第一章 目的
|
一、經濟部中小及新創企業署(以下簡稱本署)為規範中小企業融資服務
平台介接公務及非公務機關電子資料之蒐集、使用、管理及安全維護
符合個人資料保護法、稅捐稽徵法、營業秘密法等相關法令規定,避
免資料不當使用或外洩情事發生,特訂定本規範。
|
第二章 用詞定義及相關事項
|
二、用詞定義
(一)介接機關:指提供中小企業融資服務平台電子資料之公務及非
公務機關。
(二)介接資料:指介接機關提供中小企業融資服務平台之電子資料
,區分如下:
1.原始資料:指得以識別特定當事人之資料。
2.加值資料:指原始資料經處理後或其揭露方式無從識別特定
當事人或不易與其他資料結合為得以識別特定當事人之資料
。
3.沙盒伺服器資料:指儲存於受本署控管之主機環境中之加值
資料。
(三)介接資料管理單位:指本署及財團法人金融聯合徵信中心(以
下簡稱聯徵中心)。
(四)介接資料使用單位,包括下列第一類至第四類使用單位:
1.第一類使用單位:指經介接機關同意,並經本署授權使用介
接資料之聯徵中心會員機構。
2.第二類使用單位:指辦理本署委託中小企業發展條例所定輔
導業務,經介接機關同意並經本署授權使用介接資料之單位
。
3.第三類使用單位:指其他經介接機關同意,並經本署授權使
用介接資料之單位。
4.第四類使用單位:指依法辦理公司、有限合夥、商業或稅籍
登記之營利事業。
(五)資料使用者:指第一類至第三類使用單位主管或第四類使用單
位負責人指定辦理介接資料查詢業務者。
|
三、介接資料管理單位權責
(一)本署:
1.負責管理第二類至第四類使用單位之連線作業及資料交換之
相關軟硬體設備建置、管理及維護,並得就第二類至第四類
使用單位資格、審核方式及其他應遵行事項另訂之。
2.本署得於執行特定職務必要範圍內,於取具企業代表人或其
負責人之授權下,查調企業、其負責人之介接資料。
(二)聯徵中心:負責第一類使用單位之連線作業及資料交換之相關
軟硬體設備建置、管理及維護。
|
四、介接資料之取用限制及種類
(一)介接資料之取用限制:第一類使用單位得取用原始資料;第二
類及第三類使用單位,除另有規定或經本署同意外,僅得取用
加值資料;第四類使用單位僅得取用其原始資料。
(二)介接資料種類如下:
1.財政部財政資訊中心九十八年二月二十七日台財稅字第0九
八0四00一六一0號函核定之各項經加值運算之財務比率
五十項及比對發票驗證結果,及一百零六年十二月七日資國
字第一0六000三六三七號函、一百零九年四月一日資電
字第一0九000一四三五號函及一百一十二年三月十五日
臺稅稽徵字第一一二00五四二九一0號函核定之查調項目
。
2.經濟部商業發展署核定之公司登記相關資料。
3.經濟部產業發展署核定之工廠登記相關資料。
4.台灣電力股份有限公司提供之企業用電及欠費等相關資料。
5.台灣自來水股份有限公司、臺北自來水事業處提供之企業用
水及繳費等相關資料。
6.勞動郭耙工保險局核定之投保人數及欠費等相關資料。
7.其他介接機關提供之介接資料。
|
第三章 第一類至第三類使用單位取得授權方式、流程及善良管理人注意義務
|
五、第一類至第三類使用單位為融資授信目的、資金媒合目的或辦理中小
企業發展條例所定輔導業務,於執行特定職務必要範圍內,查調企業
、其負責人之介接資料時,應分別取得其書面授權或電子授權,及蒐
集個人資料告知事項暨個人資料提供同意書。
|
六、第一類至第三類使用單位取得書面授權之方式
(一)書面授權方式分為下列兩種:
1.企業代表人或其負責人填寫書面授權書,同意第一類至第三
類使用單位於執行特定職務必要範圍內蒐集、處理及使用介
接資料。
2.企業代表人或其負責人親臨第一類至第三類使用單位時,由
其於電子手寫裝置簽署授權書電子檔,同意該使用單位於執
行特定職務必要範圍內蒐集、處理及使用介接資料。
(二)第一類使用單位應確實審核企業與負責人身分及其授權資訊,
並於取得其書面授權後,始可將書面授權書傳真,或將授權書
電子檔傳送至聯徵中心備查。
(三)第二類及第三類使用單位應確實審核企業與負責人身分及其授
權資訊,並於取得其書面授權後,始可將書面授權書傳真,或
將授權書電子檔傳送至本署備查。
|
七、第一類至第三類使用單位取得電子授權之方式
(一)企業代表人或其負責人透過網際網路連線至第一類至第三類使
用單位之資訊系統或數位服務頁面,利用電子憑證授權該使用
單位於執行特定職務必要範圍內蒐集、處理及使用介接資料。
(二)第一類使用單位應確實審核企業與負責人身分及其授權資訊,
並於取得其電子憑證授權後,始可將授權資訊透過該使用單位
之資訊系統傳送至聯徵中心備查。
(三)第二類及第三類使用單位應確實審核企業與負責人身分及其授
權資訊,並於取得其電子憑證授權後,始可將授權資訊透過該
使用單位之資訊系統傳送至本署備查。
|
八、第一類至第三類使用單位之善良管理人注意義務
(一)應對書面授權書及授權書電子檔之驗證結果及其真實性負責。
(二)應確保電子憑證授權之授權資訊不被竄改,及具備不可否認性
,且其授權資訊可完整呈現並於日後取出查驗,並應對其驗證
結果及真實性負責。
|
第四章 第四類使用單位之認證方式、流程及善良管理人注意義務
|
九、第四類使用單位由企業代表人、其負責人或資料使用者,透過網際網
路連線至中小企業融資服務平台之數位服務頁面,填具電子申請表單
,並以其電子憑證,以本規範所定方式取得該企業、負責人之介接資
料。
|
十、第四類使用單位應盡善良管理人注意義務,以確保其電子憑證與同意
資訊不被竄改,及具備不可否認性,且其授權資訊可完整呈現並於日
後取出查驗,並應對其驗證結果及真實性負責。
|
第五章 第一類至第三類使用單位取得介接資料之方式、介接資料交換標準介面及對於資料使用者之管理
|
十一、第一類至第三類使用單位取得介接資料之方式如下:
(一)第一類使用單位:
1.經聯徵中心透過中小企業融資服務平台,介接國家發展委
員會(以下簡稱國發會)「創新 E化服務—中小企業融資
服務」取得第四點第二款第一目至第三目介接資料。
2.經聯徵中心透過中小企業融資服務平台取得第四點第二款
第四目至第六目介接資料。
3.依各該介接機關指定方式取得第四點第二款第七目介接資
料。
(二)第二類及第三類使用單位:
1.經中小企業融資服務平台,介接國發會「創新 E化服務-
中小企業融資服務」取得第四點第二款第一目至第三目介
接資料。
2.經中小企業融資服務平台取得第四點第二款第四目至第六
目介接資料。
3.依各該介接機關指定方式取得第四點第二款第七目介接資
料。
|
十二、第一類至第三類使用單位之介接資料交換標準介面如下:
(一)第一類使用單位資料交換標準介面:
1.建置企業服務匯流排介面(ESB),以 Web Services做為
資料交換標準介面,並由 GSN開放特殊連線,與聯徵中心
以VPN網路介接,專線連線通道應作加密處理。
2.限聯徵中心透過 VPN網路及加密檔案傳輸軟體取得介接資
料,供聯徵中心會員機構內部業務徵審、查調之用。
(二)第二類及第三類使用單位資料交換標準介面係指建置企業服
務匯流排介面(ESB),以 Web Services或SFTP做為資料交
換標準介面,資料傳輸加密處理,並以本署規定之 VPN網路
介接。
|
十三、第一類至第三類使用單位對於資料使用者之管理如下:
(一)第一類使用單位之資料使用者,其指定與登記、帳號及密碼
等相關管理規範由聯徵中心訂之。
(二)第二類及第三類使用單位之資料使用者,其指定與登記、帳
號及密碼等相關規定,應依資通安全責任等級分級辦法資通
系統防護基準系統防護需求存取控制及識別與鑑別分級為「
中」之控制措施辦理。
|
第六章 第二類使用單位取得沙盒伺服器資料之方式及運用
|
十四、經本署認定符合資格之第二類使用單位,得於執行特定職務必要範
圍內,透過其合法專屬網路位址連線至本署控管之主機環境內運用
沙盒伺服器資料,其運用方式如下:
(一)需以自行設計之資料加值方式或運算加值資料之原始程式碼
,運用沙盒伺服器資料。
(二)前款所稱資料加值方式及原始程式碼,應提經本署審核通過
。
|
第七章 介接資料使用單位之查調管理、保密及保護義務
|
十五、第一類至第三類使用單位之查調管理責任
(一)第一類至第三類使用單位應確實保存書面授權書、電子授權
憑證及其相關授權資料、檔案及查調紀錄,保存期限應至少
至特定目的消失後五年,其單位有更長之保存期限規定者,
從其規定。所稱查調紀錄,包括但不限於查調者帳號、查調
者IP、查調日期、時間等項目。
(二)第一類至第三類使用單位於取得介接資料後,有未核貸、未
媒合成功、未完成輔導業務或資料蒐集之特定目的消失,應
於知悉後或事實發生之日起三十日內刪除介接資料。
|
十六、第一類至第三類使用單位之保密及保護義務:
(一)於執行特定職務必要範圍內得蒐集、處理或利用介接資料,
並應符合特定目的,不得對外公開、移轉或轉讓他人,亦不
得傳送至國外。
(二)第一類使用單位應依資通安全管理法、個人資料保護法、資
訊安全作業規範、各介接機關訂定之系統安全及作業管制等
資通安全管理規範使用介接資料及「財團法人金融聯合徵信
中心及其會員透過中小企業融資服務平台介接公務及非公務
機關電子資料使用管理辦法」等相關規範辦理介接資料之保
密及保護。
(三)第二類及第三類使用單位應依資通安全管理法、個人資料保
護法、資訊安全作業規範、各介接機關訂定之系統安全及作
業管制等資通安全管理規範辦理介接資料之保密及保護。
|
十七、介接資料使用單位及資料使用者對列印之紙本資料應負保管之責,
妥善存放,確保資料不外流,並於使用完畢後,立即銷毀。
|
十八、介接資料使用單位及資料使用者若發現介接資料外洩、遭竊、遭竄
改或遺失等情事,應立即向本署通報。經本署查證屬實者,即通報
該介接資料所屬介接機關。
|
十九、介接資料使用單位及資料使用者對介接資料之使用,如有違法情事
,致當事人權益受損害者,應自負相關法律責任及損害賠償。
|
第八章 介接資料之安全控管、查核及稽核
|
二十、本署應對介接資料使用單位之查調行為加以記錄、監控及稽核。查
調記錄應至少包括查調者帳號、查調者IP、查調日期、時間、查調
條件等項目,並留存至少五年。
|
二十一、本署應產製資安紀錄報表,定期與各介接機關、聯徵中心與第二
類及第三類使用單位交叉比對查詢件數是否相符。
|
二十二、介接機關得不定期至本署調閱相關資料進行抽查,另本署及介接
機關得不定期派員至介接資料使用單位調閱相關資料進行抽查,
各使用單位不得拒絕。
|
二十三、聯徵中心應定期將第一類使用單位之各項查核結果彙整提供本署
,本署應於每年彙整後,函送介接機關備查。
|
二十四、第二類及第三類使用單位應辦理內部自行查核作業如下:
(一)應指派查核人員,每月對於查調紀錄進行抽查,抽查比例
如下:
1.每月查調紀錄總筆數少於十筆者,應全數查核。
2.每月查調紀錄總筆數逾十筆且不超過一萬筆者,應至少
抽查百分之二,且抽查筆數不得少於十筆。
3.每月查調紀錄總筆數逾一萬筆者,得就超過部分調降抽
查比例至千分之五。
(二)抽查時,查核人員應查核所調案件是否依規定程序辦理且
符合業務所需,並應將查核結果作成查核報告,且查核報
告應留存至少五年。
|
二十五、第二類及第三類使用單位應辦理內部稽核作業如下:
(一)應定期辦理內部稽核作業,依資料敏感程度及雙方資通安
全責任等級約定稽核次數,如有查調異常事項,得不定期
進行稽核作業。
(二)內部稽核作業應由業務單位會同政風單位及業務系統管理
單位辦理,並作成稽核紀錄,稽核紀錄應至少留存五年。
|
二十六、第二類及第三類使用單位應定期將前二點所定查核報告及稽核紀
錄提供本署,本署應於每年彙整後,函送介接機關備查。
|
二十七、介接資料使用單位如有違法或未依本規範進行查調之情事,本署
將立即終止該單位使用本平台之一切權利,倘有侵害第三人權利
致受有損害時,應自負相關法律責任及損害賠償。
|