境外臺校提供電子商務服務系統或本法第六條所定個人資料種類之資通系
統時,應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、應用系統於開發、上線、維護等各階段軟體驗證及確認程序。
五、個人資料檔案與資料庫之存取控制與保護監控措施。
六、防止外部網路入侵對策。
七、非法或異常使用行為之監控與因應機制。
前項所稱電子商務,指透過網際網路進行有關商品或服務之廣告、行銷、
供應或訂購等各項商業交易活動;資通系統,指用以蒐集、控制、傳輸、
儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
第一項第六款及第七款所定措施,應定期演練及檢討改善。
〔立法理由〕 一、本條新增。
二、依行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會
議」決議略以,有關非公務機關使用資通系統蒐集、處理或利用個資
資料,若為甲級(保有消費者交易、使用商品或接受服務等過程之一
般或特種個資,且該資料達一定之適用門檻,如:個資數量、該業者
資本額達一定金額或其他中央目的事業主管機關指定之特定標準,或
其他經中央目的事業主管機關指定)者,應增訂適當資安標準規範,
以加強管理。目前境外臺校保有大量師生個資連網資通系統,又學校
保有學生健檢等資料,涉特種個資範圍,考量網際網路對於個人資料
安全之潛在風險,需採行相關個人資料安全保護措施,包括系統使用
者之身分確認、個人資料顯示之隱碼去識別化機制、網際網路傳輸之
安全加密、系統中個人資料檔案及資料庫之存取控制與保護監控、防
範外部網路入侵及其他非法或異常使用等,為境外臺校師生個人資料
之安全維護,爰於第一項各款予以明定安全管理措施。
三、第二項,參考行政院所定電子商務消費者保護綱領,明定電子商務之
定義,後段參考資通安全管理法所定資通系統之定義。
四、為使境外臺校之連網資通系統或電子商務系統遭遇各類資安事件時,
得以儘速恢復正常並控制損害,爰於第三項明定境外臺校宜針對防範
非法入侵或異常使用等應變措施定期進行演練及檢討改善。
|
境外臺校進行個人資料國際傳輸前,應檢視有無主管機關依本法第二十一
條規定為國際傳輸之限制,並且告知境外臺校學生及教職員其個人資料所
欲國際傳輸之區域,同時對資料接收方為下列事項之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
象及方式。
二、當事人行使本法第三條所定權利之相關事項。
〔立法理由〕 一、本條新增。
二、考量目前本辦法並無針對境外臺校進行跨境傳輸個人資料有相關規範
,爰參考製造業及技術服務業個人資料檔案安全維護管理辦法第九條
及依本法第二十一條規定非公務機關為國際傳輸個人資料,有涉及國
家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保
護未有完善之法規,致有損當事人權益之虞、以迂迴方法向第三國(
地區)傳輸個人資料規避本法之情形之一者,中央目的事業主管機關
得限制之。明定境外臺校於跨境傳輸個人資料前應確認是否有主管機
關依本法第二十一條所定限制範圍,並告知學校學生及教職員其個人
資料所欲跨境傳輸之區域,同時對資料接收方為相關事項監督。
|