主管機關規劃、辦理之資通安全演練作業,有侵害特定非公務機關之權利或正當利益之虞者,應先經其書面同意,始得為之。 總統府與中央一級機關之直屬機關及直轄市、縣(市)政府,對於其自身、所屬或監督之公務機關、所轄鄉(鎮、市)、直轄市山地原住民區公所與其所屬或監督之公務機關及前開鄉(鎮、市)、直轄市山地原住民區民代表會,應規劃及辦理資通安全演練作業,並於完成後一個月內,將執行情形及成果報告送交主管機關。 上級、監督機關或主管機關就第一項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求公務機關提出說明及調整。 主管機關接獲前二項之通知後,應依相關資訊,就資通安全事件之等級進行覆核,並得依覆核結果變更其等級。
但第一項之人依法不得對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴訟。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
個資法主管機關: 法規資訊
公務機關在蒐集、處理、利用個人資料時,須特別留意是否符合個人資料法的相關規定,民眾也可透過檢視上述個人資料保護法的規定,判斷公務機關蒐集、處理、利用個人資料的行為是否合法,以保障自身的權益。 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 例如,稅捐稽徵機關為了執行法律規定的課徵所得稅職務,蒐集處理全國納稅人的所得資料,以達行政目的,就是個人資料保護法所允許的蒐集行為。
又就業服務法、個資法對雇主招募時蒐集資訊一事有相當規範,公司宜依據法規與就業倫理,考量蒐集與職位相關的資訊。 根據我國就業服務法之規定,雇主在招募或僱用員工時,不可以違反求職人或員工意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需隱私資料。 疫苗接種證明屬於隱私資料確實沒有疑義,但是不是屬於就業所需資料,必須看事業單位的工作屬性及場域狀況來判別。
個資法主管機關: 第四章 損害賠償及團體訴訟
﹝1﹞非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。 ﹝2﹞蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 ﹝1﹞公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。 個資法已經於2012年10月1日正式施行,但仍有不少法條配套措施尚未完成,如個資法第27條規定,主管機關應該對特定產業制定個資管理辦法。
如果個人資料是本人在網路上自行公開且合法的資料,且一般人都可以在網路上蒐集到的資料,應不算違法(個資法§19Ⅰ、)、個資法施行細則§28)。 因此,公司如果是為了招募需求,在網路搜尋到求職者自行公開、張貼、發布的資訊,例如:臉書、部落格等,並在必要範圍內處理(註2),算是合法的行為。 個資法主管機關 重大矚目之個資外洩案件經聯繫會議認有行政檢查必要者,其中央目的事業主管機關應即規劃跨部會任務分工,並由聯繫會議邀集相關部會協調。 八、中央目的事業主管機關對個資外洩案件之行政檢查流程,除重大矚目之個資外洩案件依第九點規定確認管轄機關者外,其餘行政檢查程序,依附件二流程圖辦理。 聯繫會議得視個資外洩案件或其他個人資料侵害案件議題之情形,不定期召開,並得視議題需要,邀請中央行政機關、直轄市、縣(市)政府等相關機關代表或專家、學者出席。
個資法主管機關: 個人資料保護法第八條規定註釋-直接蒐集個人資料之告知義務
近年來,關於社交平台個資外洩頻傳7,為防止個人資料被竊取、竄改、毀損、滅失或洩漏,組織依規定應制定個資安全措施。 依據資通安全管理法(下稱資安法)第10條,本法納管之公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 資通安全管理法施行細則(下稱資安法施行細則)進一步列出資通安全維護計畫應包含之內容,包括「核心業務及其重要性」、「資通系統及資訊之盤點,並標示核心資通系統及相關資產」、「資通安全防護及控制措施」、「資通系統或服務委外辦理之管理措施」等事項。 未經授權侵入他人系統瀏覽資料之行為,可能構成刑法第358條利用電腦系統漏洞入侵電腦或相關設備罪;若涉及個人資料之外洩,該系統受駭之單位亦須依個人資料保護法第12條,以及個人資料保護法施行細則第22條等規定,通知相關當事人。
- 若是意圖營利而犯法,則可處5年以下有期徒刑,得併科100萬元以下罰金。
- A 可以,對於可能是證據的個人資料或檔案,可要求所有人、持有人或保管人提出或交付,若無正當理由拒絕,則主管機關可採取對企業權益損害最少的方式,強制執行。
- 例如中央健康保險署將健保醫療費用資料中有關失蹤人口的就醫日期、就醫的醫事機構地址等資料提供給內政部警政署,幫助警政署儘速查明失蹤人口的行蹤,應可認為是為了免除失蹤人口的生命、身體、自由或財產上危險。
- 根據行政程序法的規範,相關配套措施,至少應該在今年3月底前完成。
- 如其為資安法納管對象(此案例為特定非公務機關),無論是否涉及個人資料外洩,應依資通安全管理法第18條等規定,進行資通安全事件之通報及應變。
- ﹝5﹞同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
- 對所有可能被聘用者所進行之背景調查,宜依相關法律、規範及倫理,並宜相稱於營運要求及其將存取之資訊的保密等級及組織所察覺之風險聘用。
- 前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。
在GDPR等待施行的這2年,全世界的企業、政府、甚至公民團體都無不嚴陣以待、蓄勢待發,因此在實施後,立即就在世界各國引發了一些後續效應。 例如在愛爾蘭,已有數位權利組織針對Google與facebook搜集用戶個資的方式提起鉅額訴訟;美國洛杉磯時報為了省麻煩,索性封鎖所有來自歐盟地區的網路用戶;管理頂級網路域名發放的國際組織ICANN,也針對德國的域名註冊商EPAG提出告訴,希望維持既有網域註冊者資料搜集與揭露的方式。 個資法主管機關 ﹝4﹞前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計利息,一併退還。 已辦理完成者,其退費,應自繳費義務人繳納之日起,至目的事業主管機關核准申請之日止,亦同。
個資法主管機關: 法律彙編
除了蒐集個資必須符合特定目的,蒐集者必須盡到告知義務外,個資當事人也有可行使之權利,包括了查詢、修改、補充個資,要求提供個資副本、要求停止蒐集、處理、利用個資,或者要求直接刪除個資,而且這些權利是不得被事先要求放棄或以合約限制的(見圖二)。 其立法目的在於規範個人資料之蒐集、處理及利用,避免人格權受侵害,促進個人資料之合理利用。 該法參考了OECD(經濟合作暨發展組織)個人資料使用基本原則、BS10012(英國個人資料保護標準)等規範來制定。 個資法主管機關 由於世界諸多先進國家已有保護個人資料或隱私權相關法律制定,故個資法的立法與實施誠為我國是否邁向已開發國家之林的一項十分重要的觀察指標。
每個行業的目的事業主管機關就是個資法主管機關,或者說,企業向哪個機關登記註冊,該機關就是個資法主管機關。 若牽涉到多個主管機關或者主管機關不清楚時,則透過公務機關的協調聯繫機制決定如何共同執行或由誰主管監督,若無法決定則交由行政院決定。 為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之正確性及隱私性,應建立安全保護機制,並定期查核。 為保護本校業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失或洩漏等風險。 依「個人資料保護法」、「個人資料保護法施行細則」與個人資料管理制度(PIMS)BS 10012標準之要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
但面對壓力,行政院所採取的應對方式,無論是就GDPR的規範內容而言、就國內長遠的個資保護觀之、或就國際組織的參與來說,卻都顯得十分消極。 ﹝1﹞財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。 個資法主管機關 ﹝5﹞同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 個資法主管機關 ﹝2﹞被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 A 員工若違反個資法而導致他人損害,亦得負刑責,可處2年以下有期徒刑。
同時,根據第十五條規定,公務機關對個人資料之蒐集或處理,應有特定目的,並經當事人書面同意。 此「書面」同意,目前根據法務部解釋,除非係以電子簽章方式為之者,否則應取得當事人的「紙本」書面同意始符合法定要件,企業應留意此點要求。 依照「個人資料保護法」第二條,對國際傳輸的定義為將個人資料作跨國(境)之處理或利用。 ﹝1﹞中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
香港SEO服務由 featured.com.hk 提供
