一、行政院(以下簡稱本院)為防止非公務機關違反個人資料檔案安全維
護義務(以下稱個資外洩),加強所屬中央目的事業主管機關(以下
簡稱中央目的事業主管機關)對非公務機關個人資料保護之監管,以
落實非公務機關個人資料檔案之安全維護,特訂定本要點。
|
二、本院得召開行政機關落實個人資料保護執行聯繫會議(以下簡稱聯繫
會議),執行下列任務:
(一)研議中央目的事業主管機關依個人資料保護法(以下簡稱個資
法)第二十七條第三項所定個人資料檔案安全維護計畫或業務
終止後個人資料處理方法之標準等相關事項之辦法(以下簡稱
安全維護辦法)應予規定之相關事項。
(二)統籌個資外洩案件之監督通報。
(三)就重大矚目之個資外洩案件管轄權爭議,確認管轄機關,及該
案件行政調查之協調。
(四)其他個人資料侵害案件之跨部會協調聯繫事務。
本要點所定重大矚目之個資外洩案件,其範圍如下:
(一)行政院、立法院或監察院關注之個資外洩案件。
(二)經媒體顯著披露之個資外洩案件,例如經平面媒體全國性版面
報導、電子媒體專題討論。
|
三、聯繫會議由本院院長指派政務委員一人擔任召集人;協同召集人一人
至三人,由本院資訊長及本院院長指派之政務委員擔任。
聯繫會議由召集人主持;協同召集人視議題參與,並為協同主持人。
召集人因故未能出席時,由召集人指定協同召集人一人代理之。
聯繫會議得視個資外洩案件或其他個人資料侵害案件議題之情形,不
定期召開,並得視議題需要,邀請中央行政機關、直轄市、縣(市)
政府等相關機關代表或專家、學者出席。
聯繫會議之幕僚作業,由國家發展委員會(以下簡稱國發會)辦理。
|
四、中央目的事業主管機關應於每年一月底前擬定依個資法第二十二條第
一項規定辦理之行政檢查計畫送國發會,並於提報聯繫會議後,確實
執行。
中央目的事業主管機關應組成個資行政檢查小組,辦理前項之年度行
政檢查,及因應、處理個資外洩案件;其成員得包括具有法律、資訊
專業之機關資深人員及外部專家。
中央目的事業主管機關應評估所管非公務機關之個資外洩風險,將其
中具有高風險者優先列入第一項之年度行政檢查對象。
前項所定高風險者,得參考第六點各款情形及發生個資外洩事件之次
數等因素綜合考量。
|
五、安全維護辦法應至少就下列事項予以規定:
(一)中央目的事業主管機關就所主管之非公務機關使用資通訊系統
蒐集、處理或利用個人資料,而有下列情形之一者,應加強管
理:
1.保有消費者交易、使用商品或接受服務等過程之一般或特種
個人資料,且符合中央目的事業主管機關所定應加強管理之
條件。
2.前目以外經中央目的事業主管機關認定應加強管理。
(二)就前款應加強管理者之規定,應至少包括下列資料安全管理措
施:
1.使用者身分確認及保護機制。
2.個人資料顯示之隱碼機制。
3.網際網路傳輸之安全加密機制。
4.個人資料檔案與資料庫之存取控制及保護監控措施。
5.防止外部網路入侵對策。
6.非法或異常使用行為之監控及因應機制。
(三)非公務機關個資外洩時,依安全維護辦法應通報之對象、時點
、應通報事項、後續行政調查等事項;其通報地方目的事業主
管機關者,並應副知中央目的事業主管機關。
中央目的事業主管機關訂定或修正發布安全維護辦法,應函知國發會
。
|
六、中央目的事業主管機關應就尚未訂定安全維護辦法之非公務機關,綜
合考量下列情形,定期檢討訂定該辦法之必要性;其應訂定安全維護
辦法者,並應於該辦法就前點第一項所定事項予以規定:
(一)非公務機關之規模、特性。
(二)保有個人資料之數量或性質。
(三)與民眾日常生活關係密切程度。
(四)個資外洩衝擊層面廣泛程度。
(五)個資外洩將造成當事人身心危害、社會地位受損或衍生財務危
機等重大影響。
(六)個人資料存取環境。
(七)個人資料傳輸之工具及方法。
(八)國際傳輸之頻率。
|
七、中央目的事業主管機關接獲非公務機關通報或副知,或非因通報或副
知而自行知悉個資外洩案件,經確認屬該機關管轄後,應於接獲通報
、副知或知悉時起七十二小時內,填列監督通報紀錄表(如附件一)
,通報國發會。但個資外洩案件屬重大矚目者,依第八點規定辦理。
中央目的事業主管機關就前項本文之個資外洩案件,應於接獲通報、
副知或知悉時起三個月內調查完成並結案;必要時,得經資通安全長
或其授權人員同意後,延期三個月,並即時通報國發會。該案件之後
續行政措施及處置情形,應按季通報國發會。
〔立法理由〕 一、依行政院一百十二年九月二十五日召開之行政機關落實個人資料保護
執行聯繫會議(第九次會議)決議,增訂一般個資外洩案件之行政調
查期限,並修正附件一。
二、其餘未修正。
|
八、前點第一項但書之個資外洩案件屬重大矚目者,中央目的事業主管機
關經確認屬該機關管轄後,應於接獲通報、副知或知悉時起二十四小
時內,填列前點第一項本文所定監督通報紀錄表,通報國發會及數位
發展部。
中央目的事業主管機關針對前項重大矚目之個資外洩案件及依前點第
一項本文規定通報後改列為重大矚目案件者,應於接獲通報、副知或
知悉時起三日內進行行政調查,十日內完成調查報告,報告完成後應
送國發會及數位發展部;必要時國發會得報請本院指定之政務委員,
原則於二週內召開會議,聽取行政調查辦理情形。
中央目的事業主管機關得偕同數位發展部辦理前項之行政調查。
中央目的事業主管機關應就重大矚目之個資外洩案件後續行政措施及
處置情形,即時通報國發會及數位發展部。
|
九、中央目的事業主管機關得依個資法第二十二條至第二十六條規定,對
該非公務機關為適當之監督管理措施。
中央目的事業主管機關就個資外洩案件辦理行政調查,得於必要時請
求警察機關或法務部調查局提供協助。
中央目的事業主管機關就個資外洩案件,經查明違反個資法之規定者
,應視具體調查結果,依個資法第四十七條至第五十條規定辦理;並
得依情節輕重及個資外洩事件造成之影響,依個資法第二十五條規定
,為下列處分:
(一)禁止蒐集、處理或利用個人資料。
(二)命令刪除經處理之個人資料檔案。
(三)沒入或命銷燬違法蒐集之個人資料。
(四)公布非公務機關之違法情形,及其姓名或名稱與負責人。
中央目的事業主管機關對於非公務機關有個資法第四十八條第二項或
第三項情形者,應處罰鍰,並令其限期改正,屆期未改正者,按次處
罰。
|
十、中央目的事業主管機關對個資外洩案件之行政調查流程,除重大矚目
之個資外洩案件依第十一點規定確認管轄機關者外,其餘行政調查程
序,依附件二流程圖辦理。
|
十一、國發會對於重大矚目之個資外洩案件管轄權爭議,應儘速認定管轄
機關,並得視需要召開跨部會協調會議。
前項被認定管轄機關如有異議,應於認定管轄文到三日內,敘明具
體理由送國發會,提請聯繫會議確認管轄機關。
聯繫會議應邀集相關機關確認前項管轄機關,必要時得邀請專家、
學者出席。
經聯繫會議確認為管轄機關之中央目的事業主管機關,應於國發會
指定時間內,依第八點第一項規定填列監督通報紀錄表。
|
十二、中央目的事業主管機關對重大矚目之個資外洩案件辦理行政調查前
,已依行政程序法第十九條規定向其他機關請求行政協助遭拒絕者
,於規劃跨部會任務分工後,函送國發會,提請聯繫會議進行協調
。
就前項行政調查之協調,聯繫會議應邀集相關機關討論,經請求協
助機關與被請求機關說明後,評估有提供行政協助之必要者,被請
求機關即應配合執行。
|
十三、數位發展部資通安全署、內政部警政署及法務部調查局,應適時向
國發會分享個資外洩案件情報。
國發會接獲前項情報後,應通知中央目的事業主管機關為必要之處
理。
|