第八條第三項、第十一條第一項第四款、第二項及第三項規定，於公立精
神復健機構及可收治服務對象二百人以下私立精神復健機構，準用之。

一、本條新增。
二、公立醫院所持有資訊均屬政府資訊，又其亦行使部分公權力行為，爰
    公立精神復健機構係比照本法之「公務機關」規定，而可收治服務對
    象二百人以下私立精神復健機構依其規模與行政量能等實務面考量，
    尚毋須逐一訂定個人資料檔案安全維護計畫，故上開二類機構非屬第
    三條第一項第一款定義所稱精神復健機構；惟有關個人資料跨境傳輸
    及個人資料事故通報之規範，宜有統一規定，為使該等機構有所依循
    ，爰增訂本條。

精神復健機構蒐集個人資料時，應符合前條第一項所定之類別及範圍。
精神復健機構於傳輸個人資料時，應採取必要保護措施，避免洩漏。
精神復健機構將當事人個人資料為國際傳輸前，應檢視是否受中央主管機
關依本法第二十一條規定為國際傳輸之限制，並告知當事人擬傳輸之國家
或區域，同時對資料接收方為下列事項之監督：
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
    象及方式。
二、當事人行使本法第三條所定權利之相關事項。

一、依本法第六條、第二十一條及一百十年八月十九日衛生福利部「研商
    非公務機關個人資料國際傳輸之限制」會議決議，機構將個人資料作
    國際傳輸者，應告知當事人所欲傳輸之國家或區域，增訂第三項規定
    ；並配合本法施行細則第十二條第二項第六款之規定，要求機構應對
    資料接收方為適當之監督，爰為第三項第一款及第二款規定。
二、諸如精神復健機構服務對象個人資料傳輸至雲端資料儲存或處理服務
    ，其伺服器位於我國境外者，或傳輸至我國境外之長期照顧服務或醫
    療機構，考量機構服務對象係屬特種個人資料，相較於一般個人資料
    較具敏感性，均應有第三項之適用。

精神復健機構蒐集之當事人個人資料，應依本法第八條及第九條、精神復
健機構設置及管理辦法第十一條及第十二條規定辦理，並依直接蒐集或間
接蒐集，分別訂定告知方式、內容及其注意事項。
精神復健機構使用資通訊系統蒐集、處理或利用當事人個人資料時，應採
取下列資料安全管理措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案及資料庫之存取控制與保護監控措施。
五、外部網路入侵防範對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施，應定期演練及檢討改善。

一、為明確蒐集個人資料之依據，爰修正第一項。
二、為落實個人資料之保護，依行政院一百十年八月十一日訂定發布「行
    政院及所屬各機關落實個人資料保護聯繫作業要點」第四點規定，爰
    增訂第二項。
三、隨網路資訊發達與科技之進步，可能發生個人資料於網路遭非法入侵
    或異常使用行為損害情形，爰增訂第三項，明定針對前項第五款及第
    六款所定措施，精神復健機構應定期進行演練及檢討改善。

精神復健機構訂定第四條第二項第四款事故之預防、通報及應變機制，應
包括下列事項：
一、採取適當之措施，控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況，以適當方式通知當事人或其法定代理
    人。
三、研議改進措施，避免事故再度發生。
四、發生事故者，應於發現時起七十二小時內，通報直轄市或縣（市）主
    管機關及副知中央主管機關，直轄市或縣（市）主管機關得依本法第
    二十二條至第二十五條規定，為適當之監督管理措施。
精神復健於發生個人資料被竊取、洩漏、竄改或其他侵害事故時，應依前
項事故之預防、通報及應變機制迅速處理，保護當事人之權益。
第一項第四款通報紀錄，格式如附表。

配合行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會議
」第一次會議決議，及依行政院一百十年八月十一日訂定發布「行政院及
所屬各機關落實個人資料保護聯繫作業要點」第四點第一項第三款規定，
發生事故者，機構應於發現時起七十二小時內通報地方目的事業主管機關
及副知中央主管機關，爰增訂第一項第四款。另依該次會議國家發展委員
會所示個人資料事故通報格式參考範本，並參考「內政部指定移民業務機
構個人資料檔案安全維護管理辦法」第十三條及「醫療器材批發零售業個
人資料檔案安全維護計畫實施辦法」第十七條所定書面通報格式，於第三
項增訂通報格式如附表。