EU GDPR

【個人資料保護法】
個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

注意事項：
- 關鍵在於得否「直接或間接辨識特定人」。
- 第6條第4項：「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」
依《學術研究機構設立辦法》第2條：「本辦法所稱之學術研究機構，係指國立研究院及公私立大學研究所以外之學術研究機構」。

資料來源 & 完整條文：法務部
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

---

【歐盟通用資料保護規則 EU General Data Protection Regulation(簡稱GDPR)】
- 將於2018年5月25日全面實施。
- 域外適用。
- 大學與GDPR的關係：歐盟設立分校、指派在學生前往歐盟交流/研究/實習、招收歐盟學生入學、以歐盟公民為研究對象、聘用歐盟居民、成立線上教學平台、姊妹校位於歐盟境內、校友為歐盟公民等。
- 個人可識別資訊(PII)除台灣現行規定外，更包含網路Cookie、IP位址、基因、生物特徵或醫療資料等。
- 被遺忘權：資料當事人可要求抹除個人資料、停止使用個資。
- 個資若遭外洩，需於72小時內通報資料保護主管機關。
- 組織需設置資料保護官(DPO)，須有效依法履行職責，並需擔負一定程度的法律責任。
- 罰則金額提高，最高可處罰2,000萬歐元或企業全球營業總額4%，以罰款多者為計算基準。

官方網站：https://www.eugdpr.org/eugdpr.org.html

資料來源：
SGS 台灣https://www.sgs.com.tw/zh-tw/news/2017/06/n_20170630_1
https://www.ithome.com.tw/news/116876

---

釋義補充

【明確告知】
法律字第10603509640號函：(節錄)為達到「明確告知」目的，蒐集者仍應以個別通知方式使當事人知悉，不得以單純擺設公告或上網公告概括方式為之，須足以使當事人知悉或可得知悉該公告內容方式始屬之。
資料來源：法務部行政函釋
https://goo.gl/XWkrnz

【個資蒐集同意】
法律字第10603509640號函：(節錄)
- 如所蒐集者包括其他與契約履行無關之個人資料或並非為履行契約所必需者，則應依個資法第7條第1項規定，應於契約之外另行取得當事人同意，始為合法。
- 非公務機關與個人資料當事人間具有個資法第19條第1項第2款之關係存在時，應優先適用此款，不能再以同條項第5款作為蒐集事由，以避免個人資料當事人立於不對等地位而無法真正作成自主決定（例如：以同意做為契約成立前提）；甚至在已有其他合法事由下，仍尋求當事人同意，更有可能顯失公平。
資料來源：法務部行政函釋
https://goo.gl/XWkrnz

【公共利益】
The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject. 
資料來源：歐盟
http://www.privacy-regulation.eu/en/article-49-derogations-for-specific-situations-GDPR.htm