【個人資料保護法實務入門】電子檔已停止分享 @ 個人資料保護顧問的旗艦店

【個人資料保護法實務入門】電子檔已不再公開分享，如果有需要，可以選擇將整個檔案印成紙本裝訂，團印已經結束，從2012年已經經過多次的團印，現在想再加入團印者已經不多，上次有幾位因等超過三個月，不想再等，所以個別印，一本含蓋個資條文、個資的因應作法、非公務機關個人資料檔案安全維護計畫、公務機關個人資料安全維護事項四大部份，共有四百多頁，但因只印一本，加裝訂、寄送，那些單獨列印之網友，一本付出了NT 600的代價（多人印有機會壓到NT 400左右，但至少要10本以上，與影印店老板才有議價空間），如果您不想等（目前僅有一位加入團印），可以考慮自己印，但如果不想花這麼多錢，就只能繼續等 ==> 如有需要，請mail to leohong1973@gmail.com

1. 個人資料保護法背景說明 .................................................................................................. 11

1.1. 個人資料保護法修訂重要里程碑與修法參考依據 ......................................................................................... 12

1.2. 個人資料保護法的違法概念 .......................................................................................................................... 13

1.3. 個人資料保護法的重點 ................................................................................................................................ 15

1.4. 機關需正視之責任 ....................................................................................................................................... 17

2. 前言 ................................................................................................................................ 19

2.1. 重要個人資料保護法條文說明 ...................................................................................................................... 20

3. 個人資料管理暨保護實務 ................................................................................................. 69

3.1. 個人資料管理暨保護機制流程 ...................................................................................................................... 69

3.1.1. 規劃階段(Plan) ..................................................................................................................................... 71

3.1.2. 執行階段(Do) ........................................................................................................................................ 72

3.1.3. 檢查階段(Check) .................................................................................................................................. 74

3.1.4. 改善執行階段(Action) ............................................................................................................................ 75

3.2. 因應個資法，哪些方面要調整 ...................................................................................................................... 76

3.2.1. 機關文化與員工心態 .............................................................................................................................. 76

3.2.2. 組織調整 ............................................................................................................................................... 77

3.2.3. 流程調整 ............................................................................................................................................... 77

3.2.4. 技術調整 ............................................................................................................................................... 77

3.3. 個資法應辦事項 ........................................................................................................................................... 79

3.4. 適當之個資安全維護措施與事項 .................................................................................................................. 81

3.4.1. 是否全部事項都應完全作到 ................................................................................................................... 82

4. 成立管理組織、配置相當資源 .......................................................................................... 83

5. 訂定個資保護政策 ............................................................................................................ 89

5.1. 個資保護政策 .............................................................................................................................................. 89

5.1.1. 組織僅在有合法目的下蒐集、處理與利用個人資料 .............................................................................. 90

5.1.2. 僅蒐集所需之最小個人資料集合，同時，不處理過多之個人資料 ......................................................... 90

5.1.3. 提供當事人有關他們的個人資料將如何被使用及被誰使用之明確資訊 ................................................. 90

5.1.4. 僅處理相關且適當之個人資料 ............................................................................................................... 90

5.1.5. 公平且合法地處理個人資料 ................................................................................................................... 90

5.1.6. 維護組織所持有之個人資料清冊 ........................................................................................................... 91

5.1.7. 保持個人資料精確，且必要時隨時保持最新 ......................................................................................... 91

5.1.8. 僅在法律規範以及組織合法需求期間內保存個人資料 ........................................................................... 91

5.1.9. 尊重當事人與其個人資料之相關權利，包括對於個人資料之存取權 ..................................................... 91

5.1.10. 確保所有個人資料之安全 .................................................................................................................... 91

5.1.11. 僅在個人資料能有適當保護的狀況下且符合主管機關對於個人資料之傳輸限制，方可進行個人資料之國際傳輸 ............................................................................................................................................................. 92

5.1.12. 遵守各種個人資料暨隱私相關法令豁免例外之規範 ............................................................................ 92

5.1.13. 發展並實作PIMS，以確保個人資料保護政策被落實執行 ................................................................... 92

5.1.14. 儘可能辨識組織內部及外部利害關係人以及這些利害關係人參與管理組織PIMS之程度 ................... 92

5.1.15. 辨識個人資料管理相關工作人員及其在PIMS中之職責及責任 ........................................................... 92

6. 產業適法性調查 .............................................................................................................. 100

6.1. 機關所處之產業：高科技製造業、金融業、... ........................................................................................... 100

6.2. 機關蒐集、處理或利用個人資料之法定職務或法定義務之依據 ................................................................. 101

6.3. 機關蒐集、處理或利用個人資料之必要性： .............................................................................................. 103

6.4. 主管機關對個資之相關規定 ........................................................................................................................ 103

6.5. 組織適用之特定目的 .................................................................................................................................. 103

6.6. 個資蒐集、處理與利用程序違反，可能導致行政處罰之行為 ..................................................................... 103

6.7. 違反個資保護規定，足生損害於他人，或意圖營利或為不法之利益，損害個人資料檔案之正確，導致刑事處罰之行為 ............................................................................................................................................................ 104

6.8. 個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，遭致損害求償之可能性評估 ...................... 105

6.9. 國際傳輸之限制 ......................................................................................................................................... 105

6.10. 援引符合個資法規定之例外條件 .............................................................................................................. 105

7. 界定個人資料之範圍 ...................................................................................................... 106

7.1. 找出法定職務或法定義務範圍內適用之法律 .............................................................................................. 106

7.2. 界定個人資料之範圍 – 製造業為例 ........................................................................................................... 107

7.3. Workshop .................................................................................................................................................. 113

7.3.1. Workshop1 ........................................................................................................................................... 113

7.3.2. Workshop 2 .......................................................................................................................................... 116

7.3.3. Workshop 3 .......................................................................................................................................... 119

7.3.4. Workshop 4 ......................................................................................................................................... 122

7.4. 特定目的外之利用及書面同意 .................................................................................................................... 125

7.5. 結論 ........................................................................................................................................................... 125

8. 個資盤點 ........................................................................................................................ 126

8.1. XXX屬於『個人資料』嗎？ ........................................................................................................................ 127

8.2. 哪些是蒐集個人資料之行為？ .................................................................................................................... 133

8.3. 個資盤點示範 ............................................................................................................................................ 134

8.3.1. 個人資料盤點表 - 繳交紙本資料 ........................................................................................................ 135

8.3.2. 個人資料盤點表 - 填寫員工基本資料 ................................................................................................. 139

8.3.3. 個人資料盤點表 - 填寫各項保險申請表 ............................................................................................. 141

8.3.4. 個人資料盤點表 - 簽署各項同意書 ..................................................................................................... 143

8.3.5. 個人資料盤點表 - 輸入員工基本資料至資訊系統 ............................................................................... 145

8.3.6. 個人資料盤點表 - 通知資訊單位建立員工資訊系統帳號與開啟必要存取權限 ................................... 147

8.4. 產出資料 .................................................................................................................................................... 149

8.4.1. 個人資料檔案清冊 ............................................................................................................................... 149

8.4.2. 個人資料檔案處理說明 ........................................................................................................................ 152

8.4.3. 個人資料檔案利用說明 ........................................................................................................................ 153

9. 個人資料檔案之衝擊評鑑 ............................................................................................... 154

9.1. 個人資料衝擊等級參考標準 ........................................................................................................................ 155

9.2. 個人資料檔案衝擊評鑑結果範例 ................................................................................................................ 157

10. 個人資料檔案風險評鑑 ................................................................................................. 158

10.1. 確定有哪些需要進行風險評鑑之標的，也就是『個人資料相關作業程序』以及『個人資料檔案』 ......... 161

10.1.1. 個人資料保護法遵循程度 .................................................................................................................. 162

10.1.2. 機關與個人資料相關之營運流程 ....................................................................................................... 167

10.1.3. 機關內個人資料檔案 .......................................................................................................................... 171

10.2. 結論 ......................................................................................................................................................... 181

11. 事故之預防、通報及應變機制 ...................................................................................... 183

11.1. 個資事故之預防 ....................................................................................................................................... 183

11.2. 個資事故之應變機制 ................................................................................................................................ 183

11.3. 個資事故之通報 ....................................................................................................................................... 187

11.4. 其他注意事項 ........................................................................................................................................... 187

12. 個資當事人行使個資權利處理機制 ............................................................................... 192

12.1. 需採取之措施 .......................................................................................................................................... 193

12.2. 需提供或處理的對象有哪些？ .................................................................................................................. 195

12.3. 機關因應個資當事人行使個人資料權利規範 ............................................................................................ 198

13. 個資委外監督管理機制 ................................................................................................. 203

13.1. 委外作業管理 .......................................................................................................................................... 203

13.2. 委外監督作業 .......................................................................................................................................... 204

13.3. 其他說明事項 .......................................................................................................................................... 205

14. 業務終止後個人資料處理方法 ....................................................................................... 211

15. 建立個資管理暨保護機制 ............................................................................................. 213

15.1. 個人資料之蒐集、處理與利用管理機制 .................................................................................................... 213

15.1.1. 法規規範 ........................................................................................................................................... 213

15.1.2. 個人資料蒐集一般規範 ...................................................................................................................... 217

15.1.3. 個人資料處理一般規範 ...................................................................................................................... 222

15.1.4. 個人資料利用一般規範 ...................................................................................................................... 224

15.1.5. 個人資料其他規範 ............................................................................................................................. 226

15.1.6. 其他機關個人資料蒐集、處理與利用專屬規範 .................................................................................. 226

15.2. 個資管理暨保護機制 ................................................................................................................................ 227

16. 認知宣導及教育訓練 .................................................................................................... 236

16.1. 認知宣導及教育訓練 ................................................................................................................................ 236

16.2. 訓練內容說明 .......................................................................................................................................... 236

16.3. 產出資料 .................................................................................................................................................. 236

17. 資料暨設備安全管理 .................................................................................................... 238

17.1. 個人資料檔案類型 ................................................................................................................................... 238

17.2. 宣導與教育訓練(Awareness and Training) ............................................................................................ 239

17.3. 實體環境保護(Physical and Environmental Protection) ...................................................................... 239

17.4. 各類儲存媒體之保護規範： ...................................................................................................................... 240

17.5. 媒體傳輸規範(Media Transportation) .................................................................................................... 241

17.6. 識別(Identification)與認證(Authentication) .......................................................................................... 242

17.7. 存取控制(Access Control) ...................................................................................................................... 243

17.8. 系統與通信保護(System and Communications Protection) ................................................................ 247

17.9. 組態管理(Configuration Management) ................................................................................................. 247

17.10. 營運持續計畫(Contingency Planning) ................................................................................................. 248

17.11. 系統維護(Maintenance)........................................................................................................................ 248

17.12. 系統與資訊完整性(System and Information Integrity) ....................................................................... 249

17.13. 異常事件之回應(Incident Response) ................................................................................................... 249

17.14. 稽核紀錄 ................................................................................................................................................ 250

17.15. 其他設備安全規範 ................................................................................................................................. 251

17.16. 資料安全規範 ........................................................................................................................................ 251

17.16.1. 電子型式之個人資料存取 ................................................................................................................ 251

17.16.2. 紙本資料如何管理？........................................................................................................................ 251

17.16.3. 資料呈現 ......................................................................................................................................... 252

17.17. 結論 ....................................................................................................................................................... 253

18. 人員安全管理 ............................................................................................................... 254

18.1. 聘僱中人員安全管理 ................................................................................................................................ 254

18.2. 解除聘僱關係或職務異動後之人員安全管理 ............................................................................................ 255

19. 資料保存 ...................................................................................................................... 257

19.1. 記錄與證據之內容類型 ............................................................................................................................. 257

19.2. 必要記錄、軌跡資料及證據之範圍 ........................................................................................................... 257

19.3. 必要記錄、軌跡資料及證據之種類 ........................................................................................................... 258

19.4. 必要記錄、軌跡資料及證據之保存 ........................................................................................................... 259

19.5. 必要記錄、軌跡資料及證據之存取 ........................................................................................................... 260

19.6. 組織須建置之機制或工具 ......................................................................................................................... 260

20. 資料安全稽核機制 ........................................................................................................ 262

21. 個人資料安全維護之整體持續改善 ............................................................................... 266

22. 非公務機關個人資料檔案安全維護計畫 ........................................................................ 267

23. 公務機關個人資料安全維護事項 ................................................................................... 350

24. 個資疑難問答 ............................................................................................................... 430

24.1. 個人資料定義問題 ................................................................................................................................... 430

24.1.1. 電子郵件可算是個人資料嗎？ ........................................................................................................... 430

24.1.2. 機關內部的文件簽名可算是個人資料嗎？ ......................................................................................... 430

24.1.3. 機關內部的員工編號可算是個人資料嗎？ ......................................................................................... 431

24.1.4. 汽機車車牌號碼可算是個人資料嗎？ ................................................................................................ 431

24.1.5. 手機號碼可算是個人資料嗎？ ........................................................................................................... 431

24.1.6. 機關內部護理單位對員工的初步治療以及初步問診資料是否可以算是個人資料？ ........................... 431

24.2. 個人資料蒐集類問題 ................................................................................................................................ 432

24.2.1. 名片是否適用個人資料保護法規範？ ................................................................................................ 432

24.2.2. 儲存在個人手機中之電話號碼是否適用個人資料保護法規範？ ........................................................ 432

24.2.3. 員工報到時，機關可以蒐集戶口名簿或戶籍謄本嗎？ ....................................................................... 432

24.2.4. 去汽車旅館或飯店住宿，可以拿個資法當擋箭牌，拒絕提供提供身分證進行識別嗎？ .................... 432

24.3. 個人資料處理類問題 ................................................................................................................................ 433

24.3.1. 向網路平台購務，為什麼運送貨物的公司不需對收貨人進行告知之行為？ ...................................... 433

24.4. 個人資料利用類問題 ................................................................................................................................ 433

24.4.1. 機關內部可製作員工通訊小卡，發送給機關員工嗎？ ....................................................................... 433

24.4.2. 公務機關可提供地方低收入戶名單給慈善團體或提供老人名單供發放敬老金嗎？ ........................... 434

24.4.3. 學校是否可以公佈榮譽榜？ ............................................................................................................... 434

24.4.4. 在個人資料保護法修正案實施前已蒐集之個人資料，現在還可能繼續使用嗎？ ............................... 434

24.4.5. 在醫院中，如果病人不願意公開資料，但某醫療人員由醫院資訊系統查到病人之資料，且為表示關心送禮至病房，是否有違個資法？ ........................................................................................................................ 434

24.5. 個人資料盤點問題 ................................................................................................................................... 435

24.5.1. 客戶傳真到公司的訂單紙本在記錄後就可以丟掉，無需列入個人資料檔案清冊？ ........................... 435

24.6. 其他個人資料問題 ................................................................................................................................... 435

24.6.1. 在Google上放與他人合照是否適用個人資料保護法規範？ ............................................................. 435

24.6.2. 公共區域室、內外監視器之錄影是否適用個人資料保護法規範？ ..................................................... 435

24.6.3. 人肉搜索會違反個人資料保護法嗎？ ................................................................................................ 436

24.6.4. 包含個人資料之傳真紙本該如何管理？ ............................................................................................. 436

24.6.5. 紙本個人資料要如何管理？ ............................................................................................................... 436

24.6.6. 紙本保存與刪除原則如何制定？ ....................................................................................................... 438

24.6.7. 企業提供租屋補助給員工，但員工需提供房東姓名與通訊方式供企業查驗，請問是否有違個資法之規範？ ...................................................................................................................................................................... 438

24.6.8. 房屋仲介來電詢問是否要出賣土地，其手上有本人地址、姓名、持有土地地號，這種情況是否有違個資法？ ............................................................................................................................................................... 440

24.6.9. 在醫療院所領藥、領取相關醫療資料或進行其他醫療行為時時，醫護人員或藥師向病患核對身份時，唸出病患個人資料是否合法？ ............................................................................................................................ 441

24.6.10. 透過地區性的工會所公布的商家地址資料，然後郵寄公司之產品DM過去。這樣子有違反個資法嗎？ ...................................................................................................................................................................... 441

24.6.11. 進出公寓、大廈或機關廠區時被要求填寫個人資料或抵押證件，是否有違個人資料保護法？ ....... 441

24.6.12. 公司因員工之獎懲作業而公佈受獎懲之員工姓名，是否由違反個人資料保護法之規定？ .............. 442

Best Regards

Leo Hong

My E-Mail: hcf6286@gmail.com

My Blog: http://leohong.pixnet.net/blog

SCJP / SCWCD / PMP / Logistics Integration Engineer / ITIL Foundation / TÜV 個人資料保護顧問 / ISO 27001 LA / BS 10012 LA