而本案學生報名資料遭「瀏覽」一節,如駭客除瀏覽外亦對資料進行複製、拍照、截圖、下載、刪除、竄改等行為,則亦可能取得、刪除或變更他人電腦或其相關設備之電磁紀錄,而不構成刑法第359條之罪;如有蒐集或處理個人資料之行為,也可能違反個人資料保護法第41或42條之罪。 考量資訊科技的蓬勃發展,資通安全威脅與相關議題日趨複雜、多元,本院除針對我國資安法制及相關規範進行研議外,亦持續深入研究各項新興科技與應用之資安法制與政策議題。 同時,為協助公務機關及各界瞭解資安法制議題之最新趨勢與管理作法,十餘年來,本院持續蒐整國內外資安與資訊相關案例,並從法制與管理的角度,對案例進行分析,並提出因應建議與可行作法,供機關與各界參考。 個資法施行細則 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人 … 本校個人資料保護及管理決議事項應納入本校個人資料保護管理暨指導委員會會議報告,涉及重大決議之會議紀錄應提報主管機關(教育部)及互動關係人(如企業雇主、畢業校友、學生家長、本校教職員工生及其他與本校相關人士等),如有任何回饋事項,將列入下次會議之討論議題。
第三項「個人資料蒐集、處理或利用之程序」則是規範非公務機關需制定出個人資料保護相關的執行程序與標準作業流程。 在此次「新版個資法施行細則」的修正重點中,對於各個非公務機關影響最大的,當屬規範的12項安全維護事項。 黃荷婷表示,這是法律中規定非公務機關必須落實的項目,施行細則只是說明其大意,細節還是交由非公務機關自行決定。 但差別在於,「企業落實程度深淺好壞,將涉及未來一旦爆發個資外洩事宜,企業是否可以證明做到善良管理人的注意義務。」她說道。 依據現行「電腦處理個人資料保護法」規定101項各行各業適用的特定目的,企業對個資的蒐集、處理和利用都不得逾越相關規定;新版個資法目前雖仍待主管機關制定特定目的,但在主管機關完成制定程序前,90%個資蒐集的特定目的,應該都是為當次的活動所做的個資蒐集、處理和利用,不應該無限制的擴大個資的使用範圍。
國家通訊傳播委員會(National 個資法施行細則 Communications Commission,下簡稱NCC)公布109年智慧型手機內建軟體的資安抽測結果,抽查涵蓋15款機型,檢測其內建軟體之資安是否合格。 此次抽查係依據NCC所公告之「智慧型手機系統內建軟體資通安全檢測技術規範」,目的為確保手機內建軟體與應用程式之安全性。 對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。 組織應將個人可是別資訊之蒐集限制於適用之法律及嚴格地為此指定目的所必要之邊界範圍內。
個資法施行細則: 前往 個人資料保護法
但因執行職務或業務所必須並註明其爭議,或經當事人書面同意,則不在此限。 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 A 個資法規範個人資料蒐集、處理及利用,從資料蒐集開始,以至資料的處理、利用,整個過程都必須符合個資法的規定,確保不侵犯個人隱私權,以及合理使用個人資料。 根據《個人資料保護法施行細則》(以下簡稱《個資法施行細則》)第2條規定:「個人,指現生存之自然人。」,而有關個人資料中的「病歷」、「醫療」、「基因」、「性生活」、「健康檢查」、「犯罪前科」、「得以間接方式識別」等概念,則規範於《個資法施行細則》第3、4條。 但關鍵在於,陳明堂說:「不論採用何種告知或通知的方式,企業都必須付起舉證責任,證明曾經做過相關的告知或通知。」因為個資當事人都有要求更正與刪除的個資權利,所以,相關的通知或告知方式,並不需要等到對方同意才算完成。
除了文字形式,影像紀錄也有可能涉及他人隱私,例如面貌、車牌、門牌等,在盡情享受網路自由時,網友們也應謹慎處理網路個人資料保護問題。 在以往,若發生個資遭到不法蒐集、處理、利用等糾紛時,受害者必須親自舉證,獨自進行訴訟,新的個資法規定,不但舉證責任歸屬於被告機關的責任,也建立團體訴訟機制,可由公益團體出面代表所有受害者進行訴訟,發揮民間團體之力量,保護受害者。 個資法施行細則 除了蒐集個資必須符合特定目的,蒐集者必須盡到告知義務外,個資當事人也有可行使之權利,包括了查詢、修改、補充個資,要求提供個資副本、要求停止蒐集、處理、利用個資,或者要求直接刪除個資,而且這些權利是不得被事先要求放棄或以合約限制的(見圖二)。
個資法施行細則: 相關連結
當個人資料被竊取、洩漏、竄改或其他侵害時,應於查明後通知當事人2,以使當事人得以知悉個人資料遭違法侵害之情事,以及時採取補救措施或提起救濟。 其通知之內容3應包含個人資料被侵害之事實及已採取之因應措施,而通知之方式可包含言詞、書面、電話、簡訊、電子郵件、傳真、電子文件,甚至是網際網路或新聞媒體亦可。 個資法施行細則 公司應定期盤點應適用的法令與法規,尤其需特別注意隱私與個資保護的相關規定,以招募新員工為例,就業服務法針對就業隱私資料之提供,規定應有「正當理由」,否則雇主不得要求提供。 此種散落於勞動相關法規內、有關隱私之規定,公司應特別注意將其納入法遵的範疇。 若公司想要求求職者提供疫苗接種證明,首先應確認請求的正當目的,包括疫苗接種證明是否與該職務內容相關,且公司也應制定相當程序,確保求職者面試時,每位負責面試的主管或同仁均瞭解是否可以詢問接種疫苗之相關資訊。 根據我國就業服務法之規定,雇主在招募或僱用員工時,不可以違反求職人或員工意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需隱私資料。
針對手機之資訊安全,國家通訊傳播委員會於106年3月3日公告智慧型手機系統內建軟體資通安全檢測技術規範(下稱技術規範),以作為智慧型手機製造商、經銷商、電信業者及資通安全檢測實驗室辦理檢測之依據,而當智慧型手機通過檢測後,即可取得「智慧型手機系統內建軟體資通安全等級標章」。 為因應不同使用者購買智慧型手機之價位考量及資安防護需求,智慧型手機系統內建軟體資安認證,依上述公告之技術規範分為初、中、高三個等級。 個資法施行細則 初級安全等級為智慧型手機基本隱私保護之最低要求,係應提供個人隱私相關之資料安全,包含手機安全性功能和敏感性資料之相關保護,如有蒐集敏感性資料之行為應明確告知使用者。 而中級安全等級則應提供完整資料保護機制,所有資料之使用、儲存及傳輸時,皆可被安全保護。
在沒有法律明訂可以的前提下,要求任何人提供不得蒐集的特種資料,就會違法。 A 「處理」是指將蒐集的個人資料建立個人資料檔案,以及對個人資料檔案所做的處理,包括資料記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 「得以間接方式識別」:指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。 另外一個重點是,陳明堂說,新版細則也放寬了多數人最有疑慮的「書面意思表示」、「告知方式」和「通知方式」的解釋。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。 由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。
個資法施行細則: 法規內容
中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 不過,根據第21條第1項第3款規定,對於其他個資保護機制不夠完善的國家,企業若要進行個資的國際傳輸時,應該要特別留意中央目的事業主管機關對於傳遞國家是否有疑慮,若有,盡可能不要對該國進行個資傳輸。 不過,根據施行細則草案第12條規定,所有的書面同意都必須做到「單獨的書面」以表示同意之意,「如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。」絕對不只是一個方框,供個資當事人打勾而已。 第16條第7款、第20條第1項第6款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
如同相關文章所述,雇主蒐集員工的個人資料,是基於「人事管理」之特定目的,通訊錄用於員工聯繫之公務需求,故在合理使用範圍內可適法蒐集與利用。 第54條規定,若使用間接蒐集的個資,在處理或利用前,應該要告訴當事者徵求其同意。 由於該法的規定對多數企業都窒礙難行,除了行政院未來可修法外,非公務機關應該回頭審視這些間接蒐集的個資,是否可以有成立合約關係。 假若有合約關係,就可以透過成立合約,達到免告知當事人的個資處理和利用。 第3條規定個人對於個人資料相關的權利,增加企業要告知當事人應該具有的權利,包括查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集處理或利用及請求刪除等5個權利,且這些權利都不得預先拋棄或以特約限制。
法務部指出,根據個資法,未來人肉搜索只要與公共利益有關,例如網友聯手揭露民眾虐待動物、破壞公物等不當行為,進而協助公務機關追查當事者身分,均屬合理蒐集個人資料的範圍。 公司或是組織應依據上述有關委外監督、營運持續、資訊保存與管理建置標準作業流程,在每一次委外管理資通系統與資訊時均詳盡實施檢核。 以備份而言,目前業界實務操作,至少會製作三份備份,並將備份分別存放在兩種不同的儲存媒體,並至少有一份放置於異地保存。 尤其重要資料及核心資通系統應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。 且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接覆寫回原資通系統,最後,備份資料如有機密性考量,宜加密保護之。 在重要資訊毀損滅失的風險實現時,完善的備份機制將可確保營運持續。
個資法施行細則: 利用個人資料時的注意事項
大體上,員工通訊錄包含員工中英文姓名、部門、公司電子郵件信箱、電話分機等資料。 本網站結合我們所徵選的榮譽諮詢律師、一系列淺顯易懂及生活化筆觸的法規個案手冊、固定推出的法律專欄、培訓課程等訊息,一一在網站上找到您所需要的答案。 A 被害人若不易證明其實際損失金額,可請求法院依侵害情節,以每人每一事件5百元以上、2萬元以下的賠償。
然而,於第54條之情況,要求持有個資之業者應於本法施行後一年內告知當事人,實際上將產生困難(例如銀行信用卡申請時客戶所填寫之緊急連絡人之資料可能就有數百萬名)。 故第54條將再修正,刪除一年期間之規定,而規應業者於要處理及利用時再告知即可。 在利用個人資料進行行銷之部份,法案亦規定非公務機關利用個人資料行銷時,若當事人表示拒絕,應立即停止使用其個人資料。 於首次行銷時,並須提供民眾拒絕行銷之方式,以及支付所需費用(第20條)。 換言之,雖然業者依第19條之規定(契約關係、當事人同意或與公共利益有關等)已合法蒐集或處理個人資料﹔但於日後首次要用做行銷時,即必須提供免費回郵信封或免費服務電 話,讓民眾得以便利之方式表達拒絕行銷之意願,且民眾一表達拒絕之意願,業者即應立即停止利用其個人資料。
本校係以嚴密之措施、政策保護當事人(包含未成年人)之個人資料,包括但不限於本校之所有員工,均受有完整之個資法或隱私權保護之教育訓練。 本校之委外廠商或合作廠商與本校業務合作時,均簽有保密協議,使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任,倘有違反保密義務之情事者,將受嚴格之內部懲處或嚴重之違約求償,並追究其民、刑事法律責任。 本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第16條之規定辦理;倘有需取得當事人之同意之必要者,本校應依法取得當事人之同意。 依「個人資料保護法」、「個人資料保護法施行細則」與個人資料管理制度(PIMS)BS 10012標準之要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
不過,從法律上推斷,個人資料因出自隱私權考慮予以保護,軌跡資料係出於電腦處理個資本體所衍生之資訊,與隱私並無關聯,難認定有列入個人資料範圍之必要。 A 只有公務機關保有個人資料,就必須有專人負責安全維護事項,防止個人資料被竊取、竄改、毀損、滅失與洩漏。 A 不論是在國內或國外,只要蒐集個資的對象是中華民國國民,在個資蒐集、處理或利用,就必須受個人資料保護法的規定。 A 不能任意蒐集或使用個人資料,蒐集個人資料必須有特定的目的,而利用個人資料的目的,也必須與蒐集的目的有合理的關聯。 法務部政務次長陳明堂表示,在不逾越母法的規範下,施行細則從4個面向來解釋和補充個資法母法,包括了技術性、細節性、補充性等面向。 不過,制定法條時,部分科技性資安議題未列入考量,如雲端個資保護方式等,所以,行政院長陳冲也指示法務部,在2年內重新檢視個資法的適用內容。
至於防免資料毀損滅失上,則應確認「是否有定期進行模擬與演練」、「若發生資料毀損滅失,後續補救措施為何」等議題。 前者包括廠商內部員工是否有進行社交工程演練、發生資料毀損滅失時的通報程序;後者則涉及資料毀損滅失時的應變機制、替代方案與補救計畫。 因此,企業人資根據上述特定目的,基於內部員工連繫溝通之公務需求目的,製作員工通訊錄供內部員工查詢使用,應堪認定為「特定目的必要範圍內之利用」,無須再取得員工的個別同意。 倘若員工通訊錄中,公司又額外公佈全體員工住家地址、住家電話與手機號碼等資料,此部分將逾越上述個人資料保護法第5條所載明的比例原則,而衍生爭議,宜避免之。 而在業者告知義務之部份,新版個資法第8條(向當事人蒐集資料時)、第9條(間接取得個人資料時)、第12條(個人資料遭洩露或侵害時)以及第54條(現已持有非由當事人提供個人資料時)等條文,均規定應向當事人為一定內容之告知(即時以言詞、書面、電話、簡訊、電子郵件等方式,細則第16條)。
- 4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
- 雖不至於會完全消失,但詐騙活動將大為減少是可預期的,最主要原因在於公司企業,為了避免受罰,一定會加強資安的管控,「以日本為例子,他們的個資法實行3年之後,個資外洩的情形便大幅度減少了」,當然,過往也許已有很多資料掌握在詐騙集團手中,但隨時間過去,久未更新情報的歹徒,行騙時也更容易露出馬腳。
- 在現今的社會中,隨著科技的變遷發展,資訊得以快速流通,存取也更加容易。
- 包括第9條第1項「成立管理組織,配置相當資源」應該由組織高層負責,第9條第2項「界定個人資料的範圍」、第9條第7項「認知宣導及教育訓練」和第9條第11項「個人資料安全維護之整體持續改善」可以由IT部門和其他包括法務與業務部門一起執行。
- 解析:依據就業服務法第5條第2項第二款規定:「雇主招募或僱用員工,不得有下列情事:二、違反求職人或員工之意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需之隱私資料。」故答案為錯誤。
- 個人資料保護法施行細則草案」也於民國100年10月27日公告,但該法 …
- 但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
第十一項「緊急應變措施及通報」主要是規範資安事件發生後的通報應變流程。 黃荷婷指出,由於新版個資法第12條規定,「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」企業從個資外洩事件發生後的應變到最後通報當事人的流程,都必須清楚規定。 而於擴大保護客體之部份,此次修法參考歐盟之規定,規定「醫療、基因、性生活、健康檢查、犯罪前科」等屬於特種資料,除非法律明定、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,否則不得蒐集、處理、利用(第 6條)。 因此,將來就此類特種資料保護之程序,會較其他一般個人資料更嚴謹。 然實務上,保全業者或金融業者常要求其從業人員提供良民證(刑事紀錄證明),但於前述條文之下,將涉及犯罪前科之搜集,為免運作困難,故第6條將再修正,將經當事人書面同意而提供,亦列為除外之事項。
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。 第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
理律法律事務所合夥律師曾更瑩指出,個資法施行細則規定的11 項安全維護措施,已經像是企業因應個資法的「檢核表」,放寬成「得包括」後,其實就是讓企業因應時,可以更有彈性。 個資法從今年10 月1 日正式施行後,個資法施行細則也同步適用。 不過,原本在施行細則草案中列為企業必做的11 項安全維護措施,到了正式版的條文放寬了這項要求,修改為企業可視情況選擇性地執行需要的安全維護措施,而不用11 項都做。 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名或其他揭露方式,無從辨識該特定個人,或需費過鉅或耗時過久始能予以辨識者。
A 可以,中央目的事業主管機關或直轄市、縣(市)政府認為企業有可能違反個資法時,可隨時派員進入企業檢查,並可命令相關人員說明、配合或提供相關證明資料。 A 當事人提出補充、更正個人資料請求,企業或公務機關必須在30天內回覆。 此外,法務部也在9月17日預告發布了新版個人資料保護法的「特定目的及個人資料之類別」,新版本共有181項特定目的,以及134種資料類別,可作為企業利用和處理個資時的參考,利用目的需符合這些特定目的的項目,需要告知當事人時,也須依此特定目的清單和資料類別來說明企業持有的個資和使用目的。 至於施行細則第16條規定的「告知方式」和第22條規定的「通知方式」,陳明堂表示,為了配合公務與非公務機關實務運作所需,也放寬「告知」或「通知」的方式,除了原本的書面外,還可以增加:言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式,都是合法的「告知」或「通知」方式。 第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其成員因執行委任或委託事務所知悉之資訊,負保密義務。
個資法施行細則: 相關網站
而個資法亦明令,個人仍然可以對已經提供出去的個人資料,行使相關權利,這包括了查詢、更正、要求停止蒐集、處理或利用,也可以要求企業進行完全刪除。 另外,企業在運用個人資料時,必須要取得當事者書面的同意,書面指的是紙張,這在現今社會或許較難達成,因此企業可能會採取契約或類似契約的關係來代替,像是網頁上的同意勾選框,所以在勾選前最好也先看清楚內容。 新版個資法於2012年10月1日正式實施,為落實保護個人資料之目的,法規第1條即禪明其目的是規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用。
香港SEO服務由 Featured 提供
