跳到主要內容區塊 ::: 首頁 | 網站導覽 | 署長信箱 | 常見問答集 | 電子報 | English | RSS
行動版開啟選單按鈕

個人資料保護政策

個人資料保護政策

1. 目標

為規範本署個人資料之蒐集、處理及利用等行為遵守我國【個人資料保護法】、【個人資料保護法施行細則】之規定,避免人格權受侵害,並促進個人資料之合理利用,以及落實英國國家標準個人資訊管理系統(BS10012:2017)之要求,確保個人資料之保護及管理,特訂定個人資料保護政策(以下簡稱本政策),作為有效評估本署遵循法律及優良實務的狀況。

  • 1.1.
    當發生個資事件時,依法定與內部流程辦理,並將事件損害降到最低。
  • 1.2.
    依法定期限辦理個資當事人行使權利要求 (含個資爭議)。
  • 1.3.
    落實依個人資料檔案保存限期辦理銷毀作業。

2. 適用範圍

本署個人資料管理制度導入範圍內所有與個人資料之蒐集、處理與利用等作業相關之單位、人員、業務流程與系統。

3. 依據

  • 3.1.
    中華民國個人資料保護法。
  • 3.2.
    中華民國個人資料保護法施行細則。
  • 3.3.
    BS10012:2017,並參考ISO 27701:2019。

4. 個人資料保護管理要求

  • 4.1.
    本署依個人資料保護法及個人資料保護法施行細則之要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
  • 4.2.
    本署為管理個人資料之需求,建立管理組織,制訂、推動、實施個人資料保護管理。
  • 4.3.
    保護本署個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
  • 4.4.
    提升同仁個人資料保護與管理能力,每年定期辦理個人資料保護宣導教育訓練,以降低營運風險並創造可信賴之個人資料保護及隱私環境。
  • 4.5.
    本署依相關法律要求及規定,克盡個人資料保護之責任,並且維護及落實個人資料管理制度。
  • 4.6.
    依適用的法律、規定、契約及或專業責任,以及個人及其他主要利害關係人的利益,適時改進個人資料管理制度。
  • 4.7.
    每年定期針對個人資料之作業流程進行風險評鑑,鑑別可承受之風險等級,並針對不可接受之風險進行風險處理。
  • 4.8.
    每年定期執行本署個人資料管理制度內部稽核,以確保相關之個人資料保護管理措施或規範符合現行法令之要求。
  • 4.9.
    依個人資料保護法,考量資通系統蒐集個資之必要性(個資蒐集最小化),非必要資料將予以移除,機敏個資進行去識別化,及區分瀏覽個資之權限(分權瀏覽)。

5. 個人資料保護原則

  • 5.1.
    公平及合法及透明的處理。
  • 5.2.
    僅為了特定、合法的目的取得。
  • 5.3.
    適當、相關及有限制,以符合資料在有限範圍內蒐集、處理及利用原則。
  • 5.4.
    維持個人資料正確性並適時更新,避免超過法律、本署規範要求之應刪除或修正時限。
  • 5.5.
    以法律、本署規範允許的方式作儲存,並且不可超過規定、利用目的必要之時間。
  • 5.6.
    以技術和組織管理需求的量測方式確保個人資料適當的安全、誠信及隱私。
  • 5.7.
    不將資料傳輸到法令所不允許及沒有足夠保護的國家。

6. 政策內容

  • 6.1.
    本署只基於法律規範要求及合法之目的,且在確實必要範圍內使用個人資訊。
    • 6.1.1.
      本署因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個人資料,應遵循我國個人資料保護法等法令。
    • 6.1.2.
      不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
    • 6.1.3.
      在公務活動的過程中僅於特定目的及個人資料類別內取得個人資料,並且只進行合於組織目的之蒐集、處理及利用。
    • 6.1.4.
      本署之委外受託單位或合作受託單位與本署業務合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
    • 6.1.5.
      僅在法律規定及本署公務活動內進行個人資料最少量之蒐集、處理及利用。
    • 6.1.6.
      本署因業務上所擁有之個人資料負有保密義務,應以內部作業流程查詢,除符合個資法第十六條及相關法令規定外,本署不得對第三人提供當事人個人資料:
  • 6.2.
    本署僅使用目的所需之最低限度的個人資訊
    • 6.2.1.
      僅蒐集最少量的個人資料,不處理過多的個人資料,且依原蒐集之特定目的使用個人資料,若遇特定目的外之使用,則依據6.1.6辦理。
      • 6.1.6.1.
        司法機關、監察機關、檢察機關、調查機關或警政機關因偵查犯罪或調查證據所需者。
      • 6.1.6.2.
        其他政府機關因執行公權力並有正當理由所需者。
      • 6.1.6.3.
        與公眾生命安全有關之機關(構)為緊急救助所需者。
  • 6.3.
    將如何使用個人資訊及處理者資訊,清楚提供給當事人(包含孩童)。
    • 6.3.1.
      對於個人資料之保護,將明確告知並設置諮詢管道,提供當事人有關個人資料將如何被使用及被誰利用的清楚資訊。
    • 6.3.2.
      為保持個人資料正確性,依作業性質及個人資料主體之請求,予以保持最新,確保當事人權利。
  • 6.4.
    在直接蒐集(兒童)個人資訊時,應有安全防護措施。
  • 6.5.
    公平且合法的使用處理個人資訊。
    • 6.5.1.
      本著合法、公平、公正、公開的合理處置原則,進行蒐集、處理及利用必要之個人資料,且建立相關管理制度合理地處理所取得之個人資料。
  • 6.6.
    應維持一份列有本署所使用之個人資料類別的文件化清單。
  • 6.7.
    維持正確的個人資訊,在必要時保持更新。
  • 6.8.
    對於所取得之個人資料,應建立個人資料檔案清冊並適當維護相關內容。
  • 6.9.
    只有在基於法律或法規的要求或合法的組織目的時留存個人資訊,且確保及時與適當的處置。
    • 6.9.1.
      個人資料保存期限,僅在合乎法律或組織規範、利用目的內進行。
  • 6.10.
    尊重自然人對其個人資訊的權利。
    • 6.10.1.
      當本署應依個資法、國際標準BS10012:2017及本署所訂之程序,於合法、標準規範範圍內接受當事人行使請求查詢、閱覽、複製、補充、更正、傳輸電子檔、刪除、停止蒐集、處理、利用、反對特定用途、可攜帶至其他組織、限制處理及利用(發生爭議、不合法待釐清前暫時停止處理及利用)權利,並依個資法規定時限內完成辦理。
    • 6.10.2.
      尊重當事人權利,建立相關處理流程。
  • 6.11.
    保障所有個人資訊的安全。
    • 6.11.1.
      確保所有個人資料安全,建立相關安全控管措施。
    • 6.11.2.
      個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
    • 6.11.3.
      為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立安全保護機制,並定期查核。
    • 6.11.4.
      個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
    • 6.11.5.
      個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
    • 6.11.6.
      本署各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施,並依本署緊急應變通報程序辦理。
    • 6.11.7.
      本署係以嚴密之措施、政策保護當事人之個人資料,包括本署之所有教職員,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
  • 6.12.
    本署於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第十六條之規定辦理;倘有需取得當事人同意之必要者,本署應依法取得當事人之同意。
  • 6.13.
    本署所蒐集、處理之個人資料,應遵循我國個資法及本署個人資料管理制度之規範,且個人資料之使用為本署執行法定職務必要或業務所需,方可為本署承辦同仁利用。
  • 6.14.
    本署取得之個人資料,如有進行國際傳輸之必要者,謹遵個人資料保護法及相關規定且不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個人資料保護法之規定等原則辦理。如為因應國際條約或協定有特別規定或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞,本部將於符合相關法規命令限制之情況下進行國際傳輸,以維護個人資料之安全。
  • 6.15.
    本署員工若為海外其他國家人民時,仍須遵循我國個人資料保護法之規定。
  • 6.16.
    個人資料保護法所允許的各種例外狀況之適用。
    • 6.16.1.
      遵守個人資料保護相關法規,包含其他法規豁免例外應用。
    • 6.16.2.
      依據個資法第六條之規定,有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
      • 6.16.2.1.
        法律明文規定。
      • 6.16.2.2.
        公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
      • 6.16.2.3.
        當事人自行公開或其他已合法公開之個人資料。
      • 6.16.2.4.
        公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
      • 6.16.2.5.
        為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
      • 6.16.2.6.
        經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
    • 6.16.3.
      依據個資法第十六條之規定,本署對個人資料之利用,除個資法第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
      • 6.16.3.1.
        法律明文規定。
      • 6.16.3.2.
        為維護國家安全或增進公共利益所必要。
      • 6.16.3.3.
        為免除當事人之生命、身體、自由或財產上之危險。
      • 6.16.3.4.
        為防止他人權益之重大危害。
      • 6.16.3.5.
        公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
      • 6.16.3.6.
        有利於當事人權益。
      • 6.16.3.7.
        經當事人同意。
    • 6.17.
      發展並實施個人資料管理系統以落實PIMS政策。
      • 6.17.1.
        本署應建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體員工及委外受託單位應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
      • 6.17.2.
        持續發展及實施個人資料保護管理工作,以確保政策得以落實。
    • 6.18.
      識別內部及外部的利害關係者,並確認該關係者所涉及組織PIMS治理程度。
      • 6.18.1.
        適當鑑別並諮詢利害關係人,以增加利害關係人的參與程度。
      • 6.18.2.
        利害關係人之參與及期許。
      • 6.18.3.
        為確保本署矯正預防措施之有效運作,應落實管理審查機制,本署每年至少召開一次管理審查會議。
  • 6.19.
    識別對PIMS有特定職責且承擔責任之人員。
    • 6.19.1.
      為有效執行個人資料保護與管理各項工作,已成立風控小組,確保本署內所有成員之個人資料管理與保護之責任與義務,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並遵循法令法規及持續有效地落實個人資料保護最佳實務。
    • 6.19.2.
      確認相關人員在個人資料管理制度內之職責及責任。
  • 6.20.
    維持個人資訊處理使用之紀錄。

7. 鑑別組織內外部環境

  • 為提供本署於推動個人資料保護規範時,須全面了解本署內外部環境議題及利害關係者之需要與期望,個資保護執行分組應鑑別使命、核心價值(價值觀)、願景及營運目標,並記載於「IMS-2-002-01組織全景評鑑表」中,並呈請資料保護長簽署及公告周知內部人員。

8. 政策之評估與審查

  • 8.1.
    本政策每年至少評估及檢討一次,以反映本署個人資料保護需求、政府法令法規、技術及國際標準要求等最新發展現況,確保個人資料管理實務作業之時效性。
  • 8.2.
    本政策如遇時勢變遷或法令修正等事由,應予以適當審查及修訂,以確保其適當性與有效性。

9. 公告與實施

  • 9.1.
    本政策應經由公告程序,使人員了解個人資料保護政策相關規定,俾利其於公告後遵循與遵守。
  • 9.2.
    本政策經行政小組修訂後,送呈召集人審查、核可後,以書面、傳真、電子郵件或其他適當方式通知本署所屬員工,並以適當方式周知本署業務往來及契約關係之受託單位,以利共同遵守,修正時亦同。

個人資料保護政策,版次1.3,發行日期112/12/21。

Back
點閱人數: