金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法

法規資訊(體驗新版植根法律網)

法規名稱：	金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法
時間：	中華民國110年12月14日

所有條文

第一章   總則

第一條

本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之
。

第二條

本辦法所稱非公務機關，包括下列各款：
一、金融控股公司。
二、銀行業。
三、證券業。
四、期貨業。
五、保險業。
六、電子支付機構。
七、其他經金融監督管理委員會（以下簡稱本會）公告之金融服務業。
八、本會主管之財團法人。
前項第一款所稱金融控股公司，依金融控股公司法第四條第一項第二款規
定。
第一項第二款至第五款所稱銀行業、證券業、期貨業及保險業之範圍，依
金融監督管理委員會組織法第二條第三項規定。但不包括依信用合作社法
第十條規定組織之全國性信用合作社聯合社。
第一項第六款所稱電子支付機構，依電子支付機構管理條例第三條第一款
規定。
第一項第八款所稱本會主管之財團法人，指本會成立前經財政部與其所屬
機關許可設立隨業務移撥本會及本會許可設立之財團法人。

〔立法理由〕

一、配合電子支付機構管理條例修正整合電子支付帳戶及電子票證，納入
    電子票證發行機構之管理規範，原電子票證發行機構於該條例修正施
    行後，亦視為電子支付機構，且依該條例第五十八條第一項及第二項
    規定，該條例一百零九年十二月二十五日修正之條文施行前，經主管
    機關許可之電子票證發行機構，視為已取得第十一條第一項之許可，
    而電子票證發行機構如有不符合該條例規定者，應於該條例修正施行
    之日起六個月內調整，爰刪除第一項第六款及第四項關於電子票證業
    之規定。
二、第一項第七款至第九款配合遞移為第六款至第八款。
三、第五項配合遞移至第四項，並酌作文字修正。
四、「金融監督管理委員會主管財團法人監督管理要點」業於一百零九年
    八月二十一日廢止，為免未來適用對象產生疑義，爰參考上開要點第
    二點第一項規定，修正第六項明定本會主管財團法人之範圍，並配合
    遞移至第五項。

第二章   個人資料保護之規劃

第三條

非公務機關應依其業務規模及特性，衡酌經營資源之合理分配，配置管理
之人員及相當資源，以規劃、訂定、修正與執行其個人資料檔案安全維護
計畫及業務終止後個人資料處理方法（以下簡稱本計畫及處理方法）。
本計畫及處理方法之訂定或修正，應經非公務機關董（理）事會、常務董
（理）事會決議或經其授權之經理部門核定。但非公務機關為外國在臺分
行、分公司，或未設董（理）事會者，應經其負責人簽署。

第四條

非公務機關應依個人資料保護相關法令，定期查核確認所保有之個人資料
現況，界定其納入本計畫及處理方法之範圍。

第五條

非公務機關應依前條界定之個人資料範圍及其業務涉及個人資料蒐集、處
理、利用之流程，評估可能產生之個人資料風險，並根據風險評估之結果
，訂定適當之管理機制。

第六條

非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
（以下簡稱事故），應訂定下列應變、通報及預防機制：
一、事故發生後應採取之各類措施，包括：
    （一）控制當事人損害之方式。
    （二）查明事故後通知當事人之適當方式。
    （三）應通知當事人事故事實、所為因應措施及諮詢服務專線等內容
          。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後，其矯正預防措施之研議機制。
非公務機關遇有重大個人資料事故者，應依附件格式於七十二小時內通報
本會。但於其他法令另有規定時，並應依各該法令之規定辦理。依前項第
三款所研議之矯正預防措施，並應經公正、獨立且取得相關公認認證資格
之專家，進行整體診斷及檢視。
前項所稱重大個人資料事故，係指個人資料遭竊取、竄改、毀損、滅失或
洩漏，將危及非公務機關正常營運或大量當事人權益之情形。
本會接受非公務機關依第二項通報後，得依本法第二十二條至第二十五條
等規定，為適當之監督管理措施。

〔立法理由〕

一、行政院為強化各部會依個人資料保護法（以下簡稱個資法）第二十七
    條第三項授權所定主管之非公務機關個人資料檔案安全維護辦法（以
    下簡稱安維辦法），並建立院層級個資外洩聯繫機制，召開會議研商
    ，並於一百十年八月十一日訂定發布「行政院及所屬各機關落實個人
    資料保護聯繫作業要點」（以下簡稱行政院個資保護聯繫作業要點）
    。為使中央目的事業主管機關及時掌握所轄非公務機關資料外洩情形
    ，依一百十年二月三日會議決議，安維辦法中有關通報事項應包括非
    公務機關應於發現個資外洩後七十二小時內通報；復依行政院個資保
    護聯繫作業要點第六點規定，中央目的事業主管機關接受通報後，應
    於七十二小時內，通報國家發展委員會。
二、目前金融監督管理委員會（以下簡稱本會）重大偶發或重大異常事件
    通報規定，要求業者應儘速通報本會；對於重大個人資料事故，現行
    條文第二項亦明定非公務機關應即通報本會。為配合行政院對安維辦
    法一致性規定之要求，爰於第二項增訂非公務機關遇有重大個人資料
    事故者，應依附件格式於七十二小時內通報本會。但於其他法令另有
    規定時（如金融機構通報重大偶發事件之範圍申報程序及其他應遵循
    事項等），除依附件格式七十二小時內通報本會外，同時應依各該法
    令之規定辦理。
三、增訂第四項，明定本會接受非公務機關通報重大個人資料外洩事故後
    ，得依個人資料保護法第二十二條至第二十五條等規定，為適當之監
    督管理措施，如派員檢查、沒入或命銷毀違法蒐集之個人資料、公布
    非公務機關之違法情形及其名稱與負責人姓名等。

附件

第七條

非公務機關應定期對所屬人員，施以個人資料保護認知宣導及教育訓練，
使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人資料保護事項
之機制、程序及措施。

第三章   個人資料之管理程序及措施

第八條

非公務機關應就下列事項，訂定個人資料之管理程序：
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者，
    檢視其特定目的及是否符合相關法令之要件；其經當事人書面同意者
    ，並應確保符合本法第六條第二項準用第七條第一項、第二項及第四
    項之規定。
二、檢視個人資料之蒐集、處理，是否符合免為告知之事由，及告知之內
    容、方式是否合法妥適。
三、檢視一般個人資料之蒐集、處理，是否符合本法第十九條規定，具有
    特定目的及法定情形；其經當事人同意者，並應確保符合本法第七條
    之規定。
四、檢視一般個人資料之利用，是否符合本法第二十條規定蒐集之特定目
    的必要範圍；其為特定目的外之利用者，檢視是否符合法定情形，經
    當事人同意者，並應確保符合本法第七條之規定。
五、利用個人資料為行銷，當事人表示拒絕行銷者，立即停止利用其個人
    資料行銷，並至少於首次行銷時，提供當事人免費表示拒絕接受行銷
    之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時，對受託人依本
    法施行細則第八條規定為適當之監督，並於委託契約或相關文件中，
    明確約定其內容。
七、進行個人資料國際傳輸前，檢視是否受本會限制並遵循之。
八、當事人行使本法第三條所定權利之相關事項：
    （一）當事人身分之確認。
    （二）提供當事人行使權利之方式，並告知所需支付之費用，及應釋
          明之事項。
    （三）對當事人請求之審查方式，並遵守本法有關處理期限之規定。
    （四）有本法所定得拒絕當事人行使權利之事由者，其理由記載及通
          知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確；其有不正確或正
    確性有爭議者，應依本法第十一條第一項、第二項及第五項規定辦理
    。
十、檢視所保有個人資料之特定目的是否消失，或期限是否屆滿；其特定
    目的消失或期限屆滿者，應依本法第十一條第三項規定刪除、停止處
    理或利用。

第九條

非公務機關為維護所保有個人資料之安全，應採取下列資料安全管理措施
：
一、訂定各類設備或儲存媒體之使用規範，及報廢或轉作他用時，應採取
    防範資料洩漏之適當措施。
二、針對所保有之個人資料內容，有加密之需要者，於蒐集、處理或利用
    時，採取適當之加密措施。
三、作業過程有備份個人資料之需要時，對備份資料予以適當保護。

第十條

非公務機關提供電子商務服務系統，應採取下列資訊安全措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、應用系統於開發、上線、維護等各階段軟體驗證與確認程序。
五、個人資料檔案及資料庫之存取控制與保護監控措施。
六、防止外部網路入侵對策。
七、非法或異常使用行為之監控與因應機制。
前項所稱電子商務，係指透過網際網路進行有關商品或服務之廣告、行銷
、供應、訂購或遞送等各項商業交易活動。
第一項第六款、第七款所定措施，應定期演練及檢討改善。

第十一條

非公務機關保有之個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、
積體電路晶片、電腦、自動化機器設備或其他媒介物者，應採取下列設備
安全管理措施：
一、實施適宜之存取管制。
二、訂定妥善保管媒介物之方式。
三、依媒介物之特性及其環境，建置適當之保護設備或技術。

第十二條

非公務機關為維護所保有個人資料之安全，應依執行業務之必要，設定相
關人員接觸個人資料之權限及控管其接觸情形，並與所屬人員約定保密義
務。

第四章   個人資料之安全稽核、紀錄保存及持續改善機制

第十三條

非公務機關為確保本計畫及處理方法之落實，應依其業務規模及特性，衡
酌經營資源之合理分配，訂定適當之個人資料安全稽核機制；其依法令規
定應建立內部控制及稽核制度者，並應將相關機制列入內部控制及稽核項
目。

第十四條

非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措
施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。
非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個
人資料後，應留存下列紀錄：
一、刪除、停止處理或利用之方法、時間。
二、將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原因
    、對象、方法、時間，及該對象蒐集、處理或利用之合法依據。
前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定
或契約另有約定者，不在此限。

第十五條

非公務機關為持續改善個人資料安全維護，其所屬個人資料管理單位或人
員，應定期提出相關自我評估報告，並訂定下列機制：
一、檢視、修訂本計畫及處理方法等相關個人資料保護事項。
二、針對評估報告中有違反法令之虞者，規劃、執行改善及預防措施。
前項自我評估報告，應經非公務機關董（理）事會、常務董（理）事會決
議或經其授權之經理部門核定。但非公務機關為外國在臺分行、分公司，
或未設董（理）事會者，應經其負責人簽署。

第五章   附則

第十六條

本辦法自發布日施行。