個資法第19條第1項

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、法律明文規定。

二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人同意。

六、為增進公共利益所必要。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。

八、對當事人權益無侵害。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

個人資料保護法 （民國 104 年 12 月 30 日 ） EN

第 6 條

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。

六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。

依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應
有特定目的，並符合下列情形之一者：
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過
    提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利
    用，顯有更值得保護之重大利益者，不在此限。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之
處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人
資料。

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵
害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此
限。
依前項規定請求賠償者，適用前條第二項至第六項規定。

違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規
定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，
足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬
元以下罰金。
意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以
下罰金。

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應
有特定目的，並符合下列情形之一者：
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過
    提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利
    用，顯有更值得保護之重大利益者，不在此限。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之
處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人
資料。

非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集
之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利
用：
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，
    且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事
    人。
六、經當事人書面同意。
非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時
，應即停止利用其個人資料行銷。
非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支
付所需費用。

中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護
、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必
要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，
並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒
入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製
之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提
出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方
法強制為之。
中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同
資訊、電信或法律等專業人員共同為之。
對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得
規避、妨礙或拒絕。
參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規
定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，
足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬
元以下罰金。
意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以
下罰金。

:::

• 首頁
• 個資法問與答

個資法問與答

(一)按個人資料保護法（下稱個資法）第19條第1項規定：「非公務機關對個人資料之蒐集或處理，除第6條第1項所規定資料外，應有特定目的，並符合下列情形之一者：……
二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。……
五、經當事人同意。……」非公務機關為與客戶成立契約而蒐集客戶個資（例如：請求客戶填寫基本資料表），如上開個人資料係於履行契約事務之必要範圍內所蒐集者，則該蒐集行為與個資法第19條第1項第2款「與當事人有契約或類似契約之關係」規定相符，而無須再另行取得當事人同意（個資法第19條第1項第5款規定）。然如所蒐集者包括其他與契約履行無關之個人資料或並非為履行契約所必需者，則應依個資法第7條第1項規定，應於契約之外另行取得當事人同意，始為合法。又非公務機關與個人資料當事人間具有個資法第19條第1項第2款之關係存在時，應優先適用此款，不能再以同條項第5款作為蒐集事由，以避免個人資料當事人立於不對等地位而無法真正作成自主決定（例如：以同意做為契約成立前提）；甚至在已有其他合法事由下，仍尋求當事人同意，更有可能顯失公平。況若僅欲運用個資法第7條第3項規定推定「個資法第19條第1項第5款當事人同意」，以規避個資法第20條第1項第6款特定目的外利用之規定，自非妥適。
(二)次按個資法第20條第1項規定：「非公務機關對個人資料之利 用，除第6條第1項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：……。」所稱「蒐集之特定目的必要範圍內」，如係依據個資法第19條第1項第2款規定，並基於「行銷」（代號：040）、「契約、類似契約或其他法律關係事務」（代號：069）或「其他經營合於營業登記項目或組織章程所定業務」（代號：181） 之特定目的而蒐集個人資料，則其利用需與原蒐集之要件「與當事人契約或類似契約之關係」有正當合理之關聯，始能屬特定目的內利用。換言之，非公務機關使用基於契約或類似契約關係下取得之個人資料，對該個人當事人進行行銷，應合乎社會通念下當事人對隱私權之合理期待，故「行銷行為內容」與「契約或類似契約」二者間，應有正當合理之關聯，始符合個資法第20條第1項本文規定特定目的內利用之範疇，而無需再得「當事人同意」（同條項但書第6款）。如行銷與當事人契約或類似契約內容無涉之商品或服務資訊，則除符合個資法第20條第1項但書第1款至第5款或第7款事由外（例如：為增進公共利益或免除當事人生命、身體、自由、財產上之危險等事由），應依同條項但書第6款規定經當事人同意（同意方式請依個資法第7條第2項規定），始得為之，以符合司法院釋字第603號解釋所揭櫫「個人自主控制個人資料之資訊隱私權」意旨。是以，如蒐集客戶個資之目的包含「行銷（含行銷本公司業務及與本公司合作或業務往來之關係企業及合作廠商之商品或服務）」，其中「行銷與本公司合作或業務往來之關係企業及合作廠商之商品或服務」部分，涉及將客戶個資提供予當事人以外第三人為特定目的外之利用，應符合個資法第 20 條但書規定情形之一，始得為之。
(三) 1.按個資法第7條第3項規定：「公務機關或非公務機關『明確告 知』當事人第8條第1項各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第15條第2款、第19條第 1項第5款之規定表示同意。」上開規定所稱之「明確告知」應與個資法第8條規定「明確告知」之意義相同，又上開規定所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之（個資法施行細則第 16 條參照），亦即任何足以使當事人知悉或可得知悉之方式，均屬之。此一告知並未要求當事人須簽署相關文件，亦未限制不得與其他文件（例如契約）併同為之。惟為達到「明確告知」之目的，蒐集者仍應以個別通知之方式使當事人知悉，不得以單純擺設（張貼）公告或上網公告之概括方式為之，而須足以使當事人知悉或可得知悉該公告內容之方式（例如：須直接向當事人提示公告內容所在位置，並請其閱讀瞭解）始屬之。是以，非公務機關如僅於門市公告或網站公告個資法第8條第1項所定應告知事項，但以現場告知或簡訊告知等各種方式向客戶提示公告內容所在位置，並請其閱讀瞭解，若可達到個別通知使當事人知悉之效果，則可認為符合「明確告知」之意旨。 2.按個資法第8條第1項之立法意旨在使當事人能充分瞭解其個人資料被他人蒐集之情形，又於告知有關「個人資料利用之對象」（該條項第4款規定）時，以告知時之已知資訊進行適度描述已足，尚無須詳列未知之資訊，亦即，蒐集者應就其利用個人資料之範圍及可能將資料移轉對象之類別，提供合理程度之確定性。如告知客戶利用個資之對象包含「關係企業及合作廠商」，對於利用對象之描述恐過於廣泛，無法合理地界定出個人資料利用對象之類別，尚難認符合本條項立法意旨。
（摘自「法務部106年10月11日法律字第10603509640號函」-本函全文可於法務部全球資訊網點選「法務部主管法規查詢系統」查詢）。