一、臺北自來水事業處（以下簡稱本處）為落實個人資料（以下簡稱個資
    ）蒐集、處理或利用法令、促進個資合理利用，特依個人資料保護法
    、自來水事業個人資料檔案安全維護計畫標準辦法，訂定本要點（以
    下簡稱本要點）。

二、本要點適用於本處及受本處委託或與本處共同蒐集、處理或利用個資
    之其他公務機關或非公務機關。但本要點或其他法令另有規定者，從
    其規定。

三、本處為落實個資之保護及管理得指派個資管理代表，並成立資訊業務
    與個資保護推動委員會（以下簡稱本委員會）負責研定個資保護管理
    政策、督導個資檔案安全維護計畫相關程序之規劃、訂定、執行及修
    訂等事項。
    本委員會由個資管理代表擔任主任委員，本處資訊室擔任幕僚單位。

四、本處應依本要點訂定個資檔案安全維護計畫，以落實個資檔案之安全
    維護及管理，防止個資被竊取、竄改、毀損、滅失或洩漏。
    個資檔案安全維護計畫應包括下列事項：
    （一）以合理安全之方式，於特定目的範圍內，蒐集、處理及利用個
          資。
    （二）以可期待之合理安全水準技術保護所蒐集、處理、利用之個資
          檔案。
    （三）設置聯絡窗口，供個資當事人行使其個資相關權利或提出相關
          申訴與諮詢。
    （四）規劃緊急應變程序，以處理個資被竊取、竄改、毀損、滅失或
          洩漏等事故。
    （五）如委託蒐集、處理及利用個資者，應妥善監督受託人。
    （六）持續維運本計畫之義務，以確保個資檔案之安全。

五、本處各單位（以下簡稱各單位）蒐集個資以執行法定職務或屬契約關
    係之必要範圍為原則，且利用個資原則上應與蒐集目的相符。

六、各單位為落實向當事人蒐集個資時之告知義務，得以言詞、書面、電
    話、簡訊、電子郵件、本處網站、傳真、電子文件、於明顯或適當處
    所之公告或其他足以使當事人知悉或可得知悉之方式為之。

七、各單位蒐集、處理或利用個人資料之特定目的有新增或變更者，應於
    本處網站辦理更新。

八、各單位除經當事人書面同意外，不得蒐集、處理或利用本處員工之健
    康檢查個資。

九、當事人就本處所蒐集之個資請求查詢、閱覽、製給複本時，本處原則
    應於十五日內為准駁之決定。
    當事人就本處所蒐集之個人資料請求補充、更正、停止處理、停止利
    用及刪除時，本處原則應於三十日內為准駁之決定。
    關於前二項規定，本處得酌收必要成本費用。

十、各單位應確保本處員工或用戶個資之正確性，於受理資料更新前應予
    以核對，於確認無誤後再進行資料更新。

十一、各單位於所保有個資之特定目的消失或期限屆滿時，經評估對整體
      系統及服務無保存必要時，應辦理銷毀。

十二、各單位應每年清查所保有之個資、建立清冊，分析風險並依風險分
      析結果，訂定適當管控措施。

十三、各單位為因應其保有之個人資料被竊取、竄改、毀損、滅失或洩漏
      等事故，應於事故發生後採取適當之應變措施，查明事故之狀況並
      適時通知當事人。
      個資事故如有危及本處正常營運或大量當事人之權益時，事故責任
      單位應自發現事故起七十二小時內，依附表格式，以電子郵件方式
      通報臺北市政府（以下簡稱本府）及副知經濟部。

十四、各單位就所屬人員應採取下列管理措施：
      （一）資訊系統存取權限應以作業所需之最小權限為原則，新進或
            職務異動人員應視業務需求或所屬執掌進行申請。
      （二）避免使用共用帳號，如需使用共用帳號，須具正當理由並經
            權責單位主管核准。
      （三）人員報到時，應使其充分瞭解資通安全之工作責任與要求，
            並簽署「員工保密切結書」。

十五、各單位應採取下列個資管理措施：
      （一）運用電腦及相關設備處理個資時，不得將其儲存於可攜式儲
            存媒體。
      （二）保有之個資，如有加密或遮蔽之必要，應於蒐集、處理或利
            用時採取適當之加密或遮蔽機制。
      （三）傳輸個資時，應確認資料收受者之正確性。
      （四）有備份個資之必要時，應比照原本，依本法規定予以保護。
      （五）報廢之伺服器、個人電腦、儲存設備於廢棄、捐贈或轉作其
            他用途時，應將資料儲存媒體進行格式化或銷毀，並應留存
            紀錄。
      （六）妥善保存認證機制及加密機制中所運用之密碼，如有交付他
            人之必要，亦應妥善為之。

十六、各單位應採取下列設備安全管理措施：
      （一）存放個資實體檔案之專門區域，原則應設置錄影監視系統、
            門禁系統等設施，以管制進出使用及防止資料外洩遺失。
      （二）電腦機房應設置錄影監視及門禁系統。錄影監視紀錄應至少
            保存一個月。

十七、本處應採取適當之技術管理措施以規範各單位利用電腦或相關設備
      蒐集、處理或利用個資。

十八、本處原則應每二年併同資安課程對所屬人員辦理個資教育訓練，並
      適時實施宣導，使其明瞭個資保護相關法令及本處有關個資保護之
      措施。

十九、本處為落實個資檔案安全維護計畫，各單位每年應辦理一次自主查
      核，由資訊室、企劃科及政風室進行稽核，若發生未落實執行時，
      各單位應研擬矯正措施及採取實際作為，並提送本委員會備查。

二十、各單位執行個資檔案安全維護計畫時，應保存下列紀錄：
      （一）個資使用紀錄、留存自動化機器設備之軌跡資料之紀錄或相
            關證據保存紀錄。
      （二）檢視個資正確性及更正之紀錄。
      （三）提供當事人行使權利之紀錄。
      （四）個資刪除、廢棄之紀錄。
      （五）存取個資系統之紀錄。
      （六）備份及還原測試之紀錄。
      （七）所屬人員權限新增、變動及刪除之紀錄。
      （八）所屬人員違反權限行為之紀錄。
      （九）因應事故發生所採取行為之紀錄。
      （十）定期檢查處理個資之資訊系統之紀錄。
      （十一）教育訓練之紀錄。
      （十二）本計畫稽核及改善程序執行之紀錄。

二十一、本處因執行法定職務之需要或與臺北市政府所屬機關（以下簡稱
        本府其他機關）共同執行法定職務、協助本府其他機關執行法定
        職務，經資料需求單位簽會本府法務局並簽報本府同意後，本處
        得將所蒐集之個資予以適當遮蔽後提供予各該本府其他機關或請
        各該本府其他機關將所蒐集之個資提供予本處。