本辦法所稱非公務機關,包括下列各款:
一、金融控股公司。
二、銀行業。
三、證券業。
四、期貨業。
五、保險業。
六、電子支付機構。
七、其他經金融監督管理委員會(以下簡稱本會)公告之金融服務業。
八、本會主管之財團法人。
前項第一款所稱金融控股公司,依金融控股公司法第四條第一項第二款規
定。
第一項第二款至第五款所稱銀行業、證券業、期貨業及保險業之範圍,依
金融監督管理委員會組織法第二條第三項規定。但不包括依信用合作社法
第十條規定組織之全國性信用合作社聯合社。
第一項第六款所稱電子支付機構,依電子支付機構管理條例第三條第一款
規定。
第一項第八款所稱本會主管之財團法人,指本會成立前經財政部與其所屬
機關許可設立隨業務移撥本會及本會許可設立之財團法人。
〔立法理由〕 一、配合電子支付機構管理條例修正整合電子支付帳戶及電子票證,納入
電子票證發行機構之管理規範,原電子票證發行機構於該條例修正施
行後,亦視為電子支付機構,且依該條例第五十八條第一項及第二項
規定,該條例一百零九年十二月二十五日修正之條文施行前,經主管
機關許可之電子票證發行機構,視為已取得第十一條第一項之許可,
而電子票證發行機構如有不符合該條例規定者,應於該條例修正施行
之日起六個月內調整,爰刪除第一項第六款及第四項關於電子票證業
之規定。
二、第一項第七款至第九款配合遞移為第六款至第八款。
三、第五項配合遞移至第四項,並酌作文字修正。
四、「金融監督管理委員會主管財團法人監督管理要點」業於一百零九年
八月二十一日廢止,為免未來適用對象產生疑義,爰參考上開要點第
二點第一項規定,修正第六項明定本會主管財團法人之範圍,並配合
遞移至第五項。
|
非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
(以下簡稱事故),應訂定下列應變、通報及預防機制:
一、事故發生後應採取之各類措施,包括:
(一)控制當事人損害之方式。
(二)查明事故後通知當事人之適當方式。
(三)應通知當事人事故事實、所為因應措施及諮詢服務專線等內容
。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後,其矯正預防措施之研議機制。
非公務機關遇有重大個人資料事故者,應依附件格式於七十二小時內通報
本會。但於其他法令另有規定時,並應依各該法令之規定辦理。依前項第
三款所研議之矯正預防措施,並應經公正、獨立且取得相關公認認證資格
之專家,進行整體診斷及檢視。
前項所稱重大個人資料事故,係指個人資料遭竊取、竄改、毀損、滅失或
洩漏,將危及非公務機關正常營運或大量當事人權益之情形。
本會接受非公務機關依第二項通報後,得依本法第二十二條至第二十五條
等規定,為適當之監督管理措施。
〔立法理由〕 一、行政院為強化各部會依個人資料保護法(以下簡稱個資法)第二十七
條第三項授權所定主管之非公務機關個人資料檔案安全維護辦法(以
下簡稱安維辦法),並建立院層級個資外洩聯繫機制,召開會議研商
,並於一百十年八月十一日訂定發布「行政院及所屬各機關落實個人
資料保護聯繫作業要點」(以下簡稱行政院個資保護聯繫作業要點)
。為使中央目的事業主管機關及時掌握所轄非公務機關資料外洩情形
,依一百十年二月三日會議決議,安維辦法中有關通報事項應包括非
公務機關應於發現個資外洩後七十二小時內通報;復依行政院個資保
護聯繫作業要點第六點規定,中央目的事業主管機關接受通報後,應
於七十二小時內,通報國家發展委員會。
二、目前金融監督管理委員會(以下簡稱本會)重大偶發或重大異常事件
通報規定,要求業者應儘速通報本會;對於重大個人資料事故,現行
條文第二項亦明定非公務機關應即通報本會。為配合行政院對安維辦
法一致性規定之要求,爰於第二項增訂非公務機關遇有重大個人資料
事故者,應依附件格式於七十二小時內通報本會。但於其他法令另有
規定時(如金融機構通報重大偶發事件之範圍申報程序及其他應遵循
事項等),除依附件格式七十二小時內通報本會外,同時應依各該法
令之規定辦理。
三、增訂第四項,明定本會接受非公務機關通報重大個人資料外洩事故後
,得依個人資料保護法第二十二條至第二十五條等規定,為適當之監
督管理措施,如派員檢查、沒入或命銷毀違法蒐集之個人資料、公布
非公務機關之違法情形及其名稱與負責人姓名等。
|