| 第一章 總 則 |
第一章 章名 |
| 第一條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。 |
本辦法之法源依據。 |
| 第二條 本辦法適用對象為職業訓練法第五條第二款及第三款所定之私立職業訓練機構。 |
適用本辦法之私立職業訓練機構範圍,其中職業訓練法第五條第二款為附設者;第五條第三款為設立者。 |
| 第三條 私立職業訓練機構為落實個人資料檔案之安全維護及管理,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,應訂定個人資料檔案安全維護計畫(以下簡稱本計畫)。
本計畫內容,應包含下列事項:
一、個人資料保護規劃。
二、個人資料管理程序。
三、其他個人資料檔案安全維護事項。 |
本辦法規定之相關組織及程序要求, 私立職業訓練機構應明定於安全計畫內,並應定期檢視及配合相關法令訂定或修正計畫。 |
| 第二章 個人資料保護規劃 |
第二章 章名 |
| 第四條 私立職業訓練機構對個人資料保護之規劃,應包括下列事項:
一、個人資料保護相關法令規定之遵守。
二、於特定目的範圍內,蒐集、處理及利用個人資料之合理安全方法。
三、於特定目的範圍外,利用個人資料之合理安全方法。
四、保護所蒐集、處理、利用之個人資料檔案之合理安全水準技術。
五、供當事人行使個人資料之相關權利、提出相關申訴及諮詢之聯絡窗口。
六、處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故之緊急應變程序。
七、委託蒐集、處理及利用個人資料者,監督受託者之機制。
八、確保個人資料檔案之安全,維持本計畫運作之機制。 |
私立職業訓練機構應對個人資料之保護進行規劃,其規劃重點事項包括:遵守我國個人資料保護相關法令規定、合法正當蒐集、處理及利用個人資料、應以適當之技術保護個人資料、應提供當事人行使權利之方式、規劃緊急應變程序以處理事故、監督受託者之責任、持續維運本計畫之義務。 |
| 第五條 私立職業訓練機構就個人資料檔案之安全維護管理,應指定適當人員或專責組織負責,並配置相當資源。
前項人員或專責組織之任務如下:
一、規劃、訂定、修正及執行本計畫。
二、定期對所屬人員施以基礎認知宣導或專業教育訓練,使其瞭解個人資料保護相關法令規定、責任範圍、管理措施或方法。 |
一、為有效訂定與執行本計畫,私立職業訓練機構應指定專人或建立專責組織,並投入相當資源辦理有關事項。
二、為落實執行本計畫相關管理程序,私立職業訓練機構應透過認知宣導及教育訓練,使所屬人員均能明瞭個人資料保護相關法令之要求、所屬人員之責任範圍及各種作業程序。 |
| 第六條 私立職業訓練機構應依據個人資料保護相關法令,清查所保有之個人資料,納入本計畫之範圍及建立檔案,並隨時確認有否變動。 |
一、依本法施行細則第十二條第二項第二款之規定,安全維護計畫中得就界定個人資料範圍相關事項加以規定,爰明定私立職業訓練機構應清查個人資料之種類與數量並建立檔案,方能有效對其所保有之個人資料加以保護。
二、依職業訓練機構辦理之事項,個人資料保護範圍應為參訓學員之個人資料。 |
| 第七條 私立職業訓練機構應依據前條所界定之範圍,分析蒐集、處理及利用過程中可能產生之風險,並依據分析結果,於本計畫中訂定適當管控措施。 |
依本法施行細則第十二條第二項第三款之規定,安全維護計畫得就個人資料之風險評估及管理機制加以規定,爰明定私立職業訓練機構應依據其相關業務流程,判斷於蒐集、處理及利用個人資料之過程中,可能發生風險之原因、程度及頻率,方能進一步以適當管控措施保護個人資料並降低其風險。 |
| 第八條 私立職業訓練機構為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故,於本計畫中應建立下列機制:
一、應變處理機制:控制事故對當事人之損害,並通報有關單位。
二、事故調查機制:以適當方式通知當事人,並告知採取之因應措施。
三、檢討預防機制:避免類似事故再 次發生。 |
一、發生個人資料被竊取、竄改、毀損、滅失或洩漏等事故時,常造成當事人財產及非財產上之損害,私立職業訓練機構應訂定相關之因應機制,以降低或控制損害。
二、依據事故之類型,採取應變措施以降低或控制損害,並通知當事人瞭解相關狀況,使當事人亦能採取相關措施防止損害發生或擴大,並告知已採取之因應措施。另檢討預防機制,避免類似事故再次發生。 |
| 第三章 個人資料管理程序 |
第三章 章名 |
| 第九條 私立職業訓練機構就本法第六條第一項所定之個人資料,應於蒐集、處理或利用前,確認符合相關法令規定。 |
依本法第六條第一項規定,非公務機關原則上不得蒐集、處理或利用醫療、基因、性生活、健康檢查及犯罪前科之個人資料。故私立職業訓練機構於蒐集、處理或利用本法第六條第一項規定之個人資料前,應先確認符合相關法令之規定。 |
| 第十條 私立職業訓練機構為履行本法第八條及第九條所定之告知義務,於本計畫中應建立下列作業程序:
一、依據蒐集資料情況,採取適當之告知方式。
二、確認符合免告知當事人之事由。 |
依本法第八條及第九條規定,私立職業訓練機構應適時履行告知義務,故除確認有例外情況無須告知外,均應依據資料蒐集之情況,採取適當之告知方式,以有效履行告知義務。 |
| 第十一條 私立職業訓練機構對個人資料之蒐集、處理或利用,除本法第六條第一項所定之資料外,於本計畫中應建立下列作業程序:
一、確認蒐集、處理個人資料符合特定目的及法定要件。
二、確認利用個人資料符合特定目的必要範圍;於特定目的外利用個人資料時,應檢視是否具備法定特定目的外之利用要件。 |
依本法第十九條第一項規定,對一般個人資料之蒐集或處理,應有特定目的並符合法定要件。第二十條第一項規定,對一般個人資料之利用,應於蒐集之特定目的必要範圍內利用,但具備一定之法定情形,得為特定目的外之利用。爰應建立一定程序,確認蒐集、處理或利用個人資料具有特定目的及法定要件。若有必要為特定目的外利用時,亦應檢視是否符合特定目的外利用之情形。 |
| 第十二條 私立職業訓練機構利用個人資料行銷時,於本計畫中應建立下列作業程序:
一、利用個人資料行銷前,應讓當事人知悉並獲得同意。
二、首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
三、當事人表示拒絕接受行銷時,立即停止利用其個人資料行銷,並通知所屬人員。 |
私立職業訓練機構應就當事人表示拒絕行銷時建立相關作業程序。 |
| 第十三條 私立職業訓練機構進行個人資料國際傳輸前,應檢視有無中央目的事業主管機關依本法第二十一條規定所為之限制。 |
依本法第二十一條規定,中央目的事業主管機關於一定之法定情形,得限制非公務機關對於個人資料進行國際傳輸,爰明定私立職業訓練機構應於國際傳輸前確認中央目的事業主管機關是否有所限制,並予以遵守。(註:
中央目的事業主管機關目前暫無依本法第二十一條規定訂定相關限制)。 |
| 第十四條 當事人就其個人資料行使本法第三條所定之權利者,私立職業訓練機構於本計畫中應建立下列作業程序:
一、確認其為個人資料之本人或法定代理人。
二、提供當事人行使權利之方式,並依本法第十三條所定處理期限辦理。
三、確認有無本法第十條及第十一條得拒絕當事人行使權利之事由,拒絕時並附理由通知當事人。
四、查詢或請求閱覽個人資料或製給複製本者,告知得收取之費用標準或酌收必要成本費用。 |
一、為避免資料不當提供給第三人,私立職業訓練機構提供當事人行使權利前,應先建立作業程序以確認當事人身分。
二、為確保當事人行使權利,應提供一定方式,如常設之聯絡窗口,包含聯絡電話或電子郵件信箱等。
三、依本法第三條規定,當事人就其個人資料得行使包含查詢或請求閱覽等五項權利,私立職業訓練機構應於本法第十三條規定期間內准駁當事人之請求,爰明定應建立相關作業程序以供當事人行使權利。 |
| 第十五條 私立職業訓練機構為維護其保有個人資料之正確性,於本計畫中應建立下列作業程序:
一、檢視個人資料於蒐集、處理或利用過程,有無錯誤。
二、定期檢查資料,發現錯誤者,適時更正或補充。未為更正或補充者,於更正或補充後,通知曾提供利用之對象。
三、有爭議者,依本法第十一條第二項規定就爭議資料之處理或利用,建立相關作業程序。 |
為避免當事人發生因資料不正確所產生之損害。因此私立職業訓練機構應建立作業程序,確保資料於處理過程中不會發生錯誤,若資料仍有錯誤之情況,應適時更正,並應定期檢查資料之正確性。又資料正確性有爭議時,應就其處理或利用建立相關作業程序。 |
| 第十六條 私立職業訓練機構應定期確認所保有個人資料之特定目的有無消失或期限屆滿。
個人資料之特定目的消失或期限屆滿時,應依本法第十一條第三項規定辦理。 |
私立職業訓練機構蒐集、處理或利用個人資料均應於特定目的必要範圍內為之,若蒐集、處理、利用個人資料之特定目的已消失或期限已屆滿,應依本法第十一條第三項之規定,予以刪除、停止處理或利用。 |
| 第四章 個人資料管理措施 |
第四章 章名 |
| 第十七條 私立職業訓練機構就人員管理,應採取下列措施:
一、確認蒐集、處理及利用個人資料之各相關業務流程之負責人員。
二、依據作業之需要,建立管理機制,設定所屬人員不同權限,並定期確認權限內容之適當及必要性。
三、與所屬人員約定保密義務。
四、所屬人員離職時取消其識別碼,並收繳其通行證(卡)及相關證件。
五、所屬人員持有個人資料者,於其離職時,應要求其返還個人資料之載體,並銷毀或刪除因執行業務儲存而持有之個人資料。 |
一、人員管理部分,應先確認實際進行個人資料之蒐集、處理及利用之負責人員,以確認相關管理程序之權責歸屬。
二、所屬人員與個人資料相關之各項作業,若有設定權限控管之必要,則應建立管理機制,並確認其權限設定是否適當或必要。避免所屬人員取得不適當之權限,得以接觸非於作業必要範圍內之個人資料。
三、私立職業訓練機構應要求所屬人員負擔相關保密義務,使所屬人員能明瞭其責任。
四、人員離職時應收繳通行證(卡)及取消相關權限,避免資料不當外洩。
五、人員離職時應要求返還個人資料之載體,並銷毀或刪除因執行業務儲存而持有之個人資料。 |
| 第十八條 私立職業訓練機構蒐集、處理或利用個人資料,就資料安全管理,應採取下列措施:
一、訂定作業注意事項。
二、運用電腦或自動化機器相關設備,訂定使用可攜式設備或儲存媒介物之規範。
三、保有之個人資料內容,有加密之必要時,採取適當之加密機制。
四、傳輸個人資料時,因應不同之傳輸方式,有加密必要時,採取適當加密機制,並確認資料收受者之正確性。
五、依據保有資料之重要性,評估有備份必要時,予以備份,並比照原件加密。儲存備份資料之媒介物,以適當方式保管,且定期進行備份資料之還原測試,以確保有效性。
六、儲存個人資料之媒介物於報廢或轉作其他用途時,以物理或其他方式確實破壞或刪除媒介物中所儲存之資料。
七、妥善保存管理機制及加密機制中所運用之密碼。 |
一、針對個人資料蒐集、處理或利用的個別相關作業,私立職業訓練機構應基於本計畫之原則規定,訂定具體之作業注意事項,使所屬人員有所依循。
二、使用可攜式儲存媒介物或設備,可能提高處理個人資料之電腦及相關設備遭受惡意程式攻擊及個人資料外洩之風險,故應訂定使用可攜式設備或儲存媒介物之相關規範。
三、針對個人資料處理之不同態樣,包括儲存、傳輸及備份之狀況,如資料有加密之必要,應採取適當之加密機制。
四、傳輸個人資料時,因應不同之傳輸方
式,確認有加密之必要時,應採取適
當之加密機制,並應確認資料收受者
之正確性,以避免資料不當外洩。
五、有備份必要之個人資料,應比照原件採取加密,儲存備份資料之媒介物亦應以適當方式保管,並定期進行備份資料之還原測試,以確保備份之有效性。
六、個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦或自動化機器設備等媒介物,於該媒介物報廢或轉作其他用途時,應確實刪除媒介物中所儲存之資料,或以物理方式破壞之,以避免資料不當外洩。
七、如作業程序中相關管理機制與加密機制有運用密碼之必要時,該密碼亦應妥善保存。 |
| 第十九條 私立職業訓練機構就設備安全管理,應採取下列措施:
一、依據作業內容不同,實施必要之進出管制方式。
二、妥善保管個人資料之儲存媒介物。
三、針對不同作業環境,加強天然災害及其他意外災害之防護,並建置必要之防災設備。 |
在設備安全管理方面,私立職業訓練機構亦應針對不同之作業內容、作業環境及個人資料之種類與數量,實施必要之門禁管理,以適當方式或場所保管個人資料之儲存媒介物,並建置必要之防災設備。 |
| 第二十條 私立職業訓練機構就技術管理,應採取下列措施:
一、於電腦、自動化處理設備或系統上設定認證機制,對有存取個人資料權限之人員進行識別及控管。
二、認證機制使用之帳號及密碼,具備一定之複雜度,並定期更換密碼。
三、於電腦、自動化處理設備或系統上設定警示與相關反應機制,以對不正常之存取進行適當之反應及處理。
四、個人資料存取權限之數量及範圍,依作業必要予以設定,且不得共用存取權限。
五、採用防火牆或入侵偵測等設備,避免儲存個人資料之系統遭受無權限之存取。
六、使用能存取個人資料之應用程式時,確認使用者具備使用權限。
七、定期測試權限認證機制之有效性。
八、定期檢視個人資料之存取權限設定。
九、於處理個人資料之電腦系統中安裝防毒、防駭軟體,並定期更新病毒碼。
十、對於電腦作業系統及相關應用程式之漏洞,定期安裝修補程式。
十一、對於具備存取權限之電腦或自動化處理設備,不得安裝檔案分享軟體。
十二、測試處理個人資料之資訊系統時,不使用真實個人資料,有使用真實個人資料之情形時,明確規定使用程序。
十三、處理個人資料之資訊系統有變更時,確認其安全性並未降低。
十四、定期檢查處理個人資料資訊系統之使用狀況,及個人資料存取情形。 |
一、私立職業訓練機構若利用電腦或相關設備蒐集、處理或利用個人資料時,針對相關電腦系統技術,亦應有相應之管理措施,本條即臚列相關技術管理措施,供私立職業訓練機構視其實際作業之必要予以實施。
二、本條所臚列之技術管理措施約可分為:
(一)系統存取權限之設定及實施:以認證機制,對有存取個人資料權限之人員進行識別與控管,若認證機制使用密碼之方式時,應有適當之管理方式,並定期測試權限機制之有效性。
(二)系統存取權限之控管:系統存取權限之設定應於必要範圍內為之,避免非作業必要之人員得存取相關資料,增加個人資料不當外洩之風險。且應定期檢視存取權限之必要性並適時調整。
(三)採用防火牆或入侵偵測等設備,避免儲存個人資料之系統遭受無權限之存取。
(四)存取個人資料之應用程式之控管。
(五)避免惡意程式與系統漏洞對作業系統之威脅。
(六)檔案分享軟體之控制。
(七)系統測試時,使用個人資料之程序。
(八)資訊系統變更時,其安全性之確認。
(九)檢查系統之使用狀況與個人資料存取之情形。 |
| 第五章 紀錄機制 |
第五章 章名 |
| 第二十一條 私立職業訓練機構執行本計畫各項程序及措施,應保存下列紀錄:
一、因應事故發生所採取之行為。
二、提供當事人行使之權利。
三、個人資料之維護及修正。
四、所屬人員權限之異動。
五、所屬人員違反權限之行為。
六、備份及還原之測試。
七、個人資料之交付及傳輸。
八、個人資料之刪除及銷毀。
九、存取個人資料者之資訊。
十、定期檢查處理個人資料之資訊。
十一、教育訓練。
十二、計畫稽核及改善措施之執行。 |
為確認本計畫及依據本計畫所訂定之相關程序及措施是否落實執行,以及釐清個人資料於蒐集、處理及利用過程之相關權責,私立職業訓練機構應保存相關紀錄以供查驗。 |
| 第六章 業務終止後個人資料處理方法 |
第六章 章名 |
| 第二十二條 私立職業訓練機構業務終止後之個人資料處理,應刪除或銷毀儲存個人資料之媒介物中所儲存之資料,記錄並留存刪除或銷毀之方法、時間、地點及證明刪除或銷毀之方式。 |
私立職業訓練機構有終止營業、撤銷設立許可、停辦、解散、個人資料蒐集之特定目的已達成而無繼續處理或利用之必要或特定目的已無法達成或不存在等業務終止之情事時,應刪除或銷毀個人資料,記錄並留存刪除或銷毀之方法、時間、地點及證明刪除或銷毀之方式。 |
| 第七章 附 則 |
第七章 章名 |
| 第二十三條 私立職業訓練機構應定期檢查本計畫執行情形,並建立未落實執行之改善措施。 |
本計畫及依據本計畫所訂定之相關程 序,應定期檢查所屬人員是否皆已落實執行,若發現有未落實執行之情況,應予改善。 |
| 第二十四條 本辦法自發布日施行。 |
本辦法施行日期。 |