個人資料保護法施行細則修正條文-法務部全球資訊網.docVIP

個人資料保護法施行細則 　　本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。 　　本法所稱個人，指現生存之自然人。 　　本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。 　　本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列之各款資料。 　　本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。 　　本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。 　　本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。 　　本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。 　　本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。 　　本法第二條第二款所定個人資料檔案，包括備份檔案。 　　本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。 　　本法第二條第四款所稱內部傳送，指公務機關或非公務機關本身內部之資料傳送。 　　受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。 　　委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。 　　　　前項監督至少應包含下列事項： 　一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、受託者就第十二條第二項採取之措施。 三、有複委託者，其約定之受託者。 四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。 五、委託機關如對受託者有保留指示者，其保留指示之事項。 六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。 　　第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。 　　受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。 　　本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律，指法律或法律具體明確授權之法規命令。 　　本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務，指於下列法規中所定公務機關之職務： 一、法律、法律授權之命令。 二、自治條例。 三、法律或自治條例授權之自治規則。 四、法律或中央法規授權之委辦規則。 　　本法第六條第一項第二款、第八條第二項第二款所稱法定義務，指非公務機關依法律或法律具體明確授權之法規命令所定之義務。 　　本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。 　　前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。 　　本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料，指當事人自行對不特定人或特定多數人揭露其個人資料。 　　本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料，指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。 　　本法第七條所定書面意思表示之方式，依電子簽章法之規定，得以電子文件為之。 　　本法第七條第二項所定單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意。 　　依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其