第 一 章 總則

第 1 條
為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人 資料之合理利用，特制定本法。

第 2 條
本法用詞，定義如下：
一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。
三、蒐集：指以任何方式取得個人資料。
四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用：指將蒐集之個人資料為處理以外之使用。
六、國際傳輸：指將個人資料作跨國（境）之處理或利用。
七、公務機關：指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關：指前款以外之自然人、法人或其他團體。
九、當事人：指個人資料之本人。

第 3 條
當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約 限制之：
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。

第 4 條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用 範圍內，視同委託機關。

第 5 條
個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法 為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之 關聯。

第 6 條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得 蒐集、處理或利用。但有下列情形之一者，不在此限：
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事 前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計 或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露 方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內 ，且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制 不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者 ，不在此限。
依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中 前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以 書面為之。

第 7 條
第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告 知本法所定應告知事項後，所為允許之意思表示。 第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明 確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後， 單獨所為之意思表示。 公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時， 當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條 第二款、第十九條第一項第五款之規定表示同意。 蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

第 8 條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時，應明確告知當事人下列事項：
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
有下列情形之一者，得免為前項之告知：
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

第 9 條
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之 個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項 第一款至第五款所列事項。
有下列情形之一者，得免為前項之告知：
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供 者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知，得於首次對當事人為利用時併同為之。

第 10 條
公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查 詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限：
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。

第 11 條
公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請 求更正或補充之。
個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不 在此限。
個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求， 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者，不在此限。
違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求， 刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料， 應於更正或補充後，通知曾提供利用之對象。

第 12 條
公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或 其他侵害者，應查明後以適當方式通知當事人。

第 13 條
公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內， 為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其 原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日內 ，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將 其原因以書面通知請求人。

第 14 條
查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收 必要成本費用。br/>

第 二 章 公務機關對個人資料之蒐集、處理及利用

第 15 條
公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有 特定目的，並符合下列情形之一者：
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。

第 16 條
公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法 定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者 ，得為特定目的外之利用：
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。
六、有利於當事人權益。
七、經當事人同意。

第 17 條
公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱； 其有變更者，亦同：
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。

第 18 條
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人 資料被竊取、竄改、毀損、滅失或洩漏。

第 三 章 非公務機關對個人資料之蒐集、處理及利用

第 19 條
非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應 有特定目的，並符合下列情形之一者：
一、法律明文規定。
二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用，顯有更值得保護之重大利益者，不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人 資料。

第 20 條
非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集 之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利 用：
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要， 且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時 ，應即停止利用其個人資料行銷。
非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支 付所需費用。

第 21 條
非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主 管機關得限制之：
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞 。
四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

第 22 條
中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護 、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必 要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查， 並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒 入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製 之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提 出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方 法強制為之。 中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同 資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得 規避、妨礙或拒絕。
參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

第 23 條
對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處置 ；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。 扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者， 應發還之。但應沒入或為調查他案應留存者，不在此限。

第 24 條
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求 、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、 縣（市）政府聲明異議。
前項聲明異議，中央目的事業主管機關或直轄市、縣（市）政府認為有理 由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明 異議之人請求時，應將聲明異議之理由製作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，僅 得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得 對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴 訟。

第 25 條
非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、 縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分：
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形，及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防制 違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方 法為之。

第 26 條
中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查後 ，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查 結果。

第 27 條
非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料 被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關 定之。

第 四 章 損害賠償及團體訴訟

第 28 條
公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害 當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所 致者，不在此限。 被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者， 並得請求為回復名譽之適當處分。 依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依 侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害 賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者，以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者，不在此限。

第 29 條
非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此 限。 依前項規定請求賠償者，適用前條第二項至第六項規定。

第 30 條
損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行 使而消滅；自損害發生時起，逾五年者，亦同。

第 31 條
損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機 關適用民法之規定。

第 32 條
依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件： 一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達 一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。

第 33 條
依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地方 法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住所地 之地方法院管轄。 前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以其 在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華民國 最後之住所，視為其住所；無最後住所者，專屬中央政府所在地之地方法 院管轄。 第一項非公務機關為自然人以外之法人或其他團體，而其在中華民國現無 主事務所、主營業所或主事務所、主營業所不明者，專屬中央政府所在地 之地方法院管轄。

第 34 條
對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社 團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自 己之名義，提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴 訟實施權之授與，並通知法院。 前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損害 之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授與訴 訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前，擴張 應受判決事項之聲明。 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者， 亦得於法院公告曉示之一定期間內起訴，由法院併案審理。 其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。 前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認為 必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用由國 庫墊付。 依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新臺 幣六十萬元者，超過部分暫免徵裁判費。

第 35 條
當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當然 停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受訴訟 。 財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實施 權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟。

第 36 條
各當事人於第三十四條第一項及第二項之損害賠償請求權，其時效應分別 計算。

第 37 條
財團法人或公益社團法人就當事人授與訴訟實施權之事件，有為一切訴訟 行為之權。但當事人得限制其為捨棄、撤回或和解。 前項當事人中一人所為之限制，其效力不及於其他當事人。 第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於法 院。

第 38 條
當事人對於第三十四條訴訟之判決不服者，得於財團法人或公益社團法人 上訴期間屆滿前，撤回訴訟實施權之授與，依法提起上訴。 財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事人 ，並應於七日內將是否提起上訴之意旨以書面通知當事人。

第 39 條
財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴訟 必要費用後，分別交付授與訴訟實施權之當事人。 提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報酬 。

第 40 條
依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟。

第 五 章 罰則

第 41 條
意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項 、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事 業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者 ，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

第 42 條
意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案 為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生 損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以 下罰金。

第 43 條
中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適用 之。

第 44 條
公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分 之一。

第 45 條
本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十 二條之罪者，不在此限。

第 46 條
犯本章之罪，其他法律有較重處罰規定者，從其規定。

第 47 條
非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（ 市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未 改正者，按次處罰之：
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或 處分。

第 48 條
非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（ 市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以 下罰鍰： 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。

第 49 條
非公務機關無正當理由違反第二十二條第四項規定者，由中央目的事業主 管機關或直轄市、縣（市）政府處新臺幣二萬元以上二十萬元以下罰鍰。

第 50 條
非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三 條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰 之處罰。

第 六 章 附則

第 51 條
有下列情形之一者，不適用本法規定： 一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料 。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結 合之影音資料。
公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集 、處理或利用者，亦適用本法。

第 52 條
第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣（市 ）政府執行之權限，得委任所屬機關、委託其他機關或公益團體辦理；其 成員因執行委任或委託事務所知悉之資訊，負保密義務。 前項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施 權，以自己之名義提起損害賠償訴訟。

第 53 條
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別，提供 公務機關及非公務機關參考使用。

第 54 條
本法中華民國九十九年五月二十六日修正公布之條文施行前，非由當事人 提供之個人資料，於本法一百零四年十二月十五日修正之條文施行後為處 理或利用者，應於處理或利用前，依第九條規定向當事人告知。 前項之告知，得於本法中華民國一百零四年十二月十五日修正之條文施行 後首次利用時併同為之。 未依前二項規定告知而利用者，以違反第九條規定論處。

第 55 條
本法施行細則，由法務部定之。

第 56 條
本法施行日期，由行政院定之。 現行條文第十九條至第二十二條及第四十三條之刪除，自公布日施行。 前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指 定之日起六個月內辦理登記或許可之期間內者，該指定之事業、團體或個 人得申請終止辦理，目的事業主管機關於終止辦理時，應退還已繳規費。 已辦理完成者，亦得申請退費。 前項退費，應自繳費義務人繳納之日起，至目的事業主管機關終止辦理之 日止，按退費額，依繳費之日郵政儲金之一年期定期存款利率，按日加計 利息，一併退還。已辦理完成者，其退費，應自繳費義務人繳納之日起， 至目的事業主管機關核准申請之日止，亦同。

第 1 條

本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。

第 2 條

本法所稱個人，指現生存之自然人。

第 3 條

本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務 機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能 識別該特定之個人。

第 4 條

本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列 之各款資料。
本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫師或其他之醫 事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學 上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、 用藥、施術或處置所產生之個人資料。
本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成 ，為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料 。
本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷 或治療之目的，而以醫療行為施以檢查所產生之資料。
本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或 法院判決有罪確定、執行之紀錄。

第 5 條

本法第二條第二款所定個人資料檔案，包括備份檔案。

第 6 條

本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消 失。
本法第二條第四款所稱內部傳送，指公務機關或非公務機關本身內部之資 料傳送。

第 7 條

受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應 適用之規定為之。

第 8 條

委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監 督。
前項監督至少應包含下列事項：
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託者就第十二條第二項採取之措施。
三、有複委託者，其約定之受託者。
四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時 ，應向委託機關通知之事項及採行之補救措施。
五、委託機關如對受託者有保留指示者，其保留指示之事項。
六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契 約以儲存方式而持有之個人資料之刪除。
第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記 錄之。
受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託 者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者 ，應立即通知委託機關。

第 9 條

本法第六條第一項但書第一款、第八條第二項第一款、第十六條但書第一 款、第十九條第一項第一款、第二十條第一項但書第一款所稱法律，指法 律或法律具體明確授權之法規命令。

第 10 條

本法第六條第一項但書第二款及第五款、第八條第二項第二款及第三款、 第十條但書第二款、第十五條第一款、第十六條所稱法定職務，指於下列 法規中所定公務機關之職務：
一、法律、法律授權之命令。
二、自治條例。
三、法律或自治條例授權之自治規則。
四、法律或中央法規授權之委辦規則。

第 11 條

本法第六條第一項但書第二款及第五款、第八條第二項第二款所稱法定義 務，指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第 12 條

本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條 所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當 之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀 損、滅失或洩漏，採取技術上及組織上之措施。
前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具 有適當比例為原則：
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。

第 13 條

本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第 三款所稱當事人自行公開之個人資料，指當事人自行對不特定人或特定多 數人揭露其個人資料。
本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第 三款所稱已合法公開之個人資料，指依法律或法律具體明確授權之法規命 令所公示、公告或以其他合法方式公開之個人資料。

第 14 條

本法第六條第一項但書第六款、第十一條第二項及第三項但書所定當事人 書面同意之方式，依電子簽章法之規定，得以電子文件為之。

第 15 條

本法第七條第二項所定單獨所為之意思表示，如係與其他意思表示於同一 書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

第 16 條

依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、 電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得 知悉之方式為之。

第 17 條

本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五 款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特 定當事人，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨 識該特定個人者。

第 18 條

本法第十條但書第三款所稱妨害第三人之重大利益，指有害於第三人個人 之生命、身體、自由、財產或其他重大利益。

第 19 條

當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補 充其個人資料時，應為適當之釋明。

第 20 條

本法第十一條第三項所稱特定目的消失，指下列各款情形之一：
一、公務機關經裁撤或改組而無承受業務機關。
二、非公務機關歇業、解散而無承受機關，或所營事業營業項目變更而與 原蒐集目的不符。
三、特定目的已達成而無繼續處理或利用之必要。
四、其他事由足認該特定目的已無法達成或不存在。

第 21 條

有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或 業務所必須：
一、有法令規定或契約約定之保存期限。
二、有理由足認刪除將侵害當事人值得保護之利益。
三、其他不能刪除之正當事由。

第 22 條

本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電 子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之 。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路 、新聞媒體或其他適當公開方式為之。
依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及 已採取之因應措施。

第 23 條

公務機關依本法第十七條規定為公開，應於建立個人資料檔案後一個月內 為之；變更時，亦同。公開方式應予以特定，並避免任意變更。 本法第十七條所稱其他適當方式，指利用政府公報、新聞紙、雜誌、電子 報或其他可供公眾查閱之方式為公開。

第 24 條

公務機關保有個人資料檔案者，應訂定個人資料安全維護規定。

第 25 條

本法第十八條所稱專人，指具有管理及維護個人資料檔案之能力，且足以 擔任機關之個人資料檔案安全維護經常性工作之人員。 公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相 關專業之教育訓練。

第 26 條

本法第十九條第一項第二款所定契約或類似契約之關係，不以本法修正施 行後成立者為限。

第 27 條

本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當 事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付 或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者： 一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交 易之目的，所進行之接觸或磋商行為。
二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與 當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之 連繫行為。

第 28 條

本法第十九條第一項第七款所稱一般可得之來源，指透過大眾傳播、網際 網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資 料之管道。

第 29 條

依本法第二十二條規定實施檢查時，應注意保守秘密及被檢查者之名譽。

第 30 條

依本法第二十二條第二項規定，扣留或複製得沒入或可為證據之個人資料 或其檔案時，應掣給收據，載明其名稱、數量、所有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後，應作成紀錄。
前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副本交付被檢查 者；其拒絕簽名者，應記明其事由。
紀錄於事後作成者，應送達被檢查者，並告知得於一定期限內陳述意見。

第 31 條

本法第五十二條第一項所稱之公益團體，指依民法或其他法律設立並具備 個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第 32 條

本法修正施行前已蒐集或處理由當事人提供之個人資料，於修正施行後， 得繼續為處理及特定目的內之利用；其為特定目的外之利用者，應依本法 修正施行後之規定為之。

第 33 條

本細則施行日期，由法務部定之。

前言:
身處資訊化社會與全球化時代，人與電腦、網路之關係益趨緊密。電子交易日趨普及，在經濟活動中，佔有相當重要的地位。利用電腦或電信技術在網路空間從事犯罪行為，更有日漸增加之趨勢。網際網路的誕生，的確為人類生活帶來許多的便捷。然而，它所衍生出的一些資訊安全或網路犯罪問題，確也已對國家社會安全，帶來更大的威脅。

一、何謂資通安全？
顧名思義就是資訊及通訊的安全。投資人以網路交易投資證券、期貨、申購股票及金融商品、管理帳務及個人投資資料，以網路方式執行之方便性是否同時兼顧資訊及通訊的安全性？

二、網路交易有那些風險？
(電子式交易風險)

1. 網路傳輸或電話語音等電子式交易在傳送資料上有著先天上的不可靠與不安全。
2. 透過網路傳送資料隱含著中斷、延遲等危險。

(資料保管風險)

1. 被他人冒名傳送訊息。
2. 被他人從遠端監看訊息內容。
3. 被他人竊取、串改、毀損資料內容。
4. 收方否認收到訊息內容、送方否認送出訊息內容。
5. 委託人個人密碼、電子憑證，如有遺失或遭竊，委託人自負其責。

三、何謂電子憑證？
憑證是由經合法憑證授權單位發出，以向他人確認您的身分。憑證含有資訊，可用來保護資料或在對其他電腦連線時建立安全保護。針對網路交易安全需求，提供完善的安控機制，使網路交易服務達到資料之隱密性、身份確認及不可否認性等安全需求。

四、使用電子憑證有哪些安全保證？

1. 保障投資人的每筆電子交易安全。
2. 委託單訊息內容不會被篡改 。
3. 不法者無法冒名進行下單。
4. 委託單訊息內容不會洩漏。
5. 交易有糾紛時能有相關證據資料做為仲裁之依據。

五、何時需使用憑證？
欲與證券商及期貨商產生交易聯繫時（如下單、刪單、申購、提領期貨交易保證金等），均需使用憑證。

六、網路交易應透過有設置網路安全控制機制之證券商及期貨商。

七、網路交易安全須知：

1. 密碼設定原則：
   密碼設定時請勿使用生日、電話、身份證字號或具規則性排列等容易被有心人士猜到的數字。
   
2. 密碼管理原則：
   • 應親自申請且妥善保管電子憑證（電子憑證儲存媒體種類有：磁片、硬碟、IC卡等），不將該憑證交與他人保管。
   • 不要將個人的任何密碼告知他人。
   • 針對重要的金融帳戶設定不同的專屬密碼，切勿使用與其他網路平台 (如網路購物網站) 之相同密碼。
   • 請勿將密碼書寫於明顯且易讓他人取得之處。
   • 經常不定時變更密碼並提升個人密碼強度，6-10位字英文與數字組成（英文字母大小寫視為不同字元）。
   • 一般網站的密碼（可能是明碼）與網路交易的密碼應有所區分，以免被人猜中或盜用。
3. 瀏覽器使用原則：
   • 使用電子憑證，不要怕麻煩。
   • 自己與他人共用電腦，都不要讓瀏覽器記下個人密碼。
   • 離開座位或交易完畢要養成立刻登出網路之習慣。
   • 最好不要在網路咖啡之類的公共場合使用有交易功能的網站。
4. 交易糾紛之處理：
   
   • 使用電子憑證投資人當交易有糾紛時相關證據資料均可為仲裁之依據。
   • 交易糾紛可向下列各單位申訴或檢舉：
     行政院金融監督管理委員會證券期貨局 (02)8773-5100
     證券投資人及期貨交易人保護中心 (02)2712-8020
     臺灣證券交易所 (02)2348-5678
     財團法人中華民國證券櫃檯買賣中心 (02)2366-6100
     臺灣期貨交易所股份有限公司 (02)2369-5678
     其他各證券相關單位

1. 本公司證券交易網頁為 https://webap.sk88.com.tw ，此交易網頁 (https://webap.sk88.com.tw) 均有TWCA SSL伺服器數位憑證之安全加等級 (附一) 。
2. 當使用者輸入帳號 (或身分證字號) 及密碼登入時，在帳號 (或身分證字號) 及密碼欄位部份，都會進行加密驗證處理，絶對不會洩露客戶所輸入之帳號密碼 (附二) 。
3. 凡所有與下單交易、帳戶管理或憑證管理等作業，均以安全加密方式處理，亦無洩露之虞，符合電腦網路交易安全機制。

附一：本公司證券交易網頁

附二：本公司證券交易網頁通過Symantec 諾頓網頁安全驗證。

附三：所有與下單交易、帳戶管理或憑證管理等作業，均經加密處理。

網際網路瀏覽器在瀏覽網站時都是依靠 TLS 傳輸層安全協定 （TLS 是傳輸層安全協定 Transport Layer Security 的縮寫）所提供的資料加密和完整性保護瀏覽時的安全性。

然而 TLS 1.0、1.1 已被證實具有安全性的風險，為確保您網際網路瀏覽器連線機制的安全性，包含 Google Chrome、Microsoft IE/Edge、Mozilla Firefox、Apple Safari 等大廠瀏覽器，將停止支援 TLS 1.0、1.1 傳輸層安全協定。

為提升網站的安全性防護，本公司自109年12月31日起將陸續停用 TLS 1.1 (含)以下之傳輸加密協定，改用較為安全的 TLS 1.2 (含)以上的傳輸層安全協定，造成您的不便，敬請見諒！

本公司所有網站停用 TLS 1.0、1.1 後，若您的瀏覽器不支援 TLS 1.2，就會看到「無法顯示此網頁」的錯誤畫面或無法開啟網頁，建議您升級您的瀏覽器至最新版本。

目前最新版的主流瀏覽器皆支援 TLS 1.2 (含)以上協定，請用戶升級到最新版本之瀏覽器，以避免無法正常開啟或瀏覽網頁。

相關報導：https://www.ithome.com.tw/news/126434

網路釣魚為網路詐騙手法，歹徒會利用偽造的電子郵件、網站或通訊軟體，騙取使用者的個人私密資料(例如:身分證號碼、帳號、密碼等)，並進行犯罪行為。

防範網路釣魚，避免受害請注意：

請確認您在安全的網路環境及認識的網站下使用交易功能，不要利用公用電腦進行金融交易服務。
請勿使用與其他網站相同的帳號和密碼，並定期更改密碼。
接到詢問帳戶相關資訊的電話或郵件時，請提高警覺，勿將個人的身分資料與帳號、密碼告知他人。
養成良好的收信軟體使用習慣，不要開啟陌生的電子郵件，關閉預覽視窗，避免開啟或下載來路不明的程式或檔案。
將您的瀏覽器更新至最新版本，並將防毒軟體或安全修正程式更新至最新版本。
不要直接使用疑似詐騙通知信所提供之官方網站超連結，請於瀏覽器的網址列以自行輸入正確官方網址的方式連結之。

檢舉可疑信件與非法網站：

發現冒用新光證券名義的信件、網站、資料異常時，請立即向本公司檢舉，將於官方網站揭露，以避免其它投資人或網友受害。
請立即撥打新光證券客服中心0800-85-99-88或來信聯絡我們。

*提醒您，為維護資訊安全，建議於行動裝置安裝防毒或防護應用程式，以免遭受病毒或惡意軟體攻擊。

一、本聲明適用之範圍

二、個人資料之蒐集、處理、利用及保護

三、Cookies 技術之使用

四、APP對外的相關連結

五、自我保護措施

六、網路安全保護措施

七、本聲明之生效與修訂

八、蒐集、儲存安全敏感性資料

九、與我們聯絡

資料共享隱私權政策