修正「電業及公用天然氣事業個人資料檔案安全維護管理辦法」部分條文。
附修正「電業及公用天然氣事業個人資料檔案安全維護管理辦法」部分條文
部 長 王美花
電業及公用天然氣事業個人資料檔案安全維護管理辦法部分條文修正條文
第 三 條 非公務機關應依本辦法規定,按其業務規模及特性,衡酌經營資源之合理分配,建立個人資料檔案安全維護管理組織,配置相當人員及資源,負責規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱本計畫及處理方法)。
本計畫及處理方法之訂定或修正,應經非公務機關代表人或經其授權之人員核定。
個人資料檔案安全維護管理組織,應定期就執行任務情形向非公務機關代表人或經其授權之人員提出書面報告。
非公務機關應將本計畫及處理方法備置於總機構及營業處所。
第 六 條 非公務機關為因應所保有之個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他安全事故,應訂定下列應變、通報及預防機制:
一、採取之應變措施,包括下列事項:
(一)控制當事人損害方式。
(二)查明事故原因後通知當事人之方式。
(三)通知當事人事故之事實、所為之因應措施及諮詢服務專線等內容。
二、受通報之相關對象及通報方式。
三、事故發生後研議預防措施。
非公務機關因所保有之個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他安全事故,致危及正常營運或大量當事人權益時,應於發現事故後七十二小時內依附表格式以書面通報經濟部。
經濟部接受前項通報後,得依本法第二十二條至第二十五條規定,為適當之監督管理措施。
第 七 條 非公務機關應就下列事項,訂定管理程序:
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令之要件;其經當事人書面同意者,並應符合本法第六條第二項準用第七條第一項、第二項及第四項規定。
二、檢視個人資料之蒐集、處理或利用,是否符合免為告知之事由,及所告知之內容、方式是否合法妥適。
三、檢視一般個人資料之蒐集或處理,是否符合本法第十九條規定,具有特定目的及法定情形;其經當事人同意者,並應符合本法第七條規定。
四、檢視一般個人資料之利用,是否符合本法第二十條規定蒐集之特定目的必要範圍;為特定目的外之利用者,檢視是否符合法定情形;其經當事人同意者,並應符合本法第七條規定。
五、利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用其個人資料行銷,並至少於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。
七、進行個人資料國際傳輸前,應檢視是否受經濟部限制,並且告知當事人其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督:
(一)預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
(二)當事人行使本法第三條所定權利之相關事項。
八、當事人行使本法第三條所定權利之事項:
(一)當事人身分之確認方式。
(二)提供當事人行使權利之方式。
(三)告知當事人需支付之費用。
(四)對當事人請求之審查方式,並遵守本法有關處理期限之規定。
(五)有本法所定得拒絕當事人行使權利之事由者,記載理由及通知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依本法第十一條第一項、第二項及第五項規定辦理。
十、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;其特定目的消失或期限屆滿者,應依本法第十一條第三項規定刪除、停止處理或利用。
第八條之一 非公務機關以資通訊系統蒐集、處理或利用個人資料,且保有之用戶個人資料達一萬筆者,應採行下列資料安全管理措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案及資料庫之存取控制與保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控與因應機制。
前項第五款及第六款所定措施,應定期演練及檢討改善。
第 十六 條 本辦法自發布日施行。但中華民國一百十一年二月九日修正發布之第八條之一,自發布後三個月施行。
TOP