跳至主要內容
:::

法條

法規名稱: 數位經濟相關產業個人資料檔案安全維護管理辦法
業者之資本額為新臺幣一千萬元以上或保有個人資料筆數達五千筆以上者,於安全維護計畫訂定後,第六條、第七條、第九條第八款、第十一條第二項第一款至第四款、第八款、第十二條第三款、第十三條第一項、第二項、第十五條及前條第二款之措施,應每十二個月至少實施及檢討改善一次。
業者之資本額於本辦法施行後始增資達新臺幣一千萬元以上,或因直接或間接蒐集而保有個人資料達五千筆以上者,應自符合條件之日起六個月後,每十二個月至少實施及檢討改善前項措施一次。
前二項所定資本額,於股份有限公司為實收資本額,於有限公司、無限公司及兩合公司為登記之資本總額,於獨資或合夥方式經營之事業,為登記之資本額。
因刪除、銷毀或其他方法致保有個人資料筆數減少,且連續二年期間保有個人資料筆數未達五千筆之業者,得不適用第一項規定。但嗣後因直接或間接蒐集而致保有個人資料筆數達五千筆以上者,應於保有筆數達五千筆以上之日起三十日內,恢復適用第一項規定。保有個人資料筆數之計算,以業者單日所保有之個人資料為認定基準。
業者應定期清查確認所蒐集、處理或利用之個人資料現況,界定納入安全維護計畫之範圍。
業者應依已界定之個人資料範圍及其業務涉及個人資料蒐集、處理或利用之流程,定期評估可能產生之風險,並根據風險評估結果,採行適當之安全措施。
業者應訂定下列事項之內部管理程序:
一、蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料者,檢視是否符合本法第六條第一項但書所定情形。
二、檢視個人資料蒐集或處理,是否符合本法第十九條第一項所定法定情形及特定目的;經當事人同意而為蒐集或處理者,並應確保符合本法第七條第一項規定。
三、檢視個人資料之利用,是否符合蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合本法第二十條第一項但書所定情形;經當事人同意而為特定目的外之利用者,並應確保符合本法第七條第二項規定。
四、檢視個人資料之蒐集是否符合本法第八條第二項或第九條第二項得免為告知之事由;無得免為告知之事由者,並應確保符合本法第八條第一項或第九條第一項規定。
五、利用個人資料行銷而當事人表示拒絕接受行銷者,確保符合本法第二十條第二項及第三項規定。
六、當事人行使本法第三條所定權利之相關事項:
(一)提供當事人行使權利之方式。
(二)確認當事人或其代理人之身分。
(三)檢視是否符合本法第十條但書、第十一條第二項但書及第十一條第三項但書所定得拒絕其請求之事由。
(四)依前目規定拒絕當事人行使權利者,應附理由通知當事人。
(五)就當事人請求為准駁決定及延長決定期間之程序,並應確保符合本法第十三條規定。
(六)當事人請求更正或補充其個人資料者,其應釋明之事項。
(七)就當事人查詢、請求閱覽或製給複製本之請求酌收必要成本費用者,應明定其收費標準。
七、維護個人資料正確性之機制;個人資料正確性有爭議者,並應確保符合本法第十一條第一項、第二項及第五項規定。
八、定期檢視個人資料蒐集之特定目的是否已消失或期限是否已屆滿;其特定目的消失或期限屆滿者,並應確保符合本法第十一條第三項規定。
業者應採取下列資料安全管理措施:
一、個人資料有加密之必要者,應於蒐集、處理或利用時,採取適當之加密措施。
二、個人資料有備份之必要者,應對備份資料採取適當之保護措施。
三、傳輸個人資料時,應依不同傳輸方式,採取適當之安全措施。
業者以資通系統直接或間接蒐集、處理或利用個人資料時,除前項要求外,應採取下列資料安全管理措施:
一、建置防火牆、電子郵件過濾機制或其他入侵偵測設備等防止外部網路入侵對策,並定期更新。
二、資通系統存有個人資料者,應設定異常存取資料行為之監控及定期演練因應機制。
三、確認蒐集、處理或利用個人資料之電腦、相關設備或系統具備必要之安全性,採取適當之安全機制,定期檢測並因應系統漏洞所造成之威脅。
四、與網路相聯之資通系統存有個人資料者,應隨時更新並執行防毒軟體,及定期執行惡意程式檢測。
五、資通系統存有個人資料者,應設定認證機制,其帳號及密碼須符合一定之複雜度。
六、處理個人資料之資通系統進行測試時,應避免使用真實個人資料;使用真實個人資料者,應訂定使用規範。
七、處理個人資料之資通系統有變更時,應確保其安全性未降低。
八、定期檢視處理個人資料之資通系統,檢查其使用狀況及存取個人資料之情形。
九、評估使用情境,採行個人資料之隱碼機制,就個人資料之呈現予以適當且一致性之遮蔽。
十、其他本部公告之資料安全管理措施。
業者應採取下列人員管理措施:
一、與所屬人員約定保密義務。
二、識別業務內容涉及個人資料蒐集、處理或利用之人員。
三、依其業務特性、內容及需求,設定所屬人員接觸個人資料之權限,並定期檢視其適當性及必要性。
四、人員離職時,要求人員返還個人資料之載體,並刪除因執行業務而持有之個人資料。
業者應定期對所屬人員,實施下列個人資料保護認知宣導及教育訓練:
一、個人資料保護相關法令之規定。
二、所屬人員之責任範圍。
三、安全維護計畫各項管理程序、機制及措施之要求。
業者對代表人、負責人或第五條所稱管理人員,另應依其於安全維護計畫所擔負之任務及角色,定期實施必要之教育訓練。
從事以網際網路方式供他人零售商品之平台業者,其安全維護計畫,應加入下列事項:
一、對其平台使用者,進行適當之個人資料保護及管理之認知宣導或教育訓練。
二、訂定個人資料保護守則,要求平台使用者遵守。
業者應訂定個人資料安全稽核機制,定期檢查安全維護計畫執行狀況,並作成評估報告;如有缺失,應予改善。
業者應訂定下列整體持續改善機制:
一、安全維護計畫未落實執行時應採取矯正預防措施。
二、參酌安全維護計畫執行狀況、技術發展、業務調整及法令變化等因素,定期檢視或修正。