个人资料保护法摘要课件.ppt

1、u99年5月26日經總統公布u尚待訂定施行細則u預計101年1月1日實施2公務機關公務機關非公務機關非公務機關電腦處個人資保護法指依法使公權之中央或地方機關指前款以外之左事業、團體或個人：（一）徵信業及以蒐集或電腦處個人資為主要業務之團體或個人。（二）醫院、學校、電信業、融業、證券業、保險業及大眾傳播業。（三）其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。個人資保護法指依法使公權之中央或地方機關或政法人。指前款以外之自然人、法人或其他團體。以教育體系為公學校私學校3教育部98提升校園資訊安全服務計畫4教育部98提升校園資訊安全服務計畫u擴大適用對象u 由原本的八大業擴展至各各業u

2、資之蒐集、取得，直接、間接皆須盡到告知的義務，並取得當事人的同意u子公司間之資交換亦須取得同意u於個資法實施前取得之資，必須在新法實施後一內告知當事人，否則能使用u增加罰則，除提高罰上限外，具營意圖者，亦構成犯罪u意圖營部分，由告訴乃調整為公訴u舉證責任由民眾（當事人）改為機關（被告）新版個資法條文項次新版個資法條文項次條文條文第五條個人資之蒐集、處或用，應尊重當事人之權，依誠實及信用方法為之，得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合之關。第條有關醫、基因、性生活、健康檢查及犯罪前科之個人資，得蒐集、處或用有排除項目第八條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人

3、資時，應明確告知當事人下事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資之別。四、個人資用之期間、地區、對象及方式。五、當事人依第三條規定得使之權及方式 1.查詢或請求閱覽；2. 請求製給複製本；3. 請求補充或正；4. 請求停止蒐集、處或用；5. 請求刪除。、當事人得自由選擇提供個人資時，提供將對其權之影響。5教育部98提升校園資訊安全服務計畫新版個資法條文項次新版個資法條文項次條文條文第十一條公務機關或非公務機關應維護個人資之正確，並應主動或依當事人之請求正或補充之。個人資蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處或用該個人資。但因執職務或業務所必須

4、或經當事人書面同意者， 在此限。第十二條公務機關或非公務機關違反本法規定，致個人資被竊取、洩、竄改或其他侵害者，應查明後以適當方式通知當事人。第十五條第十九條公務機關對個人資之蒐集或處，除第條第一項所規定資外，應有特定目的非公務機關對個人資之蒐集或處，除第條第一項所規定資外，應有特定目的第十八條公務機關保有個人資檔案者，應指定專人辦安全維護事項，防止個人資被竊取、竄改、毀損、滅失或洩。6教育部98提升校園資訊安全服務計畫新版個資法條文項次新版個資法條文項次條文條文第二十七條非公務機關保有個人資檔案者，應採適當之安全措施，防止個人資被竊取、竄改、毀損、滅失或洩。中央目的事業主管機關得指定非公務機

5、關訂定個人資檔案安全維護計畫或業務終止後個人資處方法。第二十八條公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。7教育部98提升校園資訊安全服務計畫新版個資法條文項次新版個資法條文項次

6、條文條文第二十九條非公務機關違反本法規定，致個人資遭法蒐集、處、用或其他侵害當事人權者，負損害賠償責任。但能證明其無故意或過失者，在此限。第四十五條本章之罪，須告訴乃。但犯第四十一條第二項之罪者，或對公務機關犯第四十二條之罪者，在此限。 第四十一條第二項：意圖營犯前項之罪者 第四十二條：意圖為自己或第三人法之或損害他人之，而對於個人資檔案為非法變、刪除或以其他非法方法，致妨害個人資檔案之正確而足生損害於他人者8教育部98提升校園資訊安全服務計畫項次項次新版個資法之要求新版個資法之要求影響影響1中央目的事業主管機關得指定非公務機關訂定個人資檔案安全維護計畫或業務終止後個人資處方法教育部目前正研擬

7、個人資保護之相關辦法，未將要求機關學校（含公私學校）配合遵守，亦或是由各機關學校修改或引用適當之項目2公務機關非公務機關保有個人資檔案者，應採適當之安全措施，防止個人資被竊取、竄改、毀損、滅失或洩需鑑別所保有之個人資項目（含教職員生），並採取相關控制措施以保護之3非公務機關違反本法規定，致個人資遭法蒐集、處、用或其他侵害當事人權者，負損害賠償責任。但能證明其無故意或過失者，在此限需妥善保存相關控制措施證據（如：表單紀），以證明單位已盡善管之責任4意圖營或損害他人為公訴罪9教育部98提升校園資訊安全服務計畫u資訊中心無建置經驗，謹提供ISMS導入經驗分享u目的u保護個人資料(紙本、數位)機密性u

8、避免訴訟u導入方式u聘一專責人員個資法第18條(可配置於任何一級單位)u可採公開招標徵求輔導團隊u藉由輔導過程完成人員訓練、程序文件之建立、資料清查、風險評鑑、實施控制措施、內部稽核、管理審查等程序u專責人員負責後續確保管理制度的有效施行101112u各組指派人員參加ISO27001:2005主導稽核員訓練，每人上課36小時並通過測驗取得及格證書u採全中心導入，部分範圍認證13u教育部另行訂立教育體系資通安全管理規範u97年6月向教育部申請專案輔導u97年12月獲教育部遴選為種子學校u要輔導3所C、D級學校導入u自97年12月到98年12月接受NII的輔導建置u驗證範圍資訊機房維運與學籍系統u

9、於98年11月16日通過教育機構資安驗證中心驗證u每年持續要複驗u每三年重新驗證1415u一階政策1份u二階程序書14份u三階作業說明書5份u四階表單47份u以99年為例u處理表單總數847份u資安小組會議4次，管理審查會1次，內部稽核1次，外部稽核1次u與其他細部工作16工作項目工作項目實施頻實施頻資產盤點每風險評鑑每BCP演每半弱點掃瞄每半帳號清查每內部稽核每管審查會議每正式稽核每ISMS有效性測每軟體清查每17u全中心人員皆受規範，並全力配合u主要人力5人，參加聯合輔導會議10次，到點輔導10次u為配合驗證進度，在家工作時間無法詳列u資訊機房整線、冷氣機更新、擴充不斷電系統u新增備份主機

10、、資料庫升級、異地備份、人員訓練u資訊業務持續營運演練1819計劃（Plan）檢核（Check）執行(Do)改善(Act)個人資料清單 風險評估報告個人資料保護政策 目標目標依據體系文件執行依據體系文件執行留下執行紀錄個人資料保護個人資料保護管理小組會議管理小組會議自行查核規劃自行查核發現改善計劃（Treatment Plan）矯正與預防追蹤改善情形參考 BS 10012:2009 個人資訊管理系統u未來依據教育部公告個人資料保護政策、法令依據及特定目的。規劃本校之個人資料保護標準指針（Guidelines ），陳請管理高層核定u遵循政策的整體責任、確保政策落實、陳請管理階層審查政策u規劃內部

11、個人資料保護認知訓練u個人資訊處理程序之監督，例如：隱私權聲明的管理和傳達、訴願處理等u與負責風險管理和安全問題的人聯繫20u提供個人資料保護法的專家建議和指引：確保學校取得相關更新法令及適當指引，並持續檢視並反映法律、實務和技術的變更u提供與資料分享專案有關的建議(包括資料攜出的安全問題)u協助各單位鑑別所保有之個人資項目，應包含個資生命週期涵蓋之所有部門，並建議採取相關控制措施以保護u建立風險評估方法，並管理風險陳報給管理高層作審查21u需妥善保存相關控制措施證據（如：表單紀），以證明單位已盡善管之責任(各單位各單位)u定期執稽核作業，以確保相關管措施之有效性負責稽核工作，不做保管個資業務

12、u單位間個資業務協調聯繫之對口。u單位個資安全事件通報之對口。u重大個資外洩事件之民眾聯繫單一窗口（便利民眾提出申訴與救濟之管道）。u統籌各單位專責人員之資料更新及製作名錄22u法務部網站個資法部分資料23新法影響新法影響配套措施配套措施(五五)加重民事及刑事責任：加重民事及刑事責任：設法降低個資外洩之賠償責設法降低個資外洩之賠償責任及避免人員因執行職務或任及避免人員因執行職務或業務而擔負民、刑事責任業務而擔負民、刑事責任（第（第28條、第條、第41條、第條、第42條、條、第第43條）條） 1 訂定個資外洩、滅失或毀訂定個資外洩、滅失或毀損等緊急情勢之應變措施損等緊急情勢之應變措施及避免損害擴

13、大之程序。及避免損害擴大之程序。2 公務機關應依法公務機關應依法指定專責指定專責人員人員並並規劃個人資料保護規劃個人資料保護管理制管理制。非公務機關應。非公務機關應採行適當之採行適當之安全措施安全措施。3 建立建立公務機關個人資料保公務機關個人資料保護執行程序暨考核作業手護執行程序暨考核作業手冊冊，以及相關線上系統建，以及相關線上系統建置，以利有效管考。置，以利有效管考。 24新法影響新法影響配套措施配套措施(六六)施行日期之指定施行日期之指定（第（第56條第條第1項）項） 1 為利各機關修正相關法令為利各機關修正相關法令及建置制，及本法宣導及建置制，及本法宣導與民間業者之調整及準備與民間業者

14、之調整及準備因應措施，評估準備期間因應措施，評估準備期間客觀上至少需要客觀上至少需要16個月個月。2 建議建議於本法施行細則修正於本法施行細則修正草案陳報行政院核定時，草案陳報行政院核定時，併同建議指定施行之日期。併同建議指定施行之日期。2526一、新法之基本觀念(三三) 電腦處理個人資料保護法電腦處理個人資料保護法(舊法舊法)為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理使用，我國於848月11日公布施行電腦處理個人資料保護法（下稱個資法），除界定個人資料之意義以及資料本人所得行使之權利外，並就資料蒐集、資料處理與利用、相關責任及救濟等設有規定。個資法之制定施行，可謂立法者

15、業已意識到隱私之概念從傳統消極不受他人干擾，擴張及於積極掌握有關自身資訊；其將公務機關與非公務機關之個人資料處理冶於一爐，並且同時規範民、刑事罰則以及行政程序。法務部民國法務部民國8508月月07日發布電腦處理個人資料保護法之日發布電腦處理個人資料保護法之特定目的及個人資料之類別特定目的及個人資料之類別27一、新法之基本觀念個人資料保護的基本原則個人資料保護的基本原則：為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。 規範行為：蒐集、電腦處理、利用規範行為：蒐集、電腦處理、利用規範對象：規範對象：公務機關非公務機關28一、新法之基本觀念本法三個重點本

16、法三個重點：個人資料自主決定權(資訊自主權) 安全維護義務合理利用 29一、新法之基本觀念個人資料自主決定權之權利內容個人資料自主決定權之權利內容第3條當事人就其個人資料依本法規定行使之左列權利，不得預先拋棄或以特約限制之：一 查詢及請求閱覽。二 請求製給複製本。三 請求補充或更正。四 請求停止電腦處理及利用。五 請求刪除。 30一、新法之基本觀念個人資料自主決定權之整體行為義務為：個人資料自主決定權之整體行為義務為：1) 給予個資請求權(第3條)2) 被告知/同意(第8條)3) 合比例性之個資運用(第5條)4) 正確使用(第11條)5) 安全維護義務(第18條)31二、新法引發之迴響新新 法

17、法 太太 嚴嚴 格格 ! ?32三、新法爭議釋疑本法採二元並立之立法模式：本法採二元並立之立法模式：第第1條條 為規範個人資料之蒐集、處理及利用，為規範個人資料之蒐集、處理及利用，以以避免人格權受侵害避免人格權受侵害，並並促進個人資料之合理利用促進個人資料之合理利用，特制定本法。，特制定本法。 不確定法律概念、概括條款、除外條款眾多不確定法律概念、概括條款、除外條款眾多 本法賦予相當寬鬆的法制形成空間本法賦予相當寬鬆的法制形成空間!33三、新法爭議釋疑資訊自主權之意義資訊自主權之意義-誰對我知道什麼、何時知道、因何事而知道第5條個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為

18、之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。 34三、新法爭議釋疑資訊自主權的功能演化資訊自主權的功能演化： 限制蒐集原則/個資迴避原則 目的明確原則/目的公開原則/限制利用原則 安全保護原則/責任追究原則 個人參與原則/內容完正原則/資料品質原則35三、新法爭議釋疑民間的反應資訊自主權之折衷民間的反應資訊自主權之折衷：告知/同意義務之免除或減輕免予個資請求權(後敘)特定目的外之利用(後敘)法定要式行為涉及大眾時，在我國常演變成為法定要式行為涉及大眾時，在我國常演變成為定型化契約條款之介入。定型化契約條款之介入。此一需求可以有限接受，因驟然施行恐生成本。此一需求可以有限

19、接受，因驟然施行恐生成本。未來應著重宣導與資訊服務。未來應著重宣導與資訊服務。36三、新法爭議釋疑特定目的外之利用：特定目的外之利用：第第16條條公務機關對個人資料之利用，除第六條第一項所規定資料外，公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。一、法律明文規定。二、為維護國家安全或增進公共利益。二、為維護國家安全或增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危

20、險。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。別特定之當事人。六、有利於當事人權益。六、有利於當事人權益。七、經當事人書面同意。七、經當事人書面同意。37三、新法爭議釋疑第第20條條非公務機關對個人資料之利用，除第六條第一項所規定資料非公務機關對個人資料之利用，除第六條第一項所規定資料外，應

21、於蒐集之特定目的必要範圍內為之。但有下列情形外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：之一者，得為特定目的外之利用：一、法律明文規定。一、法律明文規定。二、為增進公共利益。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，究而有必要，且資料經過提供者處理後或蒐集者依其揭且資料經過提供者處理後或蒐集者依其揭露方式無從

22、識別特定之當事人。露方式無從識別特定之當事人。六、經當事人書面同意。六、經當事人書面同意。38三、新法爭議釋疑不確定法律概念不確定法律概念“公共利益公共利益”之爭議，之爭議，顯示我國對合理利用之強烈需求。顯示我國對合理利用之強烈需求。國際發展國際發展(德國、德國、OECD/APEC):一、法律明文規定。二、經當事人書面同意。 學術研究獨立規範。各機構現階段可利用現行不確定概念嘗試建立理論，各機構現階段可利用現行不確定概念嘗試建立理論，並推並推動修法動修法。 各特別法之推動修法各特別法之推動修法(目的事業主管機關目的事業主管機關)。39三、新法爭議釋疑本法的四階結構：本法的四階結構：個資母法個資

23、母法：立法院審酌國際發展與國內實況修訂。施行細則施行細則：法務部訂明行為義務中之技術與組織規範。實施辦法實施辦法：各部會訂明行為義務中之評鑑或檢查等實務。法院判決法院判決：依個案決定是否違反義務。40三、新法爭議釋疑本法之罰則本法之罰則本法並不嚴格本法並不嚴格!乃行為規範之違反，為保護他人之法律(民184II)；故未明顯加重責任。要件：違反本法規定(即不法蒐集、處理、利用個人資料) + 當事人權利(或利益)受有侵害舉證責任(當事人受有侵害之因果關係；表見證據?)限定賠償額法制重點在於行為義務之設計41三、新法爭議釋疑罰則罰則-民事責任民事責任第第28條條公務機關違反本法規定，致個人資料遭不法蒐

24、集、處理、利用公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。但損害因天災、事變或其他不可抗力所致者，不在此限。第第29條條非公務機關違反本法規定，致個人資料遭不法蒐集、非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。但能證明其無故意或過失者，不在此限。應改為：應改為：公務機關公務機關(非公務機關非公務機關)違反本法規定而不法蒐

25、集、處理、利用違反本法規定而不法蒐集、處理、利用個人資料，致侵害當事人權利或利益者，負損害賠償責任。個人資料，致侵害當事人權利或利益者，負損害賠償責任。42三、新法爭議釋疑不法不法：以不受准許之方式或不正確地蒐集、處理、利用個人資料以不受准許之方式或不正確地蒐集、處理、利用個人資料Unzulssigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten- unzulssigen (以不受准許之方式) - unrichtigen (不正確地)1)給予個資請求權(第3條)2)被告知/同意(第8條

26、)3)合比例性之個資運用(第5條)4)安全維護義務(第18條)5)正確使用(第11條) ?- 個人資料自主決定權之整體行為義務43三、新法爭議釋疑 7 Schadensersatz BDSGFgt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderenVorschriften ber den Datenschutz unzulssige oder unrichtige Erhebung, Verarbeitungoder Nutzung seiner personen

27、bezogenen Daten einen Schaden zu, ist sie oder ihr Trger demBetroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfllt, soweit die verantwortliche Stelle die nach den Umstnden des Falles gebotene Sorgfalt beachtet hat.44三、新法爭議釋疑洩漏洩漏/被駭未必有責被駭未必有責!要件：違反本法規定(即不法) + 當事人權利(或利益)受有侵害 已守安維計劃+對方未

28、能證明損害，似可免責匿名化處理可主張當事人權利(或利益)未受有侵害? 加密化處理可主張當事人權利(或利益)未受有侵害? 45三、新法爭議釋疑罰則罰則-刑事責任刑事責任第第41條條違反第六條第一項、第十五條、第十六條、第十九條、第二十條違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，之命令或處分，足生損害於他人者足生損害於他人者，處二以下有期徒刑、拘役，處二以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪

29、者，處五以下有期徒刑，得併科新臺幣意圖營利犯前項之罪者，處五以下有期徒刑，得併科新臺幣一百萬元以下罰金。一百萬元以下罰金。 分析：分析：足生損害於他人者，為義務之客觀化足生損害於他人者，為義務之客觀化/危險犯之概念。危險犯之概念。違反行為義務，不法性高。違反行為義務，不法性高。資訊自主權是資訊時代的基本人權資訊自主權是資訊時代的基本人權!可以匿名化或加密防免。可以匿名化或加密防免。46三、新法爭議釋疑罰則罰則-刑事責任刑事責任第第42條條意圖為自己或第三人不法之利益或損害他人之利益，意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，而對於個人資料

30、檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而致妨害個人資料檔案之正確而足生損害於他人者足生損害於他人者，處五以下有期徒刑、拘役處五以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。或科或併科新臺幣一百萬元以下罰金。比較：刑法第比較：刑法第359條條(92.6.3 之最新修正之最新修正)無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五以下有期徒刑、拘役致生損害於公眾或他人者，處五以下有期徒刑、拘役或科或併科二十萬元以下罰金。或科或併科二十萬元以下罰金。47三、新法爭議釋疑法律處罰非重點法律處

31、罰非重點 建立建立個資有價個資有價之觀念之觀念! 個資受侵害是資安工作的失敗個資受侵害是資安工作的失敗!我國個人資料保護法法律面已近先進國家，我國個人資料保護法法律面已近先進國家，惟在管理面及稽核面缺乏足夠的配套措施。惟在管理面及稽核面缺乏足夠的配套措施。 兩難處境兩難處境：技術中立 / 契約自由 / 市場導向 (如電子簽章的立法原則)但保護個資又需積極介入安全維護之有效規範：技術/產品程序/組織人員/操作48三、新法爭議釋疑技術與組織規範技術與組織規範 德國方案德國方案：程序化之管理模式：程序化之管理模式產品稽核強制輔導輔導輔導企業建立內部管理程序及使用流程企業建立內部管理程序及使用流程49三、新法爭議釋疑德國企業資保官之職責：德國企業資保官之職責：1) 督導遵守本法之行為規範2) 公司自訂資安方案之審核3) 針對工作人員之本法相關問題釋疑4) 向主管提醒報備義務5) 訓練講習課程6) 50資安素養與個資之互相尊重引自：