法涵蓋的範圍是適用於組織內每一個單位,不像過去的法令,可能僅有少數部門需要遵守,只要把常用的幾種狀況熟悉就可以進行稽核作業。 個資法施行細則2023 舉例來說在社群網站上按「讚」然後抽獎這種行銷模式,有沒有符合個資法中所謂的個人資料蒐集?
個資法施行細則: 個人資料保護政策
同時其他資訊應與假名化之資料分開存放,並採取其他技術上或組織上之保護措施,確保無法透過該個人資料連結至特定資料主體或可識別之資料主體。 GDPR前言第26點對於假名化資料亦有闡述,其指出,若可透過額外資訊之使用而識別出假名化個資之資料主體,則該資料應視為可得識別之當事人的資料。 七、臺端如交付其他人之個人資料或客戶為法人而向本行交付負責人、董監事、經理人、相關員工、授權人員、保證人及擔保物提供人等之個人資料時,臺端應向該個人提供本行履行個人資料保護法第八條第一項告知義務內容,以使其受告知並充分知悉。 (四)依個資法第十一條第二項規定,個人資料正確性有爭議者,得向本行請求停止處理或利用 臺端之個人資料。
若是違反個資蒐集、處理或利用的規定,包括違反特種個資不得蒐集及限制國際傳輸,可處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,若未改正可再繼續處罰。 新版個資法施行細則從去年6月到12月底,蒐集各界對施行細則的建議,並於今年2月開始,召開專家會議就施行細則條文進行研究討論,前後總共召開17次會議,並進行3遍草案條文的討論。 三、紙本及電子資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需報廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資料。
個資法施行細則: 我國去識別化實務發展-「個人資料去識別化過程驗證要求及控制措施」
由於該資料交換條款屬銀行為客戶個人資料之特定目的外利用,依法須經當事人書面同意始得為之,為求慎重並使當事人能再明確知悉之情形下為同意之意思表示,本細則草案規定該單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。 但鍾瑞蘭提醒,若企業擁有的相關個資並非由當事人直接提供,或者是已經逾越原本特定目的的利用,以公告方式無法真正達到告知當事人的目的。 個資法施行細則 她說,若企業採用公告方式進行告知,若揭露的訊息夠詳細,也有可能間接洩漏當事人不願意公開與該企業互動關係的資訊,所以,鍾瑞蘭表示,這種事後追溯的告知方式,還是必須要能夠做到一對一的告知。
五、臺端得自由選擇是否提供相關個人資料,惟臺端若拒絕提供相關個人資料,本會將無法執行必要之處理作業,致無法提供臺端相關服務。 第二十二條 食品業者訂定第四條第九款個人資料安全維護之整體持續改善方案,應參酌安全維護計畫執行狀況、技術發展、法令修正或其他因素,檢視所定安全維護計畫之合宜性,必要時應予修正。 一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控管其接觸個人資料之情形,並定期確認權限內容之必要性及適當性。 食品業者首次利用個人資料為宣傳、推廣或行銷時,應提供當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用;當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷者,應立即停止利用,並周知所屬人員。 第 十二 條食品業者依本法第二十條第一項規定利用個人資料為宣傳、推廣或行銷時,應明確告知當事人食品業者立案名稱及個人資料來源。
個資法施行細則: 個人資料保護法告知義務內容
為進一步釐清公務機關或非公務機關與其受託人之責任歸屬,爰參考德國、日本等外國立法例,明定委託人應對受託人採取適當之監督,以確保委託處理個人資料之安全管理。 我國個資法第2條第1款定義須受本法規範之「個人資料」為「得以直接或間接方式識別該個人之資料」。 透過本條文義之反面推論可以得知,透過一定程度之加工或技術處理,使個人資料喪失直接或間接識別之可能,破壞資料之個人屬性後,該資料即非為個資法所保護之客體。 雖我國個資法並未將「去識別化」記載於條文中,然學說實務皆肯認本條為「去識別化(de-identification)」之規定,以資料是否去識別化界定個資法保障客體之範圍。 第八 條食品業者訂定第四條第一款個人資料蒐集、處理及利用之內部管理程序、第二款個人資料之範圍及項目時,應確認蒐集個人資料之特定目的,依特定目的之必要性,界定所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料現況。 舉例而言,如果委託機關是非公務機關,原則上受託者個資之蒐集、處理或利用係依個資法第19、20條之規定,除踐行告知事項(直接蒐集依個資法第8條之規定、間接蒐集依第9條)外,尚須有特定目的及法定情形。
- 因此,舉凡郝教授班上通訊錄裡的學生電話、方教授的婚姻與財務狀況、或是小彤助教班上同學的姓名與考試成績都算是《個資法》保護的個人資料。
- 二、有關本會蒐集臺端個人資料之目的、個人資料類別及個人資料利用之期間、地區、對象及方式等內容,請臺端詳閱如後附表。
- 新版個資法第54條規定,企業間接蒐集的個資,在新版個資法修正施行之日起一年內必須完成對當事人的告知義務。
- 許多企業為了節省告知當事人所耗費的經費,都希望能夠透過「公告」的方式達到告知當事人的目的。
- 因此,在經過十餘年後,我國在度於民國99年修正通過「個人資料保護法」,將個人資料保護的範圍擴及所有的個人資料蒐集、處理與利用,並且增修整體的管理模式,以保護個人資料。
- 例如A銀行欲將信用卡客戶之個人資料交換給B保險公司為行銷之情形。
- 但隨著巨量資料的應用益趨蓬勃,許多與個人資料去識別化的運用與再識別的處理等相關個資議題,引起廣泛的討論與爭議。
所謂「可直接識別出該個人的資料」,一般來說,看到一個人的姓名、藝名、筆名、字號、網路名稱、照片、影片、地址、職業(工作職位)等,都可能直接識別出一個具體的個人。 「個人資料」是指與已識別(identified)或可識別(identifiable)之自然人有關之任何資訊。 因為跟一個人有關的任何資訊,原則上該個人都不希望隨便讓任何人知道或散布、流傳。 [2] 個資法施行細則 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。 吳全峰,許慧瑩,「健保資料庫行政訴訟案:個資保護與健保資料之跨機關流動即二次利用」(2018) 月旦醫事法報告,19期,頁61-87。
個資法施行細則: 條文內容
我國從民國84年8月11日公布實施「電腦處理個人資料保護法」,開啟了我國對於個人資料保護之先河。 在該法施行後,歷經與各方討論與協商,決定擴大個人資料保護的範圍,並且加強相關蒐集、處理或利用的管制,因此在99年5月26日修正公布「個人資料保護法」。 本次105年「個人資料保護法」的修訂並未對原有的99年「個人資料保護法」架構有重大的變動,這一次的修訂主要是要回應社會大眾對於舊法的疑義,主要在於將病歷納入特種個人資料的範疇,並且將間接蒐集完成告知的期限改為於處理或利用前。 但隨著巨量資料的應用益趨蓬勃,許多與個人資料去識別化的運用與再識別的處理等相關個資議題,引起廣泛的討論與爭議。 除此之外,隨折科技的進步,為人類生活帶來更多的便利與服務,但也勢必會造成個人隱私的衝擊,如何在促進科技發展與保護個人權利中取得平衡,勢必是我國「個人資料保護法」未來必須面對的議題,預計也會是下次「個人資料保護法」修法應討論的重點之一。