修正「短期補習班個人資料檔案安全維護計畫實施辦法」第八條、第十三條、第十五條。
附修正「短期補習班個人資料檔案安全維護計畫實施辦法」第八條、第十三條、第十五條
部 長 潘文忠
短期補習班個人資料檔案安全維護計畫實施辦法第八條、第十三條、第十五條修正條文
第 八 條 補習班於蒐集個人資料時,應檢視是否符合前條第一項所定之類別及範圍。
補習班於傳輸個人資料時,應採取必要保護措施,避免洩漏。
補習班進行個人資料國際傳輸前,應檢視有無中央主管機關依本法第二十一條規定為國際傳輸之限制,並且告知當事人其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督︰
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
二、當事人行使本法第三條所定權利之相關事項。
第 十三 條 補習班應訂定應變機制,在發生個人資料被竊取、洩漏、竄改或其他侵害事故時,迅速處理以保護當事人之權益。
前項應變機制,應包括下列事項:
一、採取適當之措施,控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況,以適當方式通知當事人或其法定代理人。
三、研議改進措施,避免事故再度發生。
補習班應於事故發現時起七十二小時內,填具個人資料侵害事故通報與紀錄表(如附件),通報直轄市、縣(市)主管機關,並副知中央主管機關,未依時限內通報者,應附理由說明;並自處理結束之日起一個月內,將處理方式及結果,報直轄市、縣(市)主管機關備查。
依規定通報後,直轄市、縣(市)主管機關得派員檢查,補習班不得規避、妨礙或拒絕,直轄市、縣(市)主管機關並得依本法第二十二條至第二十五條規定為適當之監督管理措施。
第 十五 條 補習班為確實保護個人資料之安全,應對其所屬人員採取下列措施:
一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。
二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。
四、所屬人員離職時取消其識別碼,並應要求將執行業務所持有之個人資料(包括紙本及儲存媒介物)辦理交接,不得攜離使用,並應簽訂保密切結書。
補習班提供電子商務服務系統或本法第六條所定個人資料種類之資通系統時,應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、應用系統於開發、上線、維護等各階段軟體驗證及確認程序。
五、個人資料檔案與資料庫之存取控制及保護監控措施。
六、防止外部網路入侵對策。
七、非法或異常使用行為之監控及因應機制。
前項所稱電子商務,指透過網際網路進行有關商品或服務之廣告、行銷、供應或訂購等各項商業交易活動;資通系統,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
第二項第六款及第七款所定措施,應定期演練及檢討改善。
TOP