個資蒐集的基本原則，在個資法第5條及第6條中陳述，但許多人並未能抓到其重點，以下來進行相關觀念的分享。
個資法
第 5 條
個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
第 6 條
有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。
前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之。

「不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯」其實已隱涵了ISO 29100中最小蒐集(Data minimization)，最少蒐集(Collection limitation)的原則，以下先列出
ISO/IEC 29100的11項隱私原則(privacy principles)
1.Consent and choice
2.Purpose legitimacy and specification
3.Collection limitation
4.Data minimization
5.Use, retention and disclosure limitation
6.Accuracy and quality
7.Openness, transparency and notice
8.Individual participation and access
9.Accountability
10.Information security
11.Privacy compliance
後續有機會再與大家談談如何運作這些原則在個資管理中。