| 第一條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。 |
本辦法之法源依據。 |
| 第二條 本辦法所稱非公務機關,指用戶數在三千戶以上之電業及公用天然氣事業。 |
由於個人資料檔案之管理與安全維護,須耗費相當費用,是以,小規模非公務機關恐難負擔,為避免過猶不及,爰以用戶數在三千戶以上之非公務機關,作為適用本辦法之範圍。 |
| 第三條 非公務機關應依其業務規模及特性,衡酌經營資源之合理分配,建立個人資料檔案安全維護管理組織,配置相當人員及資源,負責規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱本計畫及處理方法)。
本計畫及處理方法之訂定或修正,應經非公務機關代表人或經其授權之人員核定。
個人資料檔案安全維護管理組織,應定期就執行任務情形向非公務機關代表人或經其授權之人員提出書面報告。 |
一、配合本法施行細則第十二條第二項第一款規定,非公務機關為落實個人資料保護目的,應考量組織規模與保有個人資料之數量或內容,依比例原則建立技術上及組織上之措施,俾規劃、訂定、修正與執行相關事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,爰於第一項明定之。
二、為確認本計畫及處理方法之訂定或修正核定單位,爰於第二項明定,須經非公務機關之代表人,或經其授權之人員核定,以利遵循,亦避免事後產生爭議。
三、為使非公務機關法定代理人能盡其督導及監督之責,於第三項規範個人資料檔案安全維護管理組織,應定期向非公務機關代表人或經其授權之人員以書面報告相關執行情況。 |
| 第四條 非公務機關應依個人資料保護相關法令,定期查核確認所保有個人資料現況,界定其納入本計畫及處理方法之個人資料範圍。 |
一、配合本法施行細則第十二條第二項第二款規定,非公務機關為瞭解其所蒐集、處理及利用之個人資料,宜界定個人資料之範圍,並定期查核其保有個人資料之內涵,例如:個人資料檔案名稱、個人資料類別等,且依個資相關法令確認是否納入本計畫及處理方法之適用範圍,以便有效規劃個人資料保護事項。
二、本條所稱個人資料保護相關法令,解釋上包括非公務機關執行業務所應適用之各種法令,不以本法及本法施行細則為限。 |
| 第五條 非公務機關應依前條界定之個人資料範圍及其業務涉及個人資料蒐集、處理及利用之流程,評估可能產生之個人資料風險,並根據風險評估結果,訂定適當管理機制。 |
配合本法施行細則第十二條第二項第三款規定,非公務機關於界定個人資料之範圍後,宜參照其相關業務流程,判斷其於蒐集、處理及利用個人資料之過程中,可能發生非公務機關違反本法規定之風險,例如:個人資料被竊取、竄改、毀損、滅失、洩漏或其他侵害等事故之原因、程度、頻率及風險高低,訂定適當管理機制保護個人資料,以降低風險。 |
| 第六條 非公務機關為因應所保有之個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他安全事故,應訂定下列應變、通報及預防機制:
一、採取之應變措施,包括控制當事人損害方式、查明事故原因後通知當事人之方式及內容。
二、受通報之相關對象及通報方式。
三、事故發生後研議預防措施。 |
一、當非公務機關違反本法規定,致使個人資料被竊取、竄改、毀損、滅失、洩漏或其他侵害等事故發生時,常造成當事人財產及非財產上之損害,故為降低或控制損害之範圍,非公務機關應依本法施行細則第十二條第二項第四款之規定於本計畫及處理方法中訂定相關應變、通報及預防機制。
二、為使有關機關、單位及時掌握情況,非公務機關自應以適當方式通報其目的事業相關主管機關,及相關法令所定其他應受通知者。為利執行,宜將此等通報對象及通報方式,一併訂於本計畫及處理方法中,爰於第二款明定。 |
| 第七條 非公務機關應就下列事項,訂定管理程序:
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令之要件。
二、檢視個人資料之蒐集、處理或利用,是否符合免為告知之事由,及所告知之內容、方式是否合法妥適。
三、檢視個人資料之蒐集或處理,是否符合本法第十九條規定,具有特定目的及法定情形;其經當事人書面同意者,並應符合本法第七條第一項規定。
四、檢視個人資料之利用,是否符合蒐集之特定目的必要範圍;為特定目的外之利用者,檢視是否符合法定情形;其經當事人書面同意者,並應符合本法第七條第二項規定。
五、利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用其個人資料行銷,並至少於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。
七、進行個人資料國際傳輸前,檢視是否符合經濟部所定之規定。
八、當事人行使本法第三條所定權利之事項:
(一)當事人身分之確認方式。
(二)提供當事人行使權利之方式。
(三)告知當事人需支付之費用。
(四)對當事人請求之審查方式,並遵守本法有關處理期限之規定。
(五)有本法所定得拒絕當事人行使權利之事由者,記載理由及通知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依本法第十一條第一項、第二項及第五項規定辦理。
十、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;其特定目的消失或期限屆滿者,應依本法第十一條第三項規定刪除、停止處理或利用。 |
一、配合本法施行細則第十二條第二項第五款規定,非公務機關應將其個人資料蒐集、處理及利用之內部管理程序,明定於本計畫及處理方法中。
二、前開內部管理程序,包括:檢視一般或特種個人資料之蒐集、處理或利用是否符合法定要件、是否符合免告知事由及告知是否合法妥、適蒐集、處理或利用個人資料之行為是否符合特定目的必要範圍、當事人拒絕行銷之處置、對受託人之監督事項、遵守目的事業相關主管機關所為國際傳輸之限制、當事人行使權利之處理、個人資料正確性之維護及個人資料之刪除等事項。 |
| 第八條 非公務機關為維護所保有個人資料之安全,應採取下列資料安全管理措施:
一、訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,採取適當防範措施。
二、所保有之個人資料內容,如有加密之需要,於蒐集、處理或利用時,採取適當加密機制。
三、作業過程有備份個人資料之需要,對備份資料,應比照原件,採取適當保護措施。
四、妥善保存認證機制及加密機制中所運用之密碼,如有交付他人之需要,亦妥善為之。 |
配合本法施行細則第十二條第二項第六款規定,非公務機關應於本計畫及處理方法中,訂定資料安全管理之相關措施,包括使用各類設備或儲存媒體之規範、評估採取加密措施之必要性、備份檔案之保護措施等。 |
| 第九條 非公務機關為維護所保有個人資料之安全,應對所屬人員採取下列管理措施:
一、依據業務特性、內容及需求,設定不同權限,以認證機制管理,定期檢視權限內容之適當性,並控管接觸個人資料之情形。
二、約定保密義務。 |
一、配合本法施行細則第十二條第二項第六款規定,非公務機關應於本計畫及處理方法中,就其保有之個人資料,訂定對所屬人員採取之適當管理措施,以據以執行。
二、前開管理措施,包括依所屬人員負責業務之內容、性質等,設定其接觸個人資料之適當權限,俾利控管實際接觸個人資料之情形,及與其約定保密義務等。 |
| 第十條 非公務機關保有之個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦、自動化機器設備或其他媒介物者,應採取下列設備安全管理措施:
一、依據業務特性、內容及需求,實施適當進出管制。
二、訂定妥善保管個人資料儲存媒介物之方式。
三、依媒介物之特性、使用方式及其環境,建置適當保護設備或技術。 |
配合本法施行細則第十二條第二項第八款規定,非公務機關應於本計畫及處理方法中,就其保有個人資料所存在之媒介物環境,採取適當之管理措施,爰於本條明定之。 |
| 第十一條 非公務機關於業務終止,依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後,應保存下列紀錄:
一、刪除、停止處理或利用所保有之個人資料之方法、時間、地點及證明方式。
二、將刪除、停止處理或利用所保有之個人資料移轉其他對象者,其移轉之原因、對象、方法、時間、地點及受移轉對象得蒐集、處理或利用該個人資料之合法依據。 |
一、依本法第十一條第三項規定,非公務機關業務終止後,即特定目的消失或期限屆滿後,應刪除、停止處理或利用相關個人資料。為避免事後與當事人間產生不必要之紛爭,乃於第一款明定非公務機關刪除、停止處理或利用所保有之個人資料後,應保存之相關紀錄。
二、另非公務機關將其備份資料移轉他人者,亦應保存相關紀錄,爰於第二款明定,俾利周延。 |
| 第十二條 非公務機關應定期對所屬人員進行個人資料保護認知宣導及教育訓練,使其明瞭相關法令之規定、所屬人員之責任範圍與各種個人資料保護事項之機制、程序及管理措施。 |
為落實執行本計畫相關管理程序,爰明定非公務機關應定期舉辦認知宣導及教育訓練。 |
| 第十三條 非公務機關為落實本計畫及處理方法之執行,應依其業務規模及特性,衡酌經營資源之合理分配,訂定適當之個人資料安全稽核機制。 |
配合本法施行細則第十二條第二項第九款規定,非公務機關應於本計畫及處理方法中,訂定個人資料安全稽核機制,查察是否落實執行相關事項。 |
| 第十四條 非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,應保存下列紀錄:
一、提供當事人行使權利之紀錄。
二、備份及還原測試之紀錄。
三、所屬人員權限新增、變動及刪除之紀錄。
四、因應事故發生所採取行為之紀錄。
五、其他必要之使用紀錄、軌跡資料及證據保存。 |
配合本法施行細則第十二條第二項第十款規定,並協助非公務機關釐清個人資料處理作業爭議之事責,明定非公務機關應保存相關使用紀錄、軌跡資料及證據保存。 |
| 第十五條 非公務機關為持續改善個人資料安全維護,其個人資料檔案安全維護管理組織,應定期提出評估報告,並訂定下列機制:
一、檢視、修訂本計畫及處理方法與相關個人資料保護事項。
二、評估報告中有違反法令情形之虞者,規劃、改善及預防措施。
前項評估報告,應向非公務機關代表人或經其授權之人員提出。 |
一、配合本法施行細則第十二條第二項第十一款規定,於第一項明定非公務機關應定期提出自我評估個人資料安全維護執行情形之報告,並參酌法令增修、業務需求等客觀因素,持續改善其個人資料安全維護運作機制。
二、為使非公務機關之經營管理階層定期瞭解、掌握個人資料安全維護情形,爰於第二項明定非公務機關之個人資料檔案安全維護管理組織須以書面向其代表人或經其授權之人員報告。 |
| 第十六條 本辦法自發布日施行。 |
本辦法施行日期。 |