個人資料外洩,通報或告知當事人之義務
- 發布單位
內容
Q1 個人資料外洩時,非公務機關是否有通報或告知當事人之義務?
A:非公務機關管理之個人資料,如有被竊取、洩漏、竄改或其他侵害者,應於查明後通知當事人(個人資料保護法第12條規定),以使當事人得以知悉個人資料遭違法侵害之情事,以及時採取補救措施或提起救濟。至於通知之方式,依個人資料保護法施行細則第22條規定,應即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但通知需費過鉅者,得斟酌技術之可行性及當事人隱私之保護(不揭示可直接或間接識別當事人之個人資料),以網際網路、新聞媒體或其他適當之公開方式為之。通知之內容,應包括個人資料被侵害之事實以及已採取之因應措施,以使當事人得有效採取適當補救措施以降低損害之擴大。
Q2 非公務機關委託其他法人、團體或個人,進行個人資料之蒐集、處理或利用行為,如果受託者將個人資料外洩,委託機關是否要負賠償責任?
A:法人、團體或個人辦理公務機關或非公務機關所委託業務涉及處理個人資料,則該受託處理個人資料之法人、團體或個人,視同委託機關,並以委託機關為權責歸屬機關,由委託機關負賠償責任。例如:委託機關為公務機關時,則受託之個人、法人或團體於受託範圍內,視同委託機關,而應適用個人資料保護法有關公務機關之規範。(個人資料保護法第4條規定;施行細則第7條規定)