個人資料保護說明 張靜雯 2012.09.14.

Presentation on theme: "個人資料保護說明 張靜雯 2012.09.14."— Presentation transcript:

1 個人資料保護說明 張靜雯

2 案例1 病歷當便條紙 洩隱私 資料來源：聯合報網站，2011/08/05

3 案例2 代管主機，客戶資料外洩 資料來源：iThome網站，2009/01/12

4 什麼是個人資料 個人資料包含直接識別或間接識別 WHO 王小明，男生 WHEN 今年7歲 家中有爸爸、媽媽和我 就讀oo國小一年級 WHAT
身高120公分,體重40公斤 電話: 地址:新北市土城區民生街9號 今年7歲

5 個人資料範圍 蒐集 處理 利用 其他 企業 團體 個人 機關 原則不得蒐集，例外:法律明文規定＊ 自然人姓名、出生年月日 國民身分證、
聯絡方式、財務情況、社會活動 自然人姓名、出生年月日 國民身分證、 護照號碼、 特徵、指紋、婚姻、 家庭、教育、職業 醫療、基因、犯罪前科 性生活、健康檢查 原則不得蒐集，例外:法律明文規定＊

6 法律責任

7 個人資料管理組織 管理代表 執行單位 資訊單位 保管單位 個人資料管理組織最高負責人 統籌各部門職掌分配、責任及 權限範圍 許英傑資深副總
法務單位 資訊單位 保管單位 各部門 建立個人資料保護管理制度 執行及查核各項事項 個人資料申訴與諮詢聯絡窗口 定期向管理代表報告 建立個人資資料安全 建立設備安全管理 提出資訊安全建議及採行控管措施 設一人為個人資料負責人 管理個人資料 協助資訊安全管理與維護

8 個人資料法保護原則 取得個人資料（包含委託他人取得），在特定利用目的內之個人資料，該資料之適當蒐集處理，不超過達成利用目的外的使用及採取因應之措施。 ＊ 遵守有關取得個人資料之法令及規範。 為確保個人資料檔案之合法且正當蒐集、處理、利用，並防止個人資料被竊取、竄改、損毀、滅失或洩漏，應遵守公司個人資料保護管理辦法及作業規範。 公司同仁不得任意洩漏職務中所接觸之個人資料。＊ 對於個人資料保護管理系統持續進行改善。 本公司設置個人資料保護窗口：法務單位。

9 個人資料管理制度 稽核及 持續改善 蒐集/處理/利用程序 人員管理 文件管理 個人資料管理制度 設備安全管理 個資事件管理 委外管理

10 個人資料分級 A級個人資料：為高度私密性之個人資料＊ 身份證字號、銀行帳號、指紋、財務狀況等事項
法律規定可蒐集之醫療、基因、性生活、健康檢查、犯罪前科資料 委外廠商蒐集、處理、利用個人資料 B級個人資料：非A級之個人資料屬之 列管級個人資料：無法直接識別該個人醫療、基因、性生活、健康檢查、犯罪前科之資料。 共62類個資： 級別：A級(23) ； B級(37) ； 列管級(2) 風險度：高度(0) ； 中度(2) ； 低度(60)

11 個人資料管理 A級個人資料： 紙本：置放於加鎖之檔案櫃或其他安全場所，鑰匙僅保管人及其代理人可取得＊ 電子文件：應設權限控管或特別控管
B級個人資料： 紙本：存放於檔案櫃內(或其他適當管理方式) 電子文件：應設權限控管 列管級個人資料： 不得與其他資料對照、組合、連結，而能識別出特定個人

12 文件與資料管理 個人資料使用單位或人員應以最低必要的人員為限 使用影印機、印表機、傳真機、掃描機或多功能事務機後，應立即取走紙本資料
存放於個人電腦中之個人資料檔案不得開啟分享目錄與檔案，或將檔案放置於網路公用分享區 禁止使用即時通訊軟體（如MSN、Skype等）、外部信箱（如奇摩信箱、Gmail、Hotmail等）傳輸及存取個人資料檔案 以電子方式傳遞個人資料時，應確認接收者資料之正確性，避免誤收而造成資料外傳 徹底執行風險分析之因應對策

13 蒐集、處理、利用程序 蒐集： 告知當事人蒐集目的
欲蒐集個人資料前，應先向法務單位討論確定可 蒐集後，由申請單位檢附「個人資料新增申請單」送二級主管簽核後，轉法務單位核准後進行蒐集＊ 處理及利用： 於蒐集目的之範圍內處理及利用 不得逾越蒐集目的 若有逾越蒐集目的之利用或須經當事人同意之事項，應取得「當事人同意書」 (作業規範表單) 報廢、刪除或銷毀： 依「個人資料銷毀申請表」，經單位主管核可後，逕行通知法務單位確認銷毀＊

14 人員管理 接觸使用個人資料僅限於職務或業務上必要時，不得探求、不正當取得、使用非職務上所能接觸之個人資料
任何接觸個人資料之人員應盡保密義務，不得以任何形式洩漏個人資料 個人資料應存放於規定之電腦設備或場所，不得儲存於可攜式之儲存設備（如USB、可攜式硬碟、個人筆記型電腦等），但公司配用之筆記型電腦不在此限。 進入個人電腦或個人資料系統，密碼應保密，不得與他人共用 個人資料檔案使用完畢應即退出，不得以任何形式留在個人電腦上或系統上

15 設備安全管理 非資訊單位人員不得擅自進入機房或使用相關資訊設備，並應設立門禁保全

16 委外管理 委外廠商於支援執行個人資料業務時，應要求廠商及其人員簽署「保密切結書」或於合約內約定，不得對外透露、任意複製或攜出機密性之業務資料 ＊ 應定期監督查核廠商，確認符合委託事項，包含所委託之範圍、資料類別、目的、期間、違反個人資料保護通知及補救措施等，依「委外查核記錄表」進行查核，並留存監督查核記錄。 委託中止或終止時，應要求廠商返還或銷毀所委託之個人資料儲存媒體或紙本，並留存相關記錄 委外廠商應就其人員違反個人資料保護法、保密切結書或其他故意或過失造成本公司受有直接或間接損害、損失、成本或費用（包含但不限於第三人向本公司求償金額及本公司支出之律師費），對本公司負賠償責任

17 稽核機制及持續改善 個人資料保管人由部門指定人員擔任，負責個人資料管理
每年至少進行乙次個人資料盤點及稽核，並建立「個人資料表」列管，以更新及確保個人資料正確性及完整性＊ 對於稽核缺失之項目應提出改善措施，若為必要，應適當修訂作業程序或辦法，持續改善個人資料保護有效性

18 個人資料事件管理 公司個人資料保護窗口為法務單位，遇有個人資料相關事件應立即通知法務單位。 ＊
接獲當事人提出行使查詢、閱覽、複製、補充或更正、停止蒐集、處理或利用、刪除其個人資料權利時，應將案件轉送法務單位 個人資料被竊取、洩漏、竄改或其他侵害時，應立即通知法務單位

19 Q & A Q & A