為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人 資料之合理利用，特制定本法。

本法之主管機關為個人資料保護委員會。

中央及地方各級政府應致力配合推動達成本法立法目的之具體措施，確保 其所轄公務機關及所管非公務機關，於執行職務及業務時遵守本法規定， 共同建構安全可信賴之個人資料保護環境。 為落實個人資料保護相關事項，主管機關得召開個人資料保護政策推進會 議；其運作方式及其他相關事項之辦法，由主管機關定之。

本法用詞，定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 九、當事人：指個人資料之本人。

當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約 限制之： 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。

受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用 範圍內，視同委託機關。

個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。 依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告 知本法所定應告知事項後，所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明 確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後， 單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時， 當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條 第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時，應明確告知當事人下列事項： 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。 有下列情形之一者，得免為前項之告知： 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之 個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項 第一款至第五款所列事項。 有下列情形之一者，得免為前項之告知： 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供 者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知，得於首次對當事人為利用時併同為之。

公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查 詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限： 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。

公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請 求更正或補充之。 個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不 在此限。 個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求， 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者，不在此限。 違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求， 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料， 應於更正或補充後，通知曾提供利用之對象。

公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失 或洩漏時，應通知當事人。 前項情形符合一定通報範圍者，公務機關或非公務機關應通報下列機關： 一、公務機關：向主管機關及依第二十一條之一第一項規定收受其實施情 形之機關通報。 二、非公務機關：向主管機關通報。主管機關受理通報後，並轉知其目的 事業主管機關。 第一項情形，公務機關或非公務機關應採取即時有效之應變措施，防止事 故之擴大，及記載相關事實、影響、已採取之因應措施，並保存相關紀錄 ，以備主管機關查驗。 前三項應通知或通報之內容、方式、時限與通報範圍、應變措施、紀錄保 存及其他相關事項之辦法，由主管機關定之。

公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內， 為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其 原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日內 ，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將 其原因以書面通知請求人。

查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收 必要成本費用。

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有 特定目的，並符合下列情形之一者： 一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。

公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法 定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者 ，得為特定目的外之利用： 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、有利於當事人權益。 七、經當事人同意。

公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱； 其有變更者，亦同： 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。

公務機關應置個人資料保護長，由機關首長指派適當人員兼任，並配置適 當人力及資源，負責統籌推動及督導考核本機關、所屬或所監督公務機關 之個人資料保護相關事務。 公務機關應指定專人辦理個人資料檔案安全維護事項，防止個人資料被竊 取、竄改、毀損、滅失或洩漏；其安全維護、管理機制、應採取之措施及 其他相關事項之辦法，由主管機關定之。 公務機關不得因所屬人員依法執行個人資料保護職務而予以不利之處分或 管理措施。 主管機關應妥善規劃推動第一項及第二項相關人員之職能訓練，增進其個 人資料保護專業知能。 第一項、第二項相關人員之職掌、職能條件、訓練及其他相關事項之辦法 ，由主管機關定之。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應 有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人 資料。

非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集 之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利 用： 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。 六、經當事人同意。 七、有利於當事人權益。 非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時 ，應即停止利用其個人資料行銷。 非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支 付所需費用。

非公務機關保有個人資料檔案者，應辦理安全維護事項，防止個人資料被 竊取、竄改、毀損、滅失或洩漏。 前項個人資料檔案安全維護事項、管理機制、應採取之措施及其他相關事 項之辦法，由主管機關定之。

非公務機關為國際傳輸個人資料，而有下列情形之一者，主管機關得限制 之： 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞 。 四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

公務機關應每年向上級機關或監督機關提出個人資料保護管理事項實施情 形；無上級機關或監督機關者，依下列各款規定辦理： 一、總統府、國家安全會議及五院，向主管機關提出。 二、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，向主管機 關提出。 三、直轄市山地原住民區公所、直轄市山地原住民區民代表會，向直轄市 政府提出；鄉（鎮、市）公所、鄉（鎮、市）民代表會，向縣政府提 出。 公務機關應督導及稽核其所屬、所監督之公務機關、所轄鄉（鎮、市）公 所、直轄市山地原住民區公所及鄉（鎮、市）民代表會、直轄市山地原住 民區民代表會之個人資料保護管理事項實施情形。 依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核 機關應向稽核機關提出改善報告，並由稽核機關審查後，連同稽核結果送 交主管機關。 稽核機關或主管機關認有必要時，得要求受稽核機關進行說明或調整。 前四項實施情形之必要內容、稽核之頻率、內容與方法、結果之交付、改 善報告之提出及其他相關事項之辦法，由主管機關定之。

主管機關應定期或不定期稽核公務機關之個人資料保護管理事項實施情形 ；必要時，得請求前條第二項所定稽核機關協助。 依前項規定稽核後，發現受稽核機關實施情形有缺失或待改善者，受稽核 機關應提出改善報告，送交依前條第一項規定收受其實施情形之機關審查 後，由該審查機關送交主管機關。 前項審查機關或主管機關認有必要時，得要求受稽核機關進行說明或調整 。 前三項稽核之頻率、內容與方法、改善報告之提出及其他相關事項之辦法 ，由主管機關定之。 依前條及本條參與稽核之人員，對於因執行稽核所知悉或持有之資料，負 保密義務。

公務機關有違反本法規定之虞時，主管機關得請公務機關提出資料及說明 ，或派員攜帶執行職務證明文件進行實地檢查，除依法規規定有保密之必 要者外，公務機關及其相關人員有配合之義務。 前項實地檢查，必要時得請求第二十一條之一第二項所定稽核機關協助。 參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務。

公務機關有違反本法規定之情事者，由主管機關令其限期改正，該公務機 關應依限為適當之改正，並應將改正情形以書面答覆主管機關。 公務機關未依前項規定改正者，主管機關得公布其名稱及其違法情形。 公務機關所屬人員未依本法規定辦理者，應按其情節輕重，依相關法令規 定予以懲戒、懲處或懲罰。

本節之規定，於情報機關不適用之。

主管機關認非公務機關有違反本法規定之虞，或為檢視其落實本法情形而 認有必要時，得依下列方式進行檢查： 一、通知非公務機關或其相關人員陳述意見。 二、通知非公務機關或其相關人員提供必要之文書、資料、物品或為其他 配合措施。 三、自行或會同中央目的事業主管機關、直轄市、縣（市）政府或其他有 關機關派員攜帶執行職務證明文件進入檢查，並得令相關人員為必要 之說明、配合措施或提供相關證明資料。 前項檢視落實本法情形檢查作業之規劃、評估方式、考量因素、中央目的 事業主管機關、直轄市、縣（市）政府或有關機關之協力事項及其他相關 事項之辦法，由主管機關定之。 主管機關為第一項檢查時，對於得沒入或可為證據之個人資料或其檔案， 得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保 管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採 取對該非公務機關權益損害最少之方法強制為之。 對於依第一項或前項所為之通知、進入、檢查或處分，非公務機關及其相 關人員無正當理由不得規避、妨礙或拒絕。 主管機關為第一項第三款檢查時，得率同資訊、電信、法律或其他專業人 員共同為之。 參與檢查之人員，對於因執行檢查所知悉或持有之資料，負保密義務，並 應注意被檢查者之名譽。 第一項檢查之執行，主管機關於必要時得請求中央目的事業主管機關、直 轄市、縣（市）政府或其他相關機關（構）配合採取有效措施或提供協助 。

對於前條第三項扣留物或複製物，應加封緘或其他標識，並為適當之處置 ；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者， 應發還之。但應沒入或為調查他案應留存者，不在此限。

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求 、強制、扣留或複製行為不服者，得向主管機關聲明異議。 前項聲明異議，主管機關認為有理由者，應立即停止或變更其行為；認為 無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由 製作紀錄交付之。 對於主管機關前項決定不服者，僅得於對該案件之實體決定聲明不服時一 併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單 獨對第一項之行為逕行提起行政訴訟。

非公務機關有違反本法規定之情事者，主管機關除依本法規定裁處罰鍰外 ，並得為下列處分： 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或令銷毀違法蒐集之個人資料。 四、公布違法情形，及其姓名或名稱與負責人。 主管機關為前項處分時，應於防制違反本法規定情事之必要範圍內，採取 對該非公務機關權益損害最少之方法為之。

主管機關依第二十二條規定檢查後，未發現有違反本法規定之情事者，經 該非公務機關同意後，得公布檢查結果。

（刪除）

公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害 當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所 致者，不在此限。 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者， 並得請求為回復名譽之適當處分。 依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依 侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害 賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者，以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者，不在此限。

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此 限。 依前項規定請求賠償者，適用前條第二項至第六項規定。

損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行 使而消滅；自損害發生時起，逾五年者，亦同。

損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機 關適用民法之規定。

依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件： 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達 一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。

依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地方 法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住所地 之地方法院管轄。 前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以其 在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華民國 最後之住所，視為其住所；無最後住所者，專屬中央政府所在地之地方法 院管轄。 第一項非公務機關為自然人以外之法人或其他團體，而其在中華民國現無 主事務所、主營業所或主事務所、主營業所不明者，專屬中央政府所在地 之地方法院管轄。

對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社 團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自 己之名義，提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴 訟實施權之授與，並通知法院。 前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損害 之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授與訴 訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前，擴張 應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者， 亦得於法院公告曉示之一定期間內起訴，由法院併案審理。 其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。 前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認為 必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用由國 庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新臺 幣六十萬元者，超過部分暫免徵裁判費。

當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當然 停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受訴訟 。 財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實施 權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟。

各當事人於第三十四條第一項及第二項之損害賠償請求權，其時效應分別 計算。

財團法人或公益社團法人就當事人授與訴訟實施權之事件，有為一切訴訟 行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制，其效力不及於其他當事人。 第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於法 院。

當事人對於第三十四條訴訟之判決不服者，得於財團法人或公益社團法人 上訴期間屆滿前，撤回訴訟實施權之授與，依法提起上訴。 財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事人 ，並應於七日內將是否提起上訴之意旨以書面通知當事人。

財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴訟 必要費用後，分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報酬 。

依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項 、第十五條、第十六條、第十九條、第二十條第一項規定，或依第二十一 條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑 ，得併科新臺幣一百萬元以下罰金。

意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案 為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生 損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以 下罰金。

中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適用 之。

公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分 之一。

本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十 二條之罪者，不在此限。

犯本章之罪，其他法律有較重處罰規定者，從其規定。

非公務機關有下列情事之一者，由主管機關處新臺幣五萬元以上五十萬元 以下罰鍰，並令限期改正，屆期未改正者，按次處罰之： 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反依第二十一條規定所為限制國際傳輸之命令或處分。

非公務機關有下列情事之一者，由主管機關令其限期改正，屆期未改正者 ，按次處新臺幣二萬元以上二十萬元以下罰鍰： 一、違反第八條或第九條規定。 二、違反第十條、第十一條或第十三條規定。 三、違反第十二條第一項或依第四項所定辦法中有關通知之內容、方式或 時限之規定。 四、違反第二十條第二項或第三項規定。 非公務機關違反第十二條第二項、第三項或依第四項所定辦法中有關通報 之內容、方式、時限、應變措施、紀錄保存之規定者，由主管機關處新臺 幣二萬元以上二十萬元以下罰鍰，並令其限期改正，屆期未改正者，按次 處罰。 非公務機關有下列情事之一者，由主管機關處新臺幣二萬元以上二百萬元 以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上 一千五百萬元以下罰鍰： 一、違反第二十條之一第一項規定。 二、違反依第二十條之一第二項所定辦法中有關個人資料檔案安全維護事 項、管理機制、應採取措施之規定。 三、未依第五十一條之一第三項訂定個人資料檔案安全維護計畫或業務終 止後個人資料處理方法。 四、違反第五十一條之一第四項所定辦法中有關計畫或處理方法應具備之 內容、執行方式或基準之規定。 非公務機關有前項各款情事之一，其情節重大者，由主管機關處新臺幣十 五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按 次處罰。

非公務機關違反第二十二條第四項規定者，由主管機關處新臺幣二萬元以 上二十萬元以下罰鍰。

非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三 條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰 之處罰。

有下列情形之一者，不適用本法規定： 一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料 。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結 合之影音資料。 公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集 、處理或利用者，亦適用本法。

第二十二條第一項、第三項至第七項、第二十三條至第二十六條、第四十 七條至第五十條所定對非公務機關之監督管理事項，於主管機關成立之日 起六年內，由主管機關報請行政院公告一定範圍之非公務機關，仍由中央 目的事業主管機關或直轄市、縣（市）政府管轄。 主管機關應每二年會商相關機關後，報請行政院調整減列前項公告所定一 定範圍之非公務機關。 中央目的事業主管機關得指定前二項公告範圍之非公務機關訂定個人資料 檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫、處理方法應具備之內容、執行方式或基準及其他相關事項之辦 法，由中央目的事業主管機關比照主管機關依第二十條之一第二項訂定之 辦法定之；並得為更嚴格之規定。

第十二條第二項、第二十二條第一項、第三項、第五項、第七項、第二十 三條及第二十四條規定由主管機關執行之權限，主管機關得委託或委辦其 他機關（構）、行政法人或公益團體辦理。 於前條第一項及第二項公告之範圍內，中央目的事業主管機關或直轄市、 縣（市）政府得將第二十二條第一項、第三項、第五項、第七項、第二十 三條及第二十四條規定之執行權限，委任所屬機關、委託或委辦其他機關 （構）、行政法人或公益團體辦理。 依前二項規定受委託、委辦或委任者，其成員對於因執行相關事務所知悉 或持有之資料，負保密義務。 第一項及第二項之公益團體，不得依第三十四條第一項規定接受當事人授 與訴訟實施權，以自己之名義提起損害賠償訴訟。

主管機關應訂定特定目的及個人資料類別，提供公務機關及非公務機關參 考使用。

對主管機關依本法所為之行政處分不服者，直接適用行政訴訟程序。 於第五十一條之一第一項、第二項公告範圍內之非公務機關，對中央目的 事業主管機關或直轄市、縣（市）政府依本法所為之行政處分不服者，向 主管機關提起訴願。但行政處分係由中央行政機關組織基準法所定之獨立 機關所為者，直接適用行政訴訟程序。 對本法中華民國一百十四年十月十七日修正之條文施行前依本法所為之行 政處分不服，於修正施行後提起訴願者，應向主管機關為之。 本法中華民國一百十四年十月十七日修正之條文施行前已受理尚未終結之 訴願事件，於修正施行後仍由原受理訴願機關依訴願法規定終結之。

本法中華民國九十九年五月二十六日修正公布之條文施行前，非由當事人 提供之個人資料，於本法一百零四年十二月十五日修正之條文施行後為處 理或利用者，應於處理或利用前，依第九條規定向當事人告知。 前項之告知，得於本法中華民國一百零四年十二月十五日修正之條文施行 後首次利用時併同為之。 未依前二項規定告知而利用者，以違反第九條規定論處。

本法施行細則，由主管機關定之。

本法施行日期，由行政院定之。 本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二 十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條， 自公布日施行。