壹、總則
|
一、法務部行政執行署花蓮分署(以下簡稱本分署)為落實個人資料之保護及管理,特設置
本分署個人資料保護管理執行小組(以下簡稱本小組),並訂定本要點。
〔立法理由〕 明定訂定本要點及設置法務部行政執行署花蓮分署個人資料保護管理執行小組之目的。
|
二、本小組之任務如下:
(一)本分署個人資料保護措施之擬議。
(二)本分署個人資料管理制度之推展。
(三)本分署個人資料隱私風險之評估及管理。
(四)本分署職員工、替代役役男及勞務委外人員之個人資料保護意識提升及教育訓練規
劃。
(五)本分署個人資料管理制度基礎設施之評估。
(六)本分署個人資料管理制度適法性與合宜性之檢視、審議及評估。
(七)其他本分署個人資料保護、管理之規劃及執行事項。
〔立法理由〕 明定執行小組之任務。
|
三、本小組置召集人及執行秘書各一人,由分署長指定之;委員由各科室主管擔任。
本小組幕僚工作併同本分署資訊安全執行小組辦理,另視情況得由本分署各科室人員參
與幕僚作業。
〔立法理由〕 鑑於公務機關在個人資料保護及管理上事權統一之重要,爰明定本小組召集人、執行秘書、
委員之組成及幕僚工作,以利有效推動個人資料保護相關事務。
|
四、本小組會議視業務推動之需要,不定期召開,由召集人主持;召集人因故不能主持會議
時,得指定委員代理之。
〔立法理由〕 明定本小組會議召開之期間及主持人。
|
五、各科室應指定專人辦理下列事項:
(一)辦理當事人依個人資料保護法(以下簡稱本法)第十條及第十一條第一項至第四項
所定請求事項之考核。
(二)辦理本法第十一條第五項及第十二條所定通知事項之考核。
(三)本法第十七條所定公開或供公眾查閱。
(四)本法第十八條所定個人資料檔案安全維護。
(五)依第二點第四款所為規劃。
(六)個人資料保護法令之諮詢。
(七)個人資料保護事項之協調聯繫。
(八)科室內個人資料損害預防及危機處理應變之通報。
(九)本分署個人資料保護政策之執行、科室內個人資料保護之自行查核。
(十)其他科室內個人資料保護管理之規劃及執行。
〔立法理由〕 為落實個人資料保護法第十七條及第十八條公務機關應公開事項及應指定專人辦理個人資料
檔案安全維護等規定,並妥適處理當事人依據本法第十條、第十一條及第十二條所定權利向
本分署提出之請求,爰規定本分署應指定專人,辦理或考核前述相關事項之執行,以確實執
行本法相關規定。
|
六、本分署應設置個人資料保護聯絡窗口,辦理下列事項:
(一)公務機關間個人資料保護業務之協調聯繫及緊急應變通報。
(二)以非自動化方式檢索、整理之個人資料安全事件之通報。
(三)重大個人資料外洩事件之民眾聯繫單一窗口。
〔立法理由〕 明定本分署應設置個人資料保護聯絡窗口及其辦理事項。
|
貳、個人資料之蒐集、處理及利用
|
七、本分署蒐集、處理或利用個人資料之特定目的,以本分署依適當方式公開者為限。有變
更者,亦同。
〔立法理由〕 明定本分署保有個人資料特定目的之項目,將依本法第十七條規定,以適當方式供公眾查閱
,並以本分署依適當方式公開者為限。其有變更者,亦同。
|
八、各科室對於個人資料之蒐集、處理或利用,應確實依本法第五條規定為之。遇有疑義者
,應提請本小組研議。
〔立法理由〕 本法第五條規定個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為
之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。各科室於執行
上有疑義者,應由專人報請本小組研議。
|
九、各科室蒐集當事人個人資料時,應明確告知當事人下列事項。但符合本法第八條第二項
規定情形之一者,不在此限:
(一)機關或單位名稱。
(二)蒐集之目的。
(三)個人資料之類別。
(四)個人資料利用之期間、地區、對象及方式。
(五)當事人依本法第三條規定得行使之權利及方式。
(六)當事人得自由選擇提供個人資料時,不提供對其權益之影響。
〔立法理由〕 為使當事人知悉其個人資料為本分署所蒐集、本分署進行蒐集之目的、資料類別、利用相關
事項及當事人所得行使之權利等,爰明定除符合本法第八條第二項規定情形外,各科室於向
當事人蒐集個人資料時,應明確告知本法第八條第一項所定六款事項。
|
十、各科室蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來
源及前條第一款至第五款所列事項。但符合本法第九條第二項規定情形之一者,不在此
限:
前項之告知,得於首次對當事人為利用時併同為之。
第一項非由當事人提供之個人資料,於本法修正施行前即已蒐集者,除有本法第九條第
二項所定免為告知之情形外,應自本法修正施行之日起一年內完成本法第九條第一項所
列事項之告知。
〔立法理由〕 一、本法第八條要求直接蒐集個人資料時,應進行告知,另針對個人資料之間接蒐集態樣,
本法第九條第一項亦要求於處理或利用前,告知當事人資料來源及其相關事項,俾使當
事人明瞭其個人資料被蒐集情形,爰於第一項明定蒐集非由當事人提供之個人資料時,
應於處理或利用前,向當事人告知個人資料來源及本點第十條第一項 (同本法第八條第
一項)第一款至第五款所列事項。
二、另依本法第九條第三項規定,針對間接蒐集個人資料之告知,得於首次對當事人為利用
時併同為之,爰明定第二項,期能確實執行。
三、又本法第五十四條規定,本法修正施行前非由當事人提供之個人資料,應自本法修正施
行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處,爰於
第三項明定本分署就本法修正前已蒐集、非由當事人提供之個人資料,應自本法修正施
行之日起一年內完成本法第九條第一項所列事項之告知。
|
十一、各科室依本法第十五條第二款及第十六條但書第七款規定經當事人書面同意者,應取
得當事人同意書。
〔立法理由〕 為符合法第十五條及第十六條對於個人資料蒐集、處理及利用之要件,爰明定應取得當事人
同意書。
|
十二、各科室依本法第十五條或第十六條規定對個人資料之蒐集、處理、利用時,應詳為審
核並簽奉核定後為之。
各科室依本法第十六條但書規定對個人資料為特定目的外之利用,應將個人資料之利
用歷程做成紀錄。
對於個人資料之利用,不得為資料庫之恣意連結,且不得濫用。
〔立法理由〕 一、各科室依本法第十五條或第十六條規定對個人資料為蒐集、處理、利用時,應詳為審核
其是否符合法定要件,爰為第一項規定。
二、各科室依本法第十六條但書規定對個人資料為特定目的外之利用,應將個人資料之利用
歷程做成紀錄,俾以管理查核,爰明定第二項。
三、總統政見執行追蹤事項之人權政策(編號 286)關於「政府資料庫不得恣意聯結、濫用
個人資料、侵害人民隱私」之執行,爰為第三項規定。
|
十三、本分署保有之個人資料有誤或缺漏時,應由資料蒐集單位簽奉核定後,移由資料保有
單位更正或補充之。
因可歸責於本分署之事由,未為更正或補充之個人資料,應於更正或補充後,由資料
蒐集單位以通知書通知曾提供利用之對象。
〔立法理由〕 一、為維護個人資料之正確,除當事人得請求本分署更正或補充外,依本法第十一條規定,
公務機關亦負有更正或補充之義務,爰於第一項之規定。
二、為符合本法第十一條第五項規定,於第三項明定於更正或補充後,應通知曾提供利用之
對象。
|
十四、本分署保有之個人資料正確性有爭議者,應由資料蒐集單位簽奉核定後,移由資料保
有單位停止處理或利用該個人資料。但符合本法第十一條第二項但書情形者,不在此
限。
〔立法理由〕 為符合本法第十一條第二項所定公務機關停止處理或利用正確性有爭議之個人資料之規定,
爰明定其處理程序。
|
十五、本分署保有個人資料蒐集之特定目的消失或期限屆滿時,應由資料蒐集單位簽奉核定
後,移由資料保有單位刪除、停止處理或利用。
但符合本法第十一條第三項但書情形者,不在此限。
〔立法理由〕 為符合本法第十一條第三項所定公務機關對於個人資料蒐集之特定目的消失或期限屆滿時,
除因執行職務所必須或經當事人書面同意者外,應刪除、停止處理或利用該個人資料之規定
,爰明定其處理程序。
|
十六、各科室依本法第十一條第四項規定刪除、停止蒐集、處理或利用個人資料者,應簽奉
核定後移由資料保有單位為之。
〔立法理由〕 為符合本法第十一條第四項所定公務機關如違反本法規定蒐集、處理或利用個人資料者,應
刪除、停止蒐集、處理或利用該個人資料之規定,爰明定其處理程序。
|
十七、本分署遇有本法第十二條所定個人資料被竊取、洩漏、竄改或其他侵害情事者,經查
明後,應由資料外洩單位以適當方式儘速通知當事人。
〔立法理由〕 為使當事人迅速知曉個人資料遭到竊取、洩漏、竄改或遭其他方式侵害,爰依本法第十二條
規定,明定本分署應於違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害時,應儘
速查明後由資料外洩單位以適當方式通知當事人。
|
參、當事人行使權利之處理
|
十八、當事人依本法第十條或第十一條第一項至第四項規定向本分署為請求時,應填具申請
書,並檢附相關證明文件。
前項書件內容,如有遺漏或欠缺,應通知限期補正。
申請案件有下列情形之一者,應以書面駁回其申請:
(一)申請書件內容有遺漏或欠缺,經通知限期補正,逾期仍未補正。
(二)有本法第十條但書各款情形之一。
(三)有本法第十一條第二項但書或第三項但書所定情形之一。
(四)與法令規定不符。
〔立法理由〕 一、依據本法第十條及第十一條第一項至第四項規定,當事人就公務機關蒐集之個人資料,
得向公務機關請求答覆查詢、提供閱覽、製給複製本、更正、補充、停止蒐集、處理、
利用或刪除。為期明確申請程序,爰於第一項規定當事人向本分署行使本法上開規定權
利時,應填具申請書,並檢附應備文件為之。
二、當事人之申請書件內容如有遺漏或欠缺時,應先通知限期補正,不宜逕予駁回,爰明定
第二項規定。
三、針對當事人所得行使之權利,本法第十條及第十一條第二項、第三項亦分別定有相關除
外規定,爰於第三項規定凡有本法第十條但書各款情形之一或有本法第十一條第二項但
書或第三項但書情形者,本分署應以書面駁回其申請。此外,當事人申請書件內容有遺
漏或欠缺,經通知補正逾期未補正,或有其他與法令規定不符之情形者,亦應駁回當事
人之申請。
|
十九、當事人依本法第十條規定提出之請求,應於十五日內為准駁之決定。
前項准駁決定期間,必要時得予延長,延長期間不得逾十五日,並應將其原因以書面
通知請求人。
當事人閱覽其個人資料,應由承辦科室派員陪同為之。
〔立法理由〕 一、為明確當事人依本法第十條規定,針對本分署蒐集之個人資料所提出之請求查詢、提供
閱覽或製給複製本之處理時程,爰依本法第十三條第一項前段規定,於第一項規定凡受
理當事人依本法第十條規定提出之請求時,由各承辦科室簽報主管,並於十五日內為准
駁之決定。另依本法第十三條第一項後段規定,於第二項明定得予延長准駁期間及應將
原因通知請求人之規定。
二、為確保本分署保有個人資料之安全與完整性,爰於第三項規定當事人應由承辦科室派員
陪同,始得閱覽其個人資料。
|
二十、當事人請求查詢、閱覽或製給個人資料複製本者,準用「法務部及所屬機關提供政府
資訊收費標準」收取費用。
〔立法理由〕 對於當事人查詢或閱覽個人資料或製給個人資料複製本之請求,依本法第十四條規定得酌收
必要成本費用,爰予明定。
|
二十一、當事人依本法第十一條第一項至第四項規定提出之請求,應於三十日內為准駁之決
定。
前項准駁決定期間,必要時得予延長,延長期間不得逾三十日,並應將其原因以書
面通知請求人。
〔立法理由〕 一、為明確當事人依本法第十一條第一項至第四項規定,向本分署提出之請求更正、補充、
停止處理、停止利用或刪除個人資料之處理時程,爰依本法第十三條第二項前段規定,
於第一項明定受理當事人依本法第十一條第一項至第四項規定提出之請求時,應於三十
日內為准駁之決定。
二、另依本法第十三條第二項後段規定,於第二項明定得予延長准駁期間及應將原因通知請
求人之規定。
|
二十二、本分署保有之個人資料檔案之公開,仍適用政府資訊公開法或其他法律規定。
〔立法理由〕 考量本分署保有之個人資料檔案,可能屬於政府資訊公開法第十八條第一項第一款至第九款
或依其他法律規定應限制公開或不予提供之資訊,爰明定個人資料檔案之公開,仍適用政府
資訊公開法或相關法律規定
|
肆、個人資料檔案安全維護
|
二十三、為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本分署指定之個人資料檔案安
全維護專人,應依本要點及相關法令規定辦理個人資料檔案安全維護事項。
〔立法理由〕 為符合本法第十八條規定之要求,爰明定本分署指定之個人資料檔案安全維護專人,應依本
要點及相關法令規定,辦理個人資料檔案安全維護事項。
|
二十四、為強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱
私性,得建立個人資料檔案安全稽核制度,由資訊安全執行小組不定期查考。
前項個人資料檔案資訊系統之帳號、密碼、權限管理及存取紀錄等相關管理事宜,
依「法務部及所屬機關資訊系統存取控制管理規範」辦理之。
〔立法理由〕 一、本分署現行依「法務部及所屬機關資訊安全稽核作業管理規範」理資安稽核有關之業務
。
二、為避免儲有個人資料檔案之資訊系統,遭非法授權存取,本分署應強化個人資料檔案資
訊系統之存取安全,以妥適維護資料機密性。並為明確、落實資訊系統之安全維護,明
定應依「法務部及所屬機關資訊系統存取控制管理規範」 (民國九十九年一月二十六日
發布)為之。
|
二十五、各科室遇有個人資料檔案發生遭人惡意破壞毀損、作業不慎等危安事件,或有駭客
攻擊等非法入侵情事,如屬以非自動化方式檢索、整理之個人資料外洩事件,應進
行緊急因應措施,並迅速通報至本小組;如屬以自動化機器檢索、整理之個人資料
外洩事件,應依「法務部及所屬機關資通安全事件緊急應變計畫」迅速通報至法務
部資通安全處理小組之資安聯絡人員上網通報至行政院國家資通安全會報緊急應變
中心。
〔立法理由〕 鑑於行政院國家資通安全會報針對重大資安事件之處置,訂有「國家資通安全通報應變作業
綱要」,法務部亦依該綱要,訂有「法務部及所屬機關資通安全事件緊急應變計畫」,爰明
定個人資料檔案,發生遭人為惡意破壞毀損、作業不慎等重大內部危安事件,或發生駭客攻
擊等非法外力入侵事件,如屬以非自動化方式檢索、整理之個人資料外洩事件,應進行緊急
因應措施,並迅速通報至本小組;如屬以自動化機器檢索、整理之個人資料外洩事件,依該
前述應變計畫,應進行緊急應變處置並迅速通報至法務部資通安全處理小組之資安聯絡人員
(由法務部資訊處指派專人擔任 )上網通報至行政院國家資通安全會報緊急應變中心。
|
二十六、個人資料檔案安全維護工作,除本要點外,並應符合行政院、法務部及本分署訂定
之相關資訊作業安全與機密維護規範。
〔立法理由〕 針對個人資料檔案之安全維護,行政院已訂有「行政院及所屬各機關資訊安全管理規範」與
「行政院及所屬各機關資訊安全管理要點」,法務部及本分署亦訂有相關規定,爰規定本分
署就個人資料檔案之安全維護,除本要點外,尚應符合相關規範。
|
伍、附則
|
二十七、本分署依本法第四條規定委託蒐集、處理或利用個人資料者,適用本要點。
〔立法理由〕 依本法第四條規定,受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適
用範圍內,視同委託機關,爰明定受本分署委託蒐集、處理或利用個人資料者,適用本要點
規定。
|