個人資料保護說明 張靜雯 2012.09.14
案例1 病歷當便條紙 洩隱私 資料來源:聯合報網站,2011/08/05
案例2 代管主機,客戶資料外洩 資料來源:iThome網站,2009/01/12
什麼是個人資料 個人資料包含直接識別或間接識別 WHO 王小明,男生 WHEN 今年7歲 家中有爸爸、媽媽和我 就讀oo國小一年級 WHAT 身高120公分,體重40公斤 電話:2268-5568 地址:新北市土城區民生街9號 今年7歲
個人資料範圍 蒐集 處理 利用 其他 企業 團體 個人 機關 原則不得蒐集,例外:法律明文規定* 自然人姓名、出生年月日 國民身分證、 聯絡方式、財務情況、社會活動 自然人姓名、出生年月日 國民身分證、 護照號碼、 特徵、指紋、婚姻、 家庭、教育、職業 醫療、基因、犯罪前科 性生活、健康檢查 原則不得蒐集,例外:法律明文規定*
法律責任
個人資料管理組織 管理代表 執行單位 資訊單位 保管單位 個人資料管理組織最高負責人 統籌各部門職掌分配、責任及 權限範圍 許英傑資深副總 法務單位 資訊單位 保管單位 各部門 建立個人資料保護管理制度 執行及查核各項事項 個人資料申訴與諮詢聯絡窗口 定期向管理代表報告 建立個人資資料安全 建立設備安全管理 提出資訊安全建議及採行控管措施 設一人為個人資料負責人 管理個人資料 協助資訊安全管理與維護
個人資料法保護原則 取得個人資料(包含委託他人取得),在特定利用目的內之個人資料,該資料之適當蒐集處理,不超過達成利用目的外的使用及採取因應之措施。 * 遵守有關取得個人資料之法令及規範。 為確保個人資料檔案之合法且正當蒐集、處理、利用,並防止個人資料被竊取、竄改、損毀、滅失或洩漏,應遵守公司個人資料保護管理辦法及作業規範。 公司同仁不得任意洩漏職務中所接觸之個人資料。* 對於個人資料保護管理系統持續進行改善。 本公司設置個人資料保護窗口:法務單位。
個人資料管理制度 稽核及 持續改善 蒐集/處理/利用程序 人員管理 文件管理 個人資料管理制度 設備安全管理 個資事件管理 委外管理
個人資料分級 A級個人資料:為高度私密性之個人資料* 身份證字號、銀行帳號、指紋、財務狀況等事項 法律規定可蒐集之醫療、基因、性生活、健康檢查、犯罪前科資料 委外廠商蒐集、處理、利用個人資料 B級個人資料:非A級之個人資料屬之 列管級個人資料:無法直接識別該個人醫療、基因、性生活、健康檢查、犯罪前科之資料。 共62類個資: 級別:A級(23) ; B級(37) ; 列管級(2) 風險度:高度(0) ; 中度(2) ; 低度(60)
個人資料管理 A級個人資料: 紙本:置放於加鎖之檔案櫃或其他安全場所,鑰匙僅保管人及其代理人可取得* 電子文件:應設權限控管或特別控管 B級個人資料: 紙本:存放於檔案櫃內(或其他適當管理方式) 電子文件:應設權限控管 列管級個人資料: 不得與其他資料對照、組合、連結,而能識別出特定個人
文件與資料管理 個人資料使用單位或人員應以最低必要的人員為限 使用影印機、印表機、傳真機、掃描機或多功能事務機後,應立即取走紙本資料 存放於個人電腦中之個人資料檔案不得開啟分享目錄與檔案,或將檔案放置於網路公用分享區 禁止使用即時通訊軟體(如MSN、Skype等)、外部信箱(如奇摩信箱、Gmail、Hotmail等)傳輸及存取個人資料檔案 以電子方式傳遞個人資料時,應確認接收者資料之正確性,避免誤收而造成資料外傳 徹底執行風險分析之因應對策
蒐集、處理、利用程序 蒐集: 告知當事人蒐集目的 欲蒐集個人資料前,應先向法務單位討論確定可 蒐集後,由申請單位檢附「個人資料新增申請單」送二級主管簽核後,轉法務單位核准後進行蒐集* 處理及利用: 於蒐集目的之範圍內處理及利用 不得逾越蒐集目的 若有逾越蒐集目的之利用或須經當事人同意之事項,應取得「當事人同意書」 (作業規範表單) 報廢、刪除或銷毀: 依「個人資料銷毀申請表」,經單位主管核可後,逕行通知法務單位確認銷毀*
人員管理 接觸使用個人資料僅限於職務或業務上必要時,不得探求、不正當取得、使用非職務上所能接觸之個人資料 任何接觸個人資料之人員應盡保密義務,不得以任何形式洩漏個人資料 個人資料應存放於規定之電腦設備或場所,不得儲存於可攜式之儲存設備(如USB、可攜式硬碟、個人筆記型電腦等),但公司配用之筆記型電腦不在此限。 進入個人電腦或個人資料系統,密碼應保密,不得與他人共用 個人資料檔案使用完畢應即退出,不得以任何形式留在個人電腦上或系統上
設備安全管理 非資訊單位人員不得擅自進入機房或使用相關資訊設備,並應設立門禁保全
委外管理 委外廠商於支援執行個人資料業務時,應要求廠商及其人員簽署「保密切結書」或於合約內約定,不得對外透露、任意複製或攜出機密性之業務資料 * 應定期監督查核廠商,確認符合委託事項,包含所委託之範圍、資料類別、目的、期間、違反個人資料保護通知及補救措施等,依「委外查核記錄表」進行查核,並留存監督查核記錄。 委託中止或終止時,應要求廠商返還或銷毀所委託之個人資料儲存媒體或紙本,並留存相關記錄 委外廠商應就其人員違反個人資料保護法、保密切結書或其他故意或過失造成本公司受有直接或間接損害、損失、成本或費用(包含但不限於第三人向本公司求償金額及本公司支出之律師費),對本公司負賠償責任
稽核機制及持續改善 個人資料保管人由部門指定人員擔任,負責個人資料管理 每年至少進行乙次個人資料盤點及稽核,並建立「個人資料表」列管,以更新及確保個人資料正確性及完整性* 對於稽核缺失之項目應提出改善措施,若為必要,應適當修訂作業程序或辦法,持續改善個人資料保護有效性
個人資料事件管理 公司個人資料保護窗口為法務單位,遇有個人資料相關事件應立即通知法務單位。 * 接獲當事人提出行使查詢、閱覽、複製、補充或更正、停止蒐集、處理或利用、刪除其個人資料權利時,應將案件轉送法務單位 個人資料被竊取、洩漏、竄改或其他侵害時,應立即通知法務單位
Q & A Q & A