受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用 範圍內，視同委託機關。

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。 依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告 知本法所定應告知事項後，所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明 確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後， 單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時， 當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條 第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有 特定目的，並符合下列情形之一者： 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。

公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法 定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者 ，得為特定目的外之利用： 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、有利於當事人權益。 七、經當事人同意。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應 有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人 資料。

受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應 適用之規定為之。

委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監 督。 前項監督至少應包含下列事項： 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、受託者就第十二條第二項採取之措施。 三、有複委託者，其約定之受託者。 四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時 ，應向委託機關通知之事項及採行之補救措施。 五、委託機關如對受託者有保留指示者，其保留指示之事項。 六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契 約以儲存方式而持有之個人資料之刪除。 第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記 錄之。 受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託 者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者 ，應立即通知委託機關。

本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當 事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付 或向其為給付之行為。 本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者： 一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交 易之目的，所進行之接觸或磋商行為。 二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與 當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之 連繫行為。