要旨
非公務機關以電子郵件辦理消費爭議,未以密件副本方式而揭露其他消費者電子郵件地址資料之行為,是否違反個人資料保護法第 27 條第 1 項規定所稱「應採行適當之安全措施」,應就具體個案事實審酌各項具體措施之內容是否達到足以防止個人資料被竊取、竄改、毀損、滅失或洩漏之程度而定
主旨
有關民眾陳情○○○○○有限公司疑涉違反個人資料保護法一案,復如說明二至三,請查照。
說明
一、復貴局 114 年 2 月 14 日北市文化文創字第 11430084992 號函。 二、按個人資料保護法(下稱個資法)第 27 條第 1 項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」所稱「適當之安全措施」,依同法施行細則第 12 條規定,係指非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前開措施得包括「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」等事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則。倘非公務機關違反個資法第 27 條第 1 項者,依個資法第 48 條第 2 項規定,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣 2 萬元以上 200 萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣 15 萬元以上 1500 萬元以下罰鍰。查本案電子郵件未以密件副本方式而揭露消費者電子郵件地址資料之行為,是否違反個資法第 27 條第 1 項「應採行適當之安全措施」一節,仍應視個案中就上開事項所採行各項具體措施之內容,綜合判斷是否達到足以防止個人資料被竊取、竄改、毀損、滅失或洩漏之程度,惟此屬於具體個案事實之認定,建請貴局賡續本於職權調查釐清。 三、另按個資法第 41 條規定:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第 6 條第 1 項、第 15 條、第 16 條、第 19 條、第 20 條第 1 項規定,或中央目的事業主管機關依第 21 條限制國際傳輸之命令或處分,足生損害於他人者,處 5 年以下有期徒刑,得併科新臺幣 100 萬元以下罰金。」查本案是否違反個資法第 27 條第 1 項之安全維護義務,與個資法第 41 條之構成要件無涉,至於相關行為人是否構成個資法第 41 條規定之犯罪,應以偵審結果為準。
正本
臺北市政府文化局
