個人資料保護法 第 19 條

I 「🥷非公務機關」對個人資料之蒐集或處理（例如儲存在手機），Exc第6條第1項所規定資料外，應有「⚠️⚠️特定目的」，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取📌適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構「基於公共利益為統計或學術研究而有必要」&「資料經過提供者處理後或經蒐集者依其揭露方式📌無從識別特定之當事人」。 五、經當事人同意。 六、為「增進公共利益」所「必要」。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。 II 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。 個資法施行細則12 I 本法第六條第一項但書第二款及第五款所稱📌適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。 II 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。