一、臺北自來水事業處(以下簡稱本處)為落實個人資料(以下簡稱個資
)蒐集、處理或利用法令、促進個資合理利用,特依個人資料保護法
、自來水事業個人資料檔案安全維護計畫標準辦法,訂定本要點(以
下簡稱本要點)。
|
二、本要點適用於本處及受本處委託或與本處共同蒐集、處理或利用個資
之其他公務機關或非公務機關。但本要點或其他法令另有規定者,從
其規定。
|
三、本處為落實個資之保護及管理得指派個資管理代表,並成立資訊業務
與個資保護推動委員會(以下簡稱本委員會)負責研定個資保護管理
政策、督導個資檔案安全維護計畫相關程序之規劃、訂定、執行及修
訂等事項。
本委員會由個資管理代表擔任主任委員,本處資訊室擔任幕僚單位。
|
四、本處應依本要點訂定個資檔案安全維護計畫,以落實個資檔案之安全
維護及管理,防止個資被竊取、竄改、毀損、滅失或洩漏。
個資檔案安全維護計畫應包括下列事項:
(一)以合理安全之方式,於特定目的範圍內,蒐集、處理及利用個
資。
(二)以可期待之合理安全水準技術保護所蒐集、處理、利用之個資
檔案。
(三)設置聯絡窗口,供個資當事人行使其個資相關權利或提出相關
申訴與諮詢。
(四)規劃緊急應變程序,以處理個資被竊取、竄改、毀損、滅失或
洩漏等事故。
(五)如委託蒐集、處理及利用個資者,應妥善監督受託人。
(六)持續維運本計畫之義務,以確保個資檔案之安全。
|
五、本處各單位(以下簡稱各單位)蒐集個資以執行法定職務或屬契約關
係之必要範圍為原則,且利用個資原則上應與蒐集目的相符。
|
六、各單位為落實向當事人蒐集個資時之告知義務,得以言詞、書面、電
話、簡訊、電子郵件、本處網站、傳真、電子文件、於明顯或適當處
所之公告或其他足以使當事人知悉或可得知悉之方式為之。
|
七、各單位蒐集、處理或利用個人資料之特定目的有新增或變更者,應於
本處網站辦理更新。
|
八、各單位除經當事人書面同意外,不得蒐集、處理或利用本處員工之健
康檢查個資。
|
九、當事人就本處所蒐集之個資請求查詢、閱覽、製給複本時,本處原則
應於十五日內為准駁之決定。
當事人就本處所蒐集之個人資料請求補充、更正、停止處理、停止利
用及刪除時,本處原則應於三十日內為准駁之決定。
關於前二項規定,本處得酌收必要成本費用。
|
十、各單位應確保本處員工或用戶個資之正確性,於受理資料更新前應予
以核對,於確認無誤後再進行資料更新。
|
十一、各單位於所保有個資之特定目的消失或期限屆滿時,經評估對整體
系統及服務無保存必要時,應辦理銷毀。
|
十二、各單位應每年清查所保有之個資、建立清冊,分析風險並依風險分
析結果,訂定適當管控措施。
|
十三、各單位為因應其保有之個人資料被竊取、竄改、毀損、滅失或洩漏
等事故,應於事故發生後採取適當之應變措施,查明事故之狀況並
適時通知當事人。
個資事故如有危及本處正常營運或大量當事人之權益時,事故責任
單位應自發現事故起七十二小時內,依附表格式,以電子郵件方式
通報臺北市政府(以下簡稱本府)及副知經濟部。
|
十四、各單位就所屬人員應採取下列管理措施:
(一)資訊系統存取權限應以作業所需之最小權限為原則,新進或
職務異動人員應視業務需求或所屬執掌進行申請。
(二)避免使用共用帳號,如需使用共用帳號,須具正當理由並經
權責單位主管核准。
(三)人員報到時,應使其充分瞭解資通安全之工作責任與要求,
並簽署「員工保密切結書」。
|
十五、各單位應採取下列個資管理措施:
(一)運用電腦及相關設備處理個資時,不得將其儲存於可攜式儲
存媒體。
(二)保有之個資,如有加密或遮蔽之必要,應於蒐集、處理或利
用時採取適當之加密或遮蔽機制。
(三)傳輸個資時,應確認資料收受者之正確性。
(四)有備份個資之必要時,應比照原本,依本法規定予以保護。
(五)報廢之伺服器、個人電腦、儲存設備於廢棄、捐贈或轉作其
他用途時,應將資料儲存媒體進行格式化或銷毀,並應留存
紀錄。
(六)妥善保存認證機制及加密機制中所運用之密碼,如有交付他
人之必要,亦應妥善為之。
|
十六、各單位應採取下列設備安全管理措施:
(一)存放個資實體檔案之專門區域,原則應設置錄影監視系統、
門禁系統等設施,以管制進出使用及防止資料外洩遺失。
(二)電腦機房應設置錄影監視及門禁系統。錄影監視紀錄應至少
保存一個月。
|
十七、本處應採取適當之技術管理措施以規範各單位利用電腦或相關設備
蒐集、處理或利用個資。
|
十八、本處原則應每二年併同資安課程對所屬人員辦理個資教育訓練,並
適時實施宣導,使其明瞭個資保護相關法令及本處有關個資保護之
措施。
|
十九、本處為落實個資檔案安全維護計畫,各單位每年應辦理一次自主查
核,由資訊室、企劃科及政風室進行稽核,若發生未落實執行時,
各單位應研擬矯正措施及採取實際作為,並提送本委員會備查。
|
二十、各單位執行個資檔案安全維護計畫時,應保存下列紀錄:
(一)個資使用紀錄、留存自動化機器設備之軌跡資料之紀錄或相
關證據保存紀錄。
(二)檢視個資正確性及更正之紀錄。
(三)提供當事人行使權利之紀錄。
(四)個資刪除、廢棄之紀錄。
(五)存取個資系統之紀錄。
(六)備份及還原測試之紀錄。
(七)所屬人員權限新增、變動及刪除之紀錄。
(八)所屬人員違反權限行為之紀錄。
(九)因應事故發生所採取行為之紀錄。
(十)定期檢查處理個資之資訊系統之紀錄。
(十一)教育訓練之紀錄。
(十二)本計畫稽核及改善程序執行之紀錄。
|
二十一、本處因執行法定職務之需要或與臺北市政府所屬機關(以下簡稱
本府其他機關)共同執行法定職務、協助本府其他機關執行法定
職務,經資料需求單位簽會本府法務局並簽報本府同意後,本處
得將所蒐集之個資予以適當遮蔽後提供予各該本府其他機關或請
各該本府其他機關將所蒐集之個資提供予本處。
|