個人資料保護法 第 6 條

I 有關「病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」，🙅‍♂️不得蒐集、處理或利用。 Exc有下列情形之一者，✅不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行「法定義務必要範圍內」&「事前或事後有📌適當安全維護措施」。 三、「當事人自行公開或其他已合法公開之個人資料」。 四、「公務機關或學術研究機構」「基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要」&「資料經過提供者📌處理後或經蒐集者依其揭露方式無從識別特定之當事人」。 五、為協助公務機關執行法定職務或非公務機關「履行法定義務必要範圍內」&「事前或事後有適當安全維護措施」。 六、經「當事人📌書面同意」。 Exc逾越「特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願」者，不在此限。 II 依前項規定蒐集、處理或利用個人資料，🌂準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。 * 個資法施行細則12 I 本法第六條第一項但書第二款及第五款所稱📌適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。 II 前項「措施」，得包括下列事項，並以與「所欲達成之個人資料保護目的」間，具有「適當比例」為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、「📌通報」（通報主管機關）及「📌應變機制」（避免損害擴大）。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。