殯葬服務業應確認蒐集個人資料之特定目的,依特定目的之必要性,界定
所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資
料現況。
殯葬服務業經清查發現有非屬特定目的必要範圍內之個人資料或特定目的
消失、期限屆滿而無保存必要者,應予刪除、銷毀或其他停止蒐集、處理
或利用等適當之處置,並留存相關紀錄至少五年。
殯葬服務業使用資通訊系統蒐集、處理或利用個人資料達一萬筆以上者,
應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施,應定期演練及檢討改善。
〔立法理由〕 一、為規範明確並利後續查考,第二項增列紀錄留存年限規定。
二、鑑於殯葬服務業使用資通訊系統蒐集、處理或利用個人資料筆數達一
定規模者,其使用者個人資料於使用資通訊服務時被竊取、洩漏、竄
改或其他侵害事故發生,影響層面較廣,並考量殯葬服務業規模大小
,使用資通訊系統蒐集、處理或利用個人資料達一萬筆以上者,應採
取資訊安全措施,爰增訂第三項之資料安全管理措施規定,以落實保
護個人資料。
三、參酌私立骨灰(骸)存放設施已使用量及生前殯葬服務契約業者簽訂
數量,故第三項以業者管理一萬筆以上個人資料為適用對象為宜。
四、隨網路科技之進步,恐有個人資料遭外部網路入侵或非法或異常使用
行為損害情形,爰增訂第四項規定,針對第三項第五款及第六款所定
措施,定明殯葬服務業應定期進 行演練及檢討改善。
|
殯葬服務業為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
(以下簡稱個人資料事故),應訂定下列應變、通報及預防機制:
一、個人資料事故發生後應採取之各類措施,包括:
(一)控制當事人損害之方式。
(二)查明個人資料事故後通知當事人之適當方式。
(三)應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後,其矯正預防措施之研議機制。
殯葬服務業遇有達一千筆以上之個人資料事故時,應於發現後七十二小時
內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人
資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是
否於發現個人資料外洩後立即通報等事項,以書面通報直轄市、縣(市)
主管機關,並副知中央主管機關(書面通報格式如附件)。
直轄市、縣(市)主管機關對於重大個人資料事故,得依本法第二十二條
規定對殯葬服務業之應變、通報及預防機制進行實地檢查,並視檢查結果
為後續處置。中央主管機關認有必要時,得督導直轄市、縣(市)主管機
關對於殯葬服務業之相關機制改善情形。
〔立法理由〕 一、參酌金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法
第六條及保全業個人資料檔案安全維護管理辦法第九條規定,第一項
定明殯葬服務業訂定個人資料安全事故之應變、通報及預防機制之義
務。
二、考量殯葬服務業規模大小,遇有達一千筆以上之個人資料被竊取、洩
漏、竄改或其他侵害之重大個人資料事故時,負通報義務,並依行政
院一百十年二月三日「行政機關落實個人資料保護執行聯繫會議」第
一次會議決議,定明事故通報時點及應通報事項,爰為第二項規定。
三、為調查事故發生後,是否係殯葬服務業所採取保護安全措施不足導致
,定明第三項中央及直轄市、縣(市)主管機關對於重大個人資料事
故得採取之措施及後續行政檢查規定。
|