數位經濟相關產業個人資料檔案安全維護管理辦法
數位經濟相關產業個人資料檔案安全維護管理辦法 第 1 條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。 本條文有附件 第 2 條 本辦法所稱數位經濟相關產業(以下簡稱業者),指從事附表一所列行業之自然人、私法人或其他團體。 第 3 條 業者應於本辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱安全維護計畫)之規劃及訂定。 安全維護計畫應納入符合第五條至第十七條規定之具體內容。 業者應依其所訂定之安全維護計畫執行之。數位發展部(以下簡稱本部)得要求業者提出安全維護計畫之實施情形,業者應於指定期限內,以書面方式提出。 第 4 條 業者應對內公開周知個人資料保護管理政策,使所屬人員明確瞭解及遵循,其內容應包括下列事項之說明: 一、遵守我國個人資料保護相關法令規定。 二、以合理安全之方式,於特定目的範圍內,蒐集、處理或利用個人資料。 三、以可期待之合理安全水準技術保護其所蒐集、處理或利用之個人資料檔案。 四、設置聯絡窗口,供個人資料當事人行使其個人資料相關權利或提出相關申訴與諮詢。 五、規劃緊急應變程序,以處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故。 六、如委託蒐集、處理或利用個人資料者,應妥善監督受託者。 七、持續維運安全維護計畫之義務,以確保個人資料檔案之安全。 第 5 條 業者應依其業務規模及特性,衡酌經營資源之合理分配,配置管理人員及相當資源,負責下列事項: 一、個人資料保護管理政策之訂定及修正。 二、安全維護計畫之訂定、修正及執行。 個人資料保護管理政策、安全維護計畫之訂定或修正,應經業者之代表人或其授權人員核定。 第 6 條 業者應定期清查確認所蒐集、處理或利用之個人資料現況,界定納入安全維護計畫之範圍。 第 7 條 業者應依已界定之個人資料範圍及其業務涉及個人資料蒐集、處理或利用之流程,定期評估可能產生之風險,並根據風險評估結果,採行適當之安全措施。 本條文有附件 第 8 條 業者為因應當事人個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制: 一、事故發生後應採取之應變措施,包括降低、控制當事人損害之方式、查明...
