| 發文單位 | 國家發展委員會 |
|---|---|
| 發文字號 | 國家發展委員會發法字第1100016400號 |
| 要旨 | 一、依我國個人資料保護法(下稱個資法)第51條第2項規定,公務機關在我國領域外蒐集我國人民之個人資料,亦有該法適用。 二、於個資蒐集之特定目的消失或期限屆滿時,經當事人書面同意,雖得予以保留,惟倘不論特定目的為何,一律請當事人同意蒐集機關得無限期留存其個資,似與個資法第5條規定之比例原則不符。 |
| 主旨 | 有關貴會為執行業務所需而蒐集、處理或利用全球僑胞及海外友我外國人士之個人資料一事,復如說明,請查照。 |
| 說明 | 一、復貴會110年8月13日僑資規字第1101600289號書函。 二、有關旨揭個人資料於跨境傳輸時,是否需符合當事人之本國法或提供時所在地國法令一節,由於各國法令不同,原則上宜先諮詢當地法律服務諮詢機構為宜。在歐盟境內之資料控制實體蒐集、處理或利用位於歐盟境內自然人個資,再彙送回歐盟境外予國內貴會保存或利用,除非有外交特權豁免適用外,則應依歐盟一般資料保護規則(下稱GDPR)第5章個資跨境傳輸相關規定辦理(詳附件-歐洲個人資料保護委員會(EDPB)2019年11月12日發布「關於GDPR(第3條)地域範圍之指引3/2018」參照),惟因本會並非GDPR之有權解釋機關,是有關GDPR之適用問題,仍請貴會洽歐盟當地個資保護主管機關之意見。 三、另依我國個人資料保護法(下稱個資法)第51條第2項規定,公務機關在我國領域外蒐集我國人民之個人資料,亦有該法適用(107年3月12日法律字第10703502240號函參照),爰有關貴會所詢「是否得取得當事人同意而永久保存、利用其個人資料」、「受委託廠商可否將貴會蒐集之個人資料置於外商雲端服務平台及如何規劃委託契約」之個資法適法性,分述如下: (一)按個資法第11條第3項規定「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。」及同法第5條規定「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」,是以,貴會於個資蒐集之特定目的消失或期限屆滿時,經當事人書面同意,雖得予以保留,惟倘不論特定目的為何,一律請當事人同意蒐集機關得無限期留存其個資,似與上開個資法第5條規定之比例原則不符。 (二)次按個資法第4條規定「受公務機關…委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」、同法施行細則第7條規定「受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。」及第8條規定「委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。(第1項)前項監督至少應包含下列事項:…(第2項)第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。(第3項)受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。…(第4項)」,是以,受託者對於個人資料之蒐集、處理及利用,應依委託機關之指示辦理,並於受託範圍內視同委託機關之行為,而以委託機關為權責機關,委託機關並應對受託者為適當之監督。爰有關貴會委託廠商蒐集、處理或利用個人資料,建請依權責參照上開規定辦理,至如何及時保全與追究相關法律責任及確保我國之司法管轄權,事涉委託契約當事人間之約定,非屬個資法所轄範圍,併此敘明。 |
| 正本 | 僑務委員會 |
| 副本 | 國家發展委員會 |
國家發展委員會發法字第1100016400號
內容