Slide 1
Slide 1 text
網路星期二
個人資料保護實務與個資外洩風險
達文西個資暨高科技法律事務所
孔德澔 律師
2023年10月16日
網路星期二
個人資料保護實務與個資外洩風險
Slide 2
Slide 2 text
講
者
介
紹
講
者
介
紹
1
學歷
u
國立政治大學 法律學研究所公法組碩士
u
國立政治大學 法律學系學士
專業領域
u
智慧財產權法
u
個人資料保護法
u
行政訴訟
u
憲法
現任
u
達文西個資暨高科技法律事務所 律師
曾任
u
憲政時代雜誌執行編輯
證照
u
中華民國律師
Slide 3
Slide 3 text
2
Slide 4
Slide 4 text
3
Slide 5
Slide 5 text
4
個資法基本概念
Slide 6
Slide 6 text
何為個資?
5
• 個資法第2條第1款
個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、
護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、
基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社
會活動及其他得以直接或間接方式識別該個人之資料。
Slide 7
Slide 7 text
社群媒體帳號?
6
Slide 8
Slide 8 text
什麼是特種個人資料?
7
• 個資法第6條第1項
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資
料,不得蒐集、處理或利用。
Slide 9
Slide 9 text
特種個人資料的重要性
8
Slide 10
Slide 10 text
個人資料的蒐集、處理及利用
9
• 個資法第2條第3、4、5項
蒐集:機關以任何方式取得(從無到有)
處理:記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸
出、連結、內部傳送
利用:處理以外的使用
ᅳᅳ外部利用:提供、分享、公開
ᅳᅳ對當事人利用:聯繫、分析
Slide 11
Slide 11 text
個人資料的蒐集、處理
10
• 個資法第19條第1項
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資
料外,應有特定目的,並符合下列情形之一者:
Slide 12
Slide 12 text
個人資料的蒐集、處理
11
法律明文規定
與當事人有契約或類似契約之關係,
且已採取適當之安全措施
當事人自行公開或其他已合法公開
之個人資料
學術研究機構基於公共利益為統計
或學術研究而有必要,且資料經過
提供者處理後或經蒐集者依其揭露
方式無從識別特定之當事人
經當事人同意
為增進公共利益所必要
個人資料取自於一般可得之來源。但當事人
對該資料之禁止處理或利用,顯有更值得保
護之重大利益者,不在此限
對當事人權益無侵害
Slide 13
Slide 13 text
個人資料的利用
12
• 個資法第20條第1項
非公務機關對個人資料之利用,除第六條第一項所規定資料外,
應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得
為特定目的外之利用:
Slide 14
Slide 14 text
個人資料目的外利用
13
法律明文規定 公務機關或學術研究機構基於公共利益為統
計或學術研究而有必要,且資料經過提供者
處理後或經蒐集者依其揭露方式無從識別特
定之當事人
為增進公共利益所必要
經當事人同意
有利於當事人權益
為免除當事人之生命、身體、自由
或財產上之危險
為防止他人權益之重大危害
Slide 15
Slide 15 text
蒐集處理合法≠利用合法
14
Slide 16
Slide 16 text
個人資料的法定告知義務
15
• 個資法第8條第1項
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人
資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
Slide 17
Slide 17 text
個人資料的法定告知義務
16
Slide 18
Slide 18 text
17
違反個資法的責任
Slide 19
Slide 19 text
違反個資法的最高罰鍰?
18
• GDPR
兩千萬歐元或前一會計年度全球4%營業額
• 中國個人信息保護法
5000萬元人民幣或前一會計年度5%營業額
• 舊個資法
100萬元新台幣
Slide 20
Slide 20 text
違反個資法的罰則
19
• 舊個資法第48條第2項
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄
市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬
元以上二十萬元以下罰鍰。
Slide 21
Slide 21 text
違反個資法的罰則
20
• 新個資法第48條第2項
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔
案安全維護計畫或業務終止後個人資料處理方法者,由中央目的
事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百
萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣
十五萬元以上一千五百萬元以下罰鍰。
Slide 22
Slide 22 text
違反個資法的罰則
21
• 新個資法第48條第3項
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔
案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,
由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五
萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正
者,按次處罰。
Slide 23
Slide 23 text
個資法主管機關
22
Slide 24
Slide 24 text
23
個資盤點與風險評估
Slide 25
Slide 25 text
個資盤點概述
24
識別 彙整 確認
更新 建立 檢視
包含個資的
表單紀錄
個資檔案 個資種類
保有依據
特定目的
個資生命週期
個資清冊
定期盤點更新
Slide 26
Slide 26 text
個資盤點
25
Slide 27
Slide 27 text
個資盤點
26
Slide 28
Slide 28 text
個資風險評鑑
27
Slide 29
Slide 29 text
28
個資稽核
Slide 30
Slide 30 text
個資稽核的功能
29
• 確認說、寫、做的一致性,改善落差
蒐集、處理或利
用的合法性
安全維護事項
執行性
當事人權利
滿足性
個資事故應變
有效性
Slide 31
Slide 31 text
如何準備個資稽核–六大步驟
30
1、確認機關內部個資保護相關規範
• 個資保護管理要點
• 其他資訊安全政策及規範等
2、識別機關內部個資保護相關規範與
個資法/施行細則之落差
可參考「內政部指定合作及人民團體類
非公務機關個人資料檔案安全維護管理
辦法」
Slide 32
Slide 32 text
如何準備個資稽核–六大步驟
31
Slide 33
Slide 33 text
如何準備個資稽核–六大步驟
32
3、確認受稽單位的核心業務或新業務
• 事先訪談
• 蒐集資料
4、選定稽核範圍/業務與稽核項目
• 專人之個資安全維護事項執行狀態
• 蒐集、處理或利用個資的合法性
• 告知義務的履行性
• 當事人同意的有效性
• 資料保存期限的適當性
• 當事人權利行使的滿足性等
5、預先設想佐證資料
• 安全維護事項執行紀錄、會議記錄等
• 蒐集個資的法律依據說明
• 個資盤點表
• 蒐集資料的告知義務履行方式
• 當事人同意紀錄
• 個資保存期限的法律依據吉刪除現況
• 當事人權利行使紀錄
6、事先提供稽核項目予受稽單位
以利受稽單位預先準備佐證資料
Slide 34
Slide 34 text
如何執行個資稽核–三順序
33
1、人員訪談
• 針對稽核範圍及業務訪談
• 對照稽核底稿中的稽核項目
• 稽核員態度懇切、表達善意
• 受稽人員忠實說明、可尋求
協助
2、規範確認
• 受稽人員針對說明提出對應
規範
• 稽核員確認規範與說明的一
致性
• 稽核員依據自身經驗及專業
知識評估規範的有效性
3、佐證資料提出
• 受稽人員針對說明提出實作
佐證
• 包含文件、契約、表單、紀
錄、系統操作、網站操作等
• 稽核員評估佐證資料是否足
夠支撐受稽人員說明及規範
Slide 35
Slide 35 text
謝謝聆聽
THANKS FOR YOUR ATTENTION
孔德澔律師
達文西個資暨高科技法律事務所
10045 臺北市中正區衡陽路51號6樓之9
TEL:02-2367-0902
34