跳至主要內容
:::

法條

法規名稱: 網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法 EN
除法律另有規定外,網際網路零售業應就下列事項訂定具體程序或機制,並提出有效方式維持其運作:
一、檢視個人資料之蒐集、處理,符合本法第十九條第一項所定之法定情形及特定目的,或有其他合法事由。
二、檢視個人資料之利用,符合蒐集時之特定目的,或符合本法所定得為特定目的外利用之情形,或有其他合法事由;依當事人書面同意而為特定目的外利用者,應確認已符合本法第七條第二項有關書面同意之規定。
三、檢視已依便利當事人之適當方式,踐行本法第八條及第九條所定之告知義務;如有免為告知之情形,應確認其合法依據。
四、檢視已於首次行銷時提供當事人表示拒絕行銷之管道,並由網際網路零售業支付所需費用。
五、檢視當事人已拒絕接受行銷時,即停止利用其個人資料為行銷,並周知所屬人員或採行防範所屬人員再次行銷之措施。
六、檢視個人資料之蒐集、處理、利用與本法第五條之規定相符。
七、對個人資料進行國際傳輸前,應針對該次傳輸進行可能之影響及風險分析,並採取適當安全保護措施。
八、於特定目的消失、期限屆滿、有本法第十九條第二項所定情形,或有違反本法規定而為個人資料之蒐集、處理或利用時,應依法刪除或停止蒐集、處理、利用個人資料。
九、如於特定目的消失或期限屆滿,而未刪除、停止處理或利用個人資料時,須因執行業務所必須或經當事人書面同意。
十、檢視個人資料是否正確,有不正確或正確性有爭議者,應分別情形依本法第十一條第一項、第二項及第五項之規定辦理。
十一、關於本法第三條所列當事人權利之行使事宜:
(一)提供行使權利之方式應考量個人資料安全管理之必要性及當事人之便利性。
(二)應依適當之方式確認,或請求當事人或代為行使權利之人說明,其確為當事人本人或有權代為行使權利之人。
(三)於提供查詢或製給複製本時,得收取成本費用,但應先明確告知。
(四)應遵守本法第十三條有關處理期限之規定。
(五)於得合法拒絕權利行使或得延長處理期限之情形,應將拒絕之理由或延長之原因,以書面通知當事人。
十二、委託他人蒐集、處理或利用個人資料之全部或一部時,應有選任受託人之標準及評估機制,且應於委託契約或相關文件明確約定適當之監督方式,並確實執行。
十三、受他人委託處理個人資料之全部或一部時,如認委託機關之指示有違反本法或其他個人資料保護相關法令者,應立即通知委託機關。
網際網路零售業將當事人個人資料作國際傳輸者,應檢視是否受本部限制,並且告知其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
二、當事人行使本法第三條所定權利之相關事項。
個人資料保護法 (民國 104 年 12 月 30 日 ) EN
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。
第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。
公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實,應負舉證責任。
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者,得免為前項之告知:
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。
公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。