99?~???w???????{\(??????\) - PDF Free Download

亞東技術學院資安管理與個人資料保護民國 99 年 10 月 6 日 1

講師介紹葉益禎 (Ivan Yeh) 專業資歷 : 昇達價值管理公司技術總監巨安資訊科技公司技術總監 KPMG 資訊技術顧問經理叡揚資訊公司經理財政部財稅資料中心駐部資訊小組聘雇人員 ISO 27001 主導評審員訓練考試合格 (KPMG KPMG) BS 25999 主導評審員訓練考試合格 (BSI BSI) ISO 20000 稽核員考試合格 (itsmf itsmf) 講授經驗 : 臺灣省政府法務部法務部主計處資安講座政府單位與國營事業 : 立法院警政署警政署臺北市政府警察局臺北市政府警察局花蓮縣警察局花蓮縣警察局雲林縣警察局雲林縣警察局衛生署健保局健保局署立醫院與北區聯盟醫院署立醫院與北區聯盟醫院國民健康局國民健康局疾病管制局疾病管制局臺北巿國稅局臺北巿國稅局高雄市國稅局台灣省中區國稅局台灣省中區國稅局臺北縣稅捐稽徵處臺北縣稅捐稽徵處臺中巿稅務局臺中巿稅務局雲林縣稅務局雲林縣稅務局台灣電力公司台灣電力公司國防部資通處漁業署漁業署林務局林務局金管會及所屬各局金管會及所屬各局國土測繪中心國土測繪中心臺中港務局臺中港務局花蓮港務局臺北市政府臺北市政府台北市政府社會局台北市政府社會局雲林縣政府雲林縣政府臺中縣政府臺中縣政府體育委員會體育委員會標準檢驗局標準檢驗局臺中市網路中心臺北縣教育研究中心等私人企業與組織 : 聯電旺宏旺宏欣銓科技欣銓科技中華電信中華電信電信技術中心電信技術中心東海大學東海大學靜宜大學靜宜大學永豐紙業公司土城廠宏通數碼公司宏通數碼公司台灣集保公司台灣集保公司台灣光罩公司等台灣光罩公司等 KPMG ISO27001 主導評審員課程講師經濟部提升零售業資安品質計畫案資安講師衛生署醫院 ISO 27001 聯合輔導案講師 2

3 課程大綱課程大綱課程大綱課程大綱問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論 5. 個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊 2. 建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式 4. 相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析 3. 資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念 1.

資訊安全管理基本概念 4

何謂資訊資訊任何型態顯示及任何媒體儲存經處理過之資料價值資訊內容內容政策資料員工資料學校行政資料各項紀錄 5

資訊存在的形式形式電腦相關資料文件草稿工作文件信手塗鴉內部通訊法律規範檔案會議紀錄. 6

資訊的生命週期銷毀依機密等級進行銷毀產生自動產生人工產生必須由產生者或保管人區分機密等級傳送儲存或使用必須依機密等級設定存取權限對內傳送對外傳送依機密等級進行加密或加封套 7

小兵賣廢紙, 洩漏國防軍機平面媒體花了 40 元, 買到這兩大袋廢紙條, 只是內容不是紙板紙箱這麼簡單, 經過拼湊, 赫然發現廢紙條上的文字依舊清晰可見, 內容涵蓋六大機密, 包含了我國監控共軍戰報, 空軍演習計畫和美軍動態等內容國防部長下令徹查, 只是為了防止軍機外洩, 軍方才花了八億元增購監控電腦裝備, 如今機密卻因為小兵最傳統的文件銷毀疏失外流, 實在相當諷刺資料來源 :96/10/02 台視新聞 8

設備報廢也必須做好處理現在的大多數影印機都內置硬碟, 它可以存儲大量的歷史資訊, 從而成為洩露個人隱私或商業秘密的隱患最堪憂的是, 很多人並不知道這一風險的存在打開影印機的後蓋, 就會發現一個體積不大的硬碟 - 資訊洩密的風險就藏在這裏, 它和電腦硬碟一樣, 可能儲存著用戶的所有資料一家專門負責資訊安全的公司做了調查, 他們把二手影印機的硬碟拆卸下來以後, 很容易就發現了 300 多頁的個人醫療數據, 還有公司的公司記錄, 另外一臺影印機硬碟裏則是保險公司承保人的資訊拿到這些數據的代價非常低, 一套網際網路的免費軟體加上低價回收來的舊影印機資料來源 :2010-06-23 大陸電腦報 9

資訊安全三要素資訊安全之目的達成下列三大目的機密性 (Confidentiality) 確保只有被授權的人可以存取完整性 (Integrity) 確保資訊及處理方法的正確及完整可用性 (Availability) 確保被授權的人有需要時可以存取機密性完整性可用性 10

何謂 ISMS? ISMS(Information security management system) 稱為資訊安全管理制度 / 系統 : 乃組織整體管理制度 / 系統的一部分, 必須依據風險管理的方法加以制訂, 進而用以建立執行操作監控審查維護與改進組織的資訊安全 ISMS 目的在於保護資訊資產的機密性可用性與完整性 11

政府機關資訊安全責任等級分級作業教育部所屬機關及各級公私立學校資訊安全責任分級 A 級 : 教育部台大醫院成大醫院 B 級 : 入學考試常設機構大學區域網路中心縣 ( 市 ) 教育網路中心陽明大學附設醫院承辦入學考試業務機關學校 ( 包括四技二專國中基測承辦學校 ) C 級 : 技術學院專科學校. 部屬館所 D 級 : 高中職國中小學作業名稱等級防護縱深 ISMS 推動作業稽核方式資安教育訓練 ( 一般主管資訊人員資安人員資安人員一般使用者 ) 專業證照 A 級 NSOC 直接防護 / SOC 自建或委外 IDS 防火牆防毒郵件過濾裝置通過第三者驗證每年至少 2 次內稽 1. 每年至少 (3 6 18 3 小時 ) 2. 資訊人員資安人員需通過資安職能鑑定維持至少 2 張資安專業證照 B 級 SOC( 選項 ) IDS 防火牆防毒郵件過濾裝置通過第三者驗證每年至少 1 次內稽 1. 每年至少 (3 6 16 3 小時 ) 2. 資訊人員資安人員需通過資安職能鑑定維持至少 1 張資安專業證照 C 級防火牆防毒郵件過濾裝置自行成立推動小組規劃作業自我檢視每年至少 (2 6 12 3 小時 ) 資安專業訓練 D 級防火牆防毒郵件過濾裝置推動 ISMS 觀念宣導自我檢視每年至少 (1 4 8 2 小時 ) 資安專業訓練 12

教育體系資通安全管理規範參考 ISO 27001:2005 CNS 17800 以及我國政府規範等法令標準, 訂定出適用於教育體系之資通安全管理規範使各級學校與教育網路中心能以最低成本與時間, 建構嚴謹且合適之資訊安全管理系統配合教育部規劃之教育機構資安驗證機制教育機構資安驗證機制, 建構國內專屬之第三方驗證標準教育部已於 96 年 6 月 11 日發函各機關學校公布推動教育體系資通安全管理規範及國中小學資通安全管理系統實施原則以做為教育體系各機關學校落實資安管理制度參考 13

14 教育體系資通安全管理架構教育體系資通安全管理架構教育體系資通安全管理架構教育體系資通安全管理架構 11 個控制領域個控制領域個控制領域個控制領域 36 個控制目標個控制目標個控制目標個控制目標 100 個控制個控制個控制個控制措施措施措施措施相關法規與施行單位政策之符合性業務永續運作管理資訊安全事件之反應與處理人員安全管理與教育訓練實體與環境安全通訊與作業安全管理系統開發與維護之安全存取控制安全資訊資產分類與管制資訊安全政策訂定與評估資訊安全組織資訊安全管理系統之稽核

教育機構資安驗證機制 15

個人資料保護法修訂的衝擊 16

何謂隱私 (Privacy)? 保障個人資訊使用的基本權利與義務, 並條理出應有的行為規範與判斷是非善惡的準則隱私意指足以識別該個人的資料, 一個人對個人空間 (Personal space) 的私密性主張, 亦即其不為人所侵犯 (Intrude) 的權利網上隱私指網路使用者在網上享有的私人生活安寧與個人資訊依法受到保護, 不被他人非法侵犯知悉搜集複製利用和公開的一種人格權也指禁止在網上洩露某些與個人相關的敏感資訊, 包括事實圖像及譭謗的意見等 17

個人隱私資料區分就電子資訊網路而言, 個人的隱私資料可區分為以下四個部份 : 個人屬性 (Privacy of a Person's Personal ) 個人資料 (Privacy of Data about a Person ) 個人通訊內容 (Privacy of a Person's Communications ) 個人匿名 (Anonymity ) 18

個人屬性的隱私凡涉及個人本身獨一無二的隱私, 都屬於個人屬性隱私的範疇姓名出生日期身份證字號個人肖像聲音 19

個人資料的隱私經蒐集個人平常使用行為模式皆屬於個人資料個人消費習慣病歷資料宗教信仰政黨傾向工作職業保險投保等紀錄 20

個人通訊內容的隱私經由網路傳送或接收個人通訊資料也是隱私的範疇之內電子信件 (E-mail) 電子資料檔案 (File) 個人電子相簿 (Album) 網路上的交談內容 (Chat content) 個人通訊內容的監控 (Monitor) 披露 (Make Public) 等情事也會間接侵犯隱私 (Privacy invasion) 21

個人匿名隱私匿名, 是隱私權的最高層形式匿名的程度會影響到使用者在資訊使用上的權利 : 匿名的網路購物可保護個人資料的隱私權, 例 : 消費內容個人的祕密行為, 例 : 在家中的行為 22

個人資料保護在生活中, 我們會在許多場合填寫個人資料給許多不同單位 ( 包括公務機關或非公務機關 ), 讓他們將資料建立處理或利用檔案學校中保存與處理職員師生及家長之個人資料 23

電腦處理個人資料保護法侷限性台北縣政府經濟發展局向法院部查詢, 部分 KTV 視聽歌唱業者, 私自留存消費者的個人資料, 包括消費者個人照片身分證號碼手機住家地址及電話等資料, 如果涉及個資個資外洩, 是否適用電腦處理個人資料保護法的規範法務部指出, 現行電腦處理個人資料保護法主要是規範公務機關如果是非公務機關, 依該法是指 : 1 徵信業及以蒐集或電腦處理個資為主要業務的個人或團體 2 醫院學校電信業金融業證券業保險業及大眾傳播業 3 其他經法務部會同中央目的事業主管機關指定的事業個人或團體包括, 期貨業產物及人壽保險公會不動產仲介經紀業利用電腦網路開放個人資料登錄的就業服務業登記資本額為 1 千萬元以上的股份有限公司, 且有採會員制為行銷的百貨業零售式量販業等今年 7 月起擴大適用無店舖零售業者資料來源 :97/06/17 工商時報 24

個人資料保護法修訂 99 年 4 月 17 日立法院三讀通過施行細則, 由法務部定之施行日期, 由行政院定之未正式實施前, 電腦處理個人資料保護法仍然適用 ( 但廢除第 19~22 43 條 ) 立法目的保護人格權促進個人資料的合理利用 25

個人資料保護的範圍個人資料的形式 : 不管是電子資料電子資料或是紙本資料法律制訂的目的 : 規範個人資料之蒐集蒐集處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用蒐集 : 指以任何方式取得個人資料處理 : 指為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送利用 : 指將蒐集之個人資料為處理以外之使用 26

個資保護各階段的重點蒐集處理利用特定目的資料提供特定目的利用外之限制其他特定的要件正確性維護國際傳遞之限制 27

個人資料的定義個人資料 : 指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療醫療基因性生活性生活健康檢查健康檢查犯罪前科犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合 28

規範的範圍公務機關 : 指依法行使公權力之中央或地方機關或行政法人非公務機關 : 指前款以外之自然人法人或其他團體當事人 : 指個人資料之本人 29

當事人的權利當事人就其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一查詢或請求閱覽二請求製給複製本三請求補充或更正四請求停止蒐集處理或利用五請求刪除 30

作業委外時需注意受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關委外單位發生資料外洩視同委託機關資料外洩, 責任由委託機關負責!! 31

涉嫌販賣國中基測個資博暐公司涉嫌販售國中基測個資案, 經雄檢偵結, 負責人林正杰許慧珠等八人, 依背信或違反個資法等罪嫌起訴, 並求處林十年徒刑許女九年徒刑起訴書指出, 國立桃園高中被指定辦理九十七年國中基測後, 博暐以一千二百多萬元得標簽約, 受理考生報名, 並由公司負責建立考生基本資料電子檔但林正杰二度指示陳錫卿竊取學生個資後, 依據縣市區域, 分別燒錄至光碟, 交予國內各地補習班私立高中或個人, 獲取不法利益四百八十萬元 32

個人資料使用範圍的限制個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯非公務機關依規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 33

對於個人資料蒐集處理與利用公務機關應有特定目的且符合以下要件 : 一執行法定職務必要範圍內二經當事人書面同意三對當事人權益無侵害非公務機關應有特定目的且符合以下要件 : 一法律明文規定二與當事人有契約或類似契約之關係三當事人自行公開或其他已合法公開之個人資料四學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人五經當事人書面同意六與公共利益有關七個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 34

什麼是人肉搜索人肉搜索? 警方首度利用 FACEBOOK 人肉搜索破獲搶案! 台北市一家超商日前遭歹徒持菜刀行搶, 警方調閱監視器畫面鎖定嫌犯外貌, 卻抓不到人, 員警把搶匪畫面 PO 在 FACEBOOK 上請網友幫忙,2 小時內就有熱心網友提供線索, 順利在網咖逮捕搶匪一名中年男子企圖將一個十一歲小女孩拖進餐廳的洗手間, 幸好女孩的父母及時發現加以阻止, 但這件事馬上在網路上引發網友憤慨早上把餐廳監視器 PO 上網路啟動人肉搜尋, 下午網友宣佈抓到歹徒歹徒的職業住址甚至手機號碼車牌號碼等, 網友都找得到, 也協助警方辦案, 順利將歹徒逮捕資料來源 :2009/11/29 華視 35

人肉搜索人肉搜索未必都有好結果 98 年 10 月 4 日一位台大學生周鬍子在網路上公開徵求一夜情的對象, 引發網友不滿, 被人肉搜索出來, 周鬍子出面道歉也接受公審, 甚至丟掉學位以及工作還沒找到一夜情的對象, 周鬍子就成了受害人吳育昇婚外情事件女主角名字也是被人肉搜索出來的結果 36

有關網路人肉搜索之建議不要隨意參與網路人肉搜索不要在網路上洩漏 ( 自己或他人 ) 個人資料可能觸犯個資法勿在網路上隨意攻訐辱罵他人可能觸犯公然侮辱罪 37

蒐集資料時應告知事項一公務機關或非公務機關名稱二蒐集之目的三個人資料之類別四個人資料利用之期間地區對象及方式五當事人依第三條規定得行使之權利及方式六當事人得自由選擇提供個人資料時, 不提供將對其權益之影響有下列情形之一者, 得免為前項之告知 : 一依法律規定得免告知二個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要三告知將妨害公務機關執行法定職務四告知將妨害第三人之重大利益五當事人明知應告知之內容 38

個人資料之利用目的 -1 目前電腦處理個人資料保護法之特定目的一人身保險業務 ( 依保險法令規定辦理之人身保險相關業務 ) 二人事行政管理三土地行政四公立與私立慈善機構之目標五公共衛生六公共關係七火災預防與控制八戶政及戶口管理九不動產服務一公職人員財產申報業務一一立法或立法諮詢一二民政一三代理與仲介之管理一四犯罪預防刑事偵查執行矯正保護處分或更生保護事務一五外匯管理一六生態保育一七合法性審計一八交通運輸一九刑案資料管理 40

個人資料之利用目的 -2 六統計調查與分析六一就業安置規劃與管理六二著作權行政六三會計與相關服務六四電信監理業務六五資訊與資料庫管理六六會員 ( 籍 ) 管理 ( 含會員指派之代表 ) 六七農產品交易六八農產品推廣資訊六九募款七發照與登記七一傳播行政與管理七二華僑資料管理七三經營郵政業務郵政儲匯保險業務七四經營電信業務與電信加值網路業務七五債權整貼現及收買七六漁業行政管理七七僱用服務管理七八輔助性與後勤支援七九學生資料管理 41

個人資料之利用目的 -3 八八一八二八三八四八五八六八七八八八九九九一九二九三九四九五九六徵信學術研究選舉罷免事務衛生行政營建業之行政管理輻射公害輻射防護環境保護糧食行政管理保健醫療服務警政護照簽證及文件證明處理觀光旅館業及旅行業管理業務其他中央政府其他公共部門其他司法行政業務其他地方政府事務九七其他合於營業登記項目或章程所定業務之需要九八其他金融業務管理九九其他財政收入一其他財政服務一一其他諮詢與顧問服務 42

非由當事人提供個人資料蒐集非由當事人提供之個人資料, 應於處理或利用前, 向當事人告知個人資料來源及前條第一項第一款至第五款所列事項有下列情形之一者, 得免為前項之告知 : 一有前條第二項所列各款情形之一二當事人自行公開或其他已合法公開之個人資料三不能向當事人或其法定代理人為告知四基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限五大眾傳播業者基於新聞報導之公益目的而蒐集個人資料第一項之告知, 得於首次對當事人為利用時併同為之 43

當事人的請求權利公務機關或非公務機關應依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本提供閱覽或製給複製本但有下列情形之一者, 不在此限 : 一妨害國家安全外交及軍事機密整體經濟利益或其他國家重大利益二妨害公務機關執行法定職務三妨害該蒐集機關或第三人之重大利益查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用公務機關或非公務機關受理當事人依規定之請求, 應於十五日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾十五日, 並應將其原因以書面通知請求人 44

得收取處理費用查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用酌收必要成本費用免費可能資源被濫用收費可能被故意攻擊 45

維護資料正確性公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限公務機關或非公務機關受理當事人依規定之請求, 應於三十日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾三十日, 並應將其原因以書面通知請求人 46

通知義務公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱及聯絡方式三個人資料檔案保有之依據及特定目的四個人資料之類別公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人 47

保管責任公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 48

損害賠償責任公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證明其無故意或過失者, 不在此限如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下五百元以上二萬元以下計算對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元二億元為限但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同 49

損害賠償責任 ( 續 ) 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定對於同一原因事實造成多數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人二十人以上二十人以上以書面授與訴訟實施權者, 得以自己之名義, 提起損害賠償訴訟 50

罰則意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以下有期徒刑拘役或科或併科新臺幣一百萬元以下罰金中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一本章之罪, 須告訴乃論但意圖營利者, 或對公務機關犯妨害個人資料檔案之正確而足生損害於他人者, 不在此限犯本章之罪, 其他法律有較重處罰規定者, 從其規定 51

非公務機關未遵守規定之罰則非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 : 一違反蒐集非法令規定不得蒐集之個人資料二違反規定蒐集三違反規定涉及國家重大利益進行國際傳輸四違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分 52

非公務機關未遵守規定之罰則 ( 續 ) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 : 一未告知當事人二未依期限內當事人請求提供答覆查詢答覆查詢提供閱覽或製給複製本 ; 維護資料正確性 ; 或於資料發生被竊取洩漏竄改或其他侵害者告知當事人三非公務機關利用個人資料之行銷違反規定四非公務機關保有個人資料檔案者, 未採行適當之安全措施, 或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 53

非公務機關未遵守規定之罰則 ( 續 ) 非公務機關無正當理由, 主管機關規避妨礙或拒絕進入檢查或處分者, 由中央目的事業主管機關或直轄市縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 54

非公務機關個資管理法規依據法務部傾向以組織營運目的 ( 營業項目 ) 為分辨主管機關 : 如 PC home 可能為工業局上面的小商家可能為商業司上面的個人可能為縣市政府法務部正與相關機關確認事業主管機關中非公務機關條文已公布施行日期待行政院公布個人資料保護法法務部研擬中計畫明年初公布施行細則個人資料保護政策????? 事業主管機關個資保護指針 55

除外條款有下列情形之一者, 不適用本法規定 : 一自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料二於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料 56

補行告知責任本法修正施行前非由當事人提供之個人資料, 依規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反規定論處 57

施行細則訂定方向 -1 原則上只規範大範圍蒐集或者是透過電腦蒐集處理利用的個人資料方向一 : 資料保護基本方針各目的事業主管機關以法務部發布的基本方針為基礎, 依據不同產業的資料特性, 來訂定監管產業的個人資料保護標準指針 (Guidelines), 這些指針會納入基本方針所宣示的基本要項各產業再依照各目的事業主管機關所發布的標準指針, 來研訂企業內個人資料保護政策及應該遵守的相關法令要求方向二 : 不確定法律概念的具體化不確定法律概念的具體化有 2 個作法, 包括定義性的規定與建立次標準, 例如公共利益界定範圍的不確定概念, 例如特種資料適用範圍, 什麼是病歷, 什麼是醫療性資料, 哪些特種資料有哪些例外情形可蒐集, 哪些個資可視為一般資料不受特種資料的蒐集限制等有些概念需要建立程序性定義, 例如書面同意國際傳輸行政檢查 58 或團體訴訟等

施行細則訂定方向 -2 方向三 : 釐清責任歸屬包括委託關係民事責任刑事責任, 行政責任的認定, 如何區分委託者與受託者的權力義務關係, 企業或機關如何與內部員工公務員區分彼此的責任義務, 都將在細則中規定方向四 : 個人資料保護團體的認定未來每個企業和公家機關都將面臨大量的個人資料的查詢請求, 或是查詢個資在企業或機關內部是否有達到適當保管和適當安全維護, 這些查詢需要法令諮詢, 例如企業如何龐大群眾的法令諮詢訴訟損害賠償如何執行等 59

施行細則訂定方向 -3 方向五 : 確定執行個資保護事項的協調聯繫機制確定執行個資保護事項的協調聯繫機制是為了解決公務機關執行個資法時, 若發生了重大爭議時的協調聯繫機制用來作為公務機關間彼此溝通業務的管道, 也可以作為民間企業與公務機關的協調溝通機制, 另外還會建立國內個人資料保護的執行架構以及國際個人資料保護的執行架構方向六 : 明定目的事業主管機關的認定程序因為主管機關要負責行政檢查裁處罰鍰等, 角色非常重要, 所以, 必須確定產業的主管機關對企業而言, 目的事業主管機關就是個資法主管機關個人也會面臨個資法的規範, 但是, 個人不是營業單位, 沒有目的事業主管機關, 法務部傾向於以居住地認定, 由各縣市政府擔任個人的個資法主管機關 60

施行細則訂定方向 -4 方向七 : 公開和報告的義務公務機關應清查自己所擁有的個人資料檔案名稱機關名稱及聯絡方式擁有這些個資的依據以及特定目的個人資料類別等四項法定項目公開, 在細則中將明定各機關公開資訊的期限將來還會有報告義務, 法務部會視預算, 發行年刊, 若預算不足則發行年鑑, 來記錄每一個公務機關或非公務機關的個人資料保護執行成效, 並進行執行成效的統計分析施行細則還會訂定一些共同辦理事項與配套措施, 包括修正特定目的的範圍, 採取分類編號的方式, 建立共通性的總類特定目的, 以及依業務別區分的個別性特定目的, 做為主管機關監督管理的工具, 未來行政檢用來判斷企業是否合法蒐集使用和處理個資, 就是以特定目的作為認定依據特定目的是每一個蒐集者都需要注意的事新法中規定凡法律有明文規定者可以作為蒐集處理跟利用的要件, 也就是說, 只要目的事業主管機關修正相關法令規定, 訂定產業需要蒐集處理或使用的資料範圍, 就可以排除告知義務 61

相關案例分析 62

洩漏個資侵隱私博客來書店判賠去年十一月四五日, 曾郁智等十七位住在台北縣市的民眾, 為了購買台北金馬影展套票, 依指示進入博客來網站登錄會員並註冊套票後, 卻在博客來回覆註冊成功的電子郵件訊息中, 發現夾帶先前已註冊成功的四百七十七位會員資料回覆電郵疏失夾帶會員資料進一步了解後, 才發現博客來網站程式有疏失, 造成註冊成功的個人資料外流, 容易讓有心人透過管道取得個資, 使個人隱私遭受破壞, 因此共同提出民事訴訟, 要求博客來依個資法及侵害隱私權, 賠償各人九至十萬元法官審理認為, 本案確實是因為被告人員業務處理疏失, 才將原告的姓名等個人資料, 無端附加在購票確認系統回覆電郵, 公開揭示和購票目的無關的第三人, 自屬侵害隱私權, 原告主張受有非財產上的損害有理由台北地方法院十九日判決博客來必須賠償每人二千四百元至一萬一千九百元不等至於違反個資法部分, 法官認定博客來網站不是電腦處理個人資料保護法規定的非公務機關, 原告不能依該法求償資料來源 : 2008-11-20 中國時報 63

校長洩漏個資, 洩密無罪檢方起訴時指出, 南郭國小校長顏士程涉嫌在前年十二月九日在校長室將燒錄在光碟片裡的八百零四名學生和家長個資, 交予補教業者吳芝庭平和國小校長林火旺也在前年十二月七日將燒錄有八十七名學生家長資料的光碟, 交給吳芝庭的姊姊吳芳宜法官審理後認為包括南郭國小校長顏士程平和國小校長林火旺洩露的個資並非具有利害關係的秘密, 判兩人無罪 ; 至於違反電腦處理個人資料保護法部分, 因告訴人已撤告, 同時裁定公訴不受理彰化地院發言人余仕明庭長指出, 無罪判決完全是依法論法, 若當事人因個人資料外洩造成權益受損, 可透過民事訴訟尋求補償資料來源 :2010-03-16 聯合報 64

香港政府個資外洩香港政府近年不斷加強推動資訊安全工作, 但立法會的文件顯示, 過去一年仍有 8 件政府資料洩漏事故, 受影響人數超過 3000 人, 最嚴重個案是去年 10 月勞工及福利局遺失一顆可攜式儲存裝置, 內載有 2666 人的個人資料, 另外有康文署員工的辦公室電腦被偷走, 當中載有 410 人的資料資料來源 :2010-07-07 香港明報 65

香港醫院個資一再發生外洩香港明愛醫院日前爆出公立醫院歷來最嚴重的病人資料失竊醜聞, 一個載有該院三千多名病人個人資料的電腦硬碟遭人強行拆除偷走, 至今不知所蹤, 硬碟內載有病人姓名性別年齡及身份證號碼等個人敏感資料九龍醫院護士學校又被揭發遺失一支載有三百多名護士學生個人資料的 USB 隨身碟資料來源 :2010-06-21 香港太陽報 66

香港八達通公司販售客戶資料個人資料私隱專員公署昨就八達通事件召開聆訊, 八達通行政總裁陳碧鏵推翻過往說法, 終承認有出售客戶個人資料予 6 家廠商作推廣之用, 以獲取佣金分紅年費和獎賞金等,4 年半從轉售資料共獲利 4,400 萬元八達通獎賞及八達通廣聯兩家公司, 於 2006 年 1 月至今年 6 月間, 轉售 197 萬客戶資料給 6 間公司, 來源包括個人八達通自動增值服務和日日賞每間公司平均聯絡每名客戶 1.7 次, 八達通在 4 年半獲利 4,400 萬元, 佔總收入 31%, 但扣除投資和營運開支, 反而虧損 3,000 萬元她說正與信諾與 CPP 商討提前終止合作, 承諾不再向商戶提供客戶資料資料來源 : 香港都市日報 2010-7-27 67

銀行違法利用個人資料金管會進行金融檢查的時候發現, 遠東銀行將客戶的車貸資料, 洩漏給合作車商, 且遠銀在 3 年內已有類似前例, 因此, 聯徵中心罕見地祭出重罰, 將停止遠銀的消金部門, 在聯徵中心的查詢長達 42 天 ; 銀行同業說, 這和過去僅略施懲戒, 停止個 5~30 天相比, 這幾乎成為聯徵中心開罰最重的一次紀錄面對聯徵中心祭出停權 42 天限制, 負責車貸業務的遠東銀行消金及信用卡事業群副總經理李銘博表示, 一切將配合主管機關指示, 進行更嚴謹的內控查核, 也第一時間與合作車商溝通, 避免類似情事再度發生資料來源 : 工商時報 2010-8-11 68

資料外洩的管道美國身份竊盜資源中心 (Identity Theft Resource Center, ITRC) 於上周公布了 2009 年的資料外洩分析報告, 指出惡意攻擊取代了蟬連三年的人為疏失, 成為資料外洩的主因根據 ITRC 的分析, 去年資料外洩事件中, 惡意攻擊 ( 駭客及內賊 ) 佔了 36.4%, 在近三年來首度取代人為疏失, 成為資料外洩的主要原因而人為疏失 ( 資料遺失及意外揭露 ) 在去年則佔了 27.5% 去年 ITRC 所蒐集到的 498 件資料外洩事件總計影響了 2.2 億筆以上的個人資料, 其中之一為美國軍方在去年 10 月將硬碟送修時忘了銷毀硬碟資料, 而該硬碟儲存了 7600 萬筆退休軍人的資料此外, 統計發現書面資料外洩佔了所有外洩事件的 26%, 分析發生資料外洩的產業別, 由商業類別 41% 居冠, 金融及醫藥產業則因有嚴格的規定, 而成為資料外洩比例最低的兩大產業資料來源 :2010-01-11 IThome 69

員工盜賣客戶資料英國資訊委員會辦公室 (ICO)11/17 發佈公開聲明指出, 近來英國發生一起電信業者員工盜賣客戶資料給競爭對手的事件, 要求立法對此違法行為處以監禁刑責, 以遏止此一歪風 T-mobile 被盜賣資料包括客戶合約細節的資料, 被盜賣給一仲介業者此仲介商再向其他電信業者兜售, 讓競爭對手可以在合約即將到期前與消費者連絡, 以進行促銷 ICO 的調查顯示, 這些資料已經被轉賣了好幾手, 相關人員也已獲取為數可觀的報酬據瞭解, 牽涉的客戶資料數量有可能是數百萬筆資料來源 :2009-11-18 IThome 70

勿利用權限不當查詢系統立委吳育昇的婚外情對象孫仲瑜在 2009 年 11 月事件爆發後, 始終沒有露面, 也讓外界對她充滿好奇, 據了解孫仲瑜這三個字, 被全國警用電腦查了上千次警方深入調查發現, 國內有 68 名警員, 透過刑案資訊系統查詢孫女個人資料警政署資訊室主任李相臣說, 查詢民眾個資時, 員警必須以自己的帳碼登入系統, 所以凡查過必留下痕跡, 警方由此發現, 全台有 16 個單位共 68 名警員, 曾以電腦查詢孫仲瑜的個人資料, 還有人好奇到重複查詢兩次以上, 所以總共有 70 多筆查詢紀錄警政署認為, 這些查詢純因出於好奇, 與辦案無關, 因此下令對這些違反作業規定的警員祭出懲處, 最高可處兩次申誡 71 資料來源 :2010-01-17 中國時報民視

雇用駭客竊取個人資料陳光著徐苑玲夫婦涉嫌勾結大陸駭客, 入侵政府機關電信及網路購物公司盜取四千多萬筆個資, 轉賣詐欺集團, 對外宣稱上自總統下至庶民想得到就查得到, 昨天被板橋地檢署起訴檢方依違反電腦處理個人資料保護法等罪, 起訴陳光著徐苑玲夫婦, 及共犯游騏鴻高銘鍵和電腦工程師王溫志五人檢方調查, 陳光著集團從九十五年起, 陸續在大陸僱用電腦駭客, 從健保局教育部及戶政等政府機關和各家電信公司東森購物等多處管道入侵, 盜取個人資料, 累計多達四千多萬筆 ; 並從中華郵政網路銀行, 將客戶存款盜轉走數百萬元資料來源 :2010-06-19 聯合報 72

變種灰鴿子病毒上海電腦病毒防範服務中心發出預警 : 對網路安全威脅很大的灰鴿子病毒又出現了新的變種, 並將於近期在網上爆發, 上網用戶須謹防, 以免個人資訊安全受損這種名為灰鴿子二代變種的病毒是一個反向連結的後門程式, 一旦病毒進入用戶系統, 會自動連結駭客指定的遠端 IP, 獲取用戶端的 IP 地址, 完成遠程式控制制的目的該後門病毒具有遠程監視和控制等功能, 可以對被感染系統中的文件進行任意操作, 並監視用戶的行為 ( 如 : 鍵盤輸入螢幕顯示光碟機操作文件讀寫滑鼠操作和網路攝影機操作等 ), 還可以竊取修改或刪除用戶電腦中存放的資訊, 從而對用戶的各種私人資訊造成嚴重的威脅感染該病毒的系統還會變成駭客的傀儡主機, 駭客可利用這些主機對指定的 IP 發起 DDoS 攻擊洪水攻擊等, 從而威脅網際網路的安全資料來源 :2010-07-10 新華網 73

變種灰鴿子病毒感染方式背景中導到一般網站藏有病毒的網站下載病毒感染以 port 80 主動報到上網瀏覽網站或點選 E-mail 超連結以 port 80 遠端遙控駭客 74

駭客灰鴿子灰鴿子的介面 75

殭屍病毒竊取金融資料防不勝防根據英國資訊安全公司 Trusteer 今年度的調查, 在英國與美國 550 萬台電腦中, 偵測到有 3000 台染上木馬病毒, 而這些木馬病毒正是造成今年 3 月大舉侵襲英美銀行業金融機構資訊網路社群, 竊取帳號到取資料的病毒程式 ; 然而, 這卻只是網路病毒世界的冰山一角 Zeus 1.6 是一種網路殭屍病毒, 它不只具有木馬程式的攻擊性, 還具有潛伏性所謂的殭屍病毒就是透過用戶在瀏覽網頁時, 入侵個人電腦, 但病毒不會立即發作, 而是潛伏在用戶電腦裡, 待駭客伺機而動這種殭屍病毒就是會透過瀏覽器如 :IE Firefox 等入侵用戶的電腦, 並偷走個人的重要資料, 甚至會讀取用戶瀏覽過的網頁或他人網站, 藉機盜取一整串的使用者名單駭客只須透過遠端伺服器就能讓中毒的電腦像殭屍一樣聽命於行任由駭客擺佈 ; 這是一般防毒軟體無法招架的病毒, 到最後只能讓駭客完全掌控電腦盜取大批資料資料來源 :2010-04-22 華視 76

這樣的程式於網路上也販賣一項網路安全調查顯示, 駭客集團已研發出攻擊工具組, 用來降低新手的進入門檻, 讓沒有經驗的新手輕鬆入侵電腦竊取資訊其中名為 Zeus (Zbot) 的犯罪工具組以 700 美元低價即可購得, 還可自動設計數以百萬計的客製化新型惡意程式碼, 並躲避安全軟體的偵測資料來源 :2010-05-03 聯合報 77

針對 Facebook 的攻擊英國廣播公司報導, 網路上最新流竄著名為 clickjacking 的駭客手法, 這種網路攻擊最令人訝異的是, 它會潛伏在 Facebook 用戶中, 佯裝成用戶朋友關係鏈裡的某一個喜好連結, 所以當用戶收到朋友分享的喜好連結, 如 :2010 世足賽最新美國偶像等串聯影片檔時, 若看到按下 (Click) 而按下選鈕, 其潛藏在 JavaScript 檔裡的語法卻是喜歡 / 同意 (Like/Agree) 這個移動滑鼠按下選鈕的動作, 代表用戶正被駭客騙, 手法是用螢幕上看到的按下喜好影片騙取用戶按下同意選鈕更需要注意的是, 連串接在主機上的麥克風 webcam 等, 也會被駭客入侵, 甚至可以對特定網站發動 DDoS 攻擊為此, 網路專家提醒用戶們, 在各網頁中看到不知名的連結, 或只有出現連結址無文字說明的影片, 都有潛伏危機的可能性, 必須謹慎注意不要點擊可疑的連結資料來源 :2010-06-4 鉅亨網 78

Facebook 的攻擊模式背景中導到 Facebook 網站影片連結下載 clickjacking 程式藏有 clickjacking 的網站點選同意主動報到上網瀏覽 facebook 遠端遙控滑鼠 WebCam 麥克風等駭客 79

AT&T 洩露十幾萬筆 ipad 客戶資料駭客組織 Goatse Security 利用 AT&T 網站功能的漏洞成功挖出了 114067 筆 ipad 客戶的資料, 這些 e-mail 及 SIM 卡卡號被洩露的客戶名單從紐約時報執行長 ABC News 主播到紐約市市長, 甚至白宮幕僚長, 以及很多美國國防部軍事機構, 及其他政府組織的官員 ; 當然還包括很多科技公司的帳號, 如 Google Amazon, 還有 Microsoft 駭客組織並未入侵 AT&T 的系統, 而只是針對其網站設計的漏洞設計腳本 (script), 然後以猜測的 SIM 卡卡號範圍呼叫出這些名單資料換句話說, 這些資料是任何人只要知道方法, 都能夠透過公開的網際網路而取得的 Goatse Security 已通知 AT&T 該漏洞, 而 AT&T 也已經在近日關閉相關功能資料來源 :2010-06-10 ithome 80

實體安全必須保護你們拉別人投保, 公司卻沒保竊險, 也沒設定保全警報, 實在離譜永靖鄉同一棟大樓中新光人壽員林鎮宏泰人壽泰安產物保險與精聯保險經紀人公司等共四家保險公司, 昨天都遭人闖空門, 竊走辦公室內值逾卅萬元的筆記型電腦液晶螢幕等三 C 電子產品, 警方採到多枚可疑指紋, 深入追查保險業務員遭竊的筆記型電腦, 存放的全是保險客戶個人資料及公司保險簡報資料等, 儘管都設定開機密碼, 仍有客戶擔心資料外洩員林警分局偵查隊長陳清說, 保險公司同一天遭竊, 不排除是同一竊盜集團所為, 竊賊應該是針對電腦而來, 將加強追查資料來源 :2010-04-21 聯合報 81

勿公務家辦位於東京的私立日本大學爆發網路個資洩漏事件, 大學總務部長大工原孝週二 (4/27) 召開記者會, 已洩漏個資約 1 萬 5000 件, 其餘仍有未查明的部分正在追蹤調查洩漏原因是 4/24 日人事課一名職員擅自將業務用資料複製到 USB 隨身碟攜出, 在家中個人電腦使用, 受到電腦內 P2P 軟體 Share 感染的病毒影響而洩漏至網路中根據調查報告顯示, 洩漏的檔案幾乎都是 Word 與 Excel 檔, 包括人事課轄下業務資料會議記錄, 以及該職員 3 月之前任職於日本大學醫學部附屬醫院時所管理的醫院職員通訊名冊, 至少有 1 萬 5000 份個資已流入全球網路中資料來源 :2010-04-28 ithome 82

大樓保全人員盜取信用卡資料台北市刑警大隊偵七隊日前接獲報案, 指稱內湖行善社區連續發生多起信用卡遭盜刷案, 被害住戶們沒有遺失信用卡, 仍發生信用卡遭盜刷, 且歹徒清一色在網路家庭 PCHOME 購物頻道, 盜刷筆記型電腦桌上型電腦主機與 IPHONE 等高價 3C 電子產品偵七隊透過信用卡風險管理中心追查, 發現發卡寄送過程並無漏洞, 且歹徒都是以假名假地址及人頭電話上網盜刷, 研判社區內賊所為的可能性最大, 進一步鎖定替住戶代收信用卡郵件的社區保全員涉嫌重大警方在保全員住處搜獲盜刷所得筆電 IPHONE 及 7 組信用卡號碼, 保全員坦承, 常代為簽收住戶信件, 拆閱信用卡公司寄給住戶的信用卡信件, 偷偷抄錄信用卡資料後, 再將信件黏好放回住戶信箱, 警方查獲的 7 組卡號, 是他準備拿來犯案的資料, 警方依竊盜妨害秘密等罪嫌移送法辦資料來源 :2010-04-17 中國時報自由時報 83

消費後被網路盜刷卡刷卡消費, 眼睛千萬不要離開自己的信用卡, 有加油站工讀生, 利用民眾加油不下車的盲點, 偷偷抄下信用卡號和背面的授權碼, 接著到網路消費盜刷, 有民眾因此損失十幾萬, 最後才發現, 怎麼信用卡沒掉也會被盜刷, 原來上面的個人資料, 已經在不知不覺的時候曝光就是這個動作, 拿信用卡刷卡加油, 人卻不下車這張卡就這樣, 遠離自己的視線, 這段時間已經給了盜刷集團機會了就是這家加油站的離職工讀生, 一手接過客人的信用卡, 另一手就開始抄資料, 抄什麼呢? 有什麼秘密藏在信用卡裡首先抄下信用卡卡號, 然後卡片日期最重要的是, 背後小小的數字叫做授權碼資料來源 :2010-07-12 華視 84

使用信用卡加入網路認證機制 85

大樓保全監守自盜押證遭盜辦手機知名廣告的導演莊永新, 日前數度赴北市一家製片公司洽公, 將身分證健保卡等證件, 輪番押在大門保全處, 未料竟遭保全員周嫌影印盜用申辦手機警方在北縣板橋市實踐路館前東路口路檢攔查時, 看見周嫌騎機車行經神態鬼祟, 將他攔下查驗身分, 卻意外發現其機車置物箱內, 有兩支新手機門號及證件影本等資料, 由於影本上的姓名與周嫌不符, 警方認為事有蹊蹺, 而帶回偵訊, 因而破獲資料來源 :2010-01-24 蘋果日報 86

處理網站資料須小心宜蘭縣教育處把鐘點代課老師 168 人的個人資料全 po 在網路上, 縣議員謝志得昨天批評教育處洩露個人隱私觸法, 要求道歉謝志得表示, 最近他接獲具名陳情, 指教育處在宜蘭縣本土教育網, 公告 98 年教學支援工作人員認證合格名單, 也就是符合資格的鐘點代課老師的姓名住址家裡電話公家電話行動電話, 讓詐騙集團或有心人士有機可乘教育處表示, 已將合格名單自網站中移除, 民眾無法自網站中瀏覽下載資料來源 :2010-03-17 聯合報 87

建議學校因應方式 88

日常生活中防止個人資料外洩信箱中的郵件隨時清理與個人資料有關的紙本資料要先處理才能廢棄各種帳單勿隨意棄置個人資料勿隨意填寫給他人勿在電話中將個人資料提供給他人信用卡作廢先消磁, 剪斷時晶片也要剪碎 89

建議本校因應方式關注個資法施行細則修訂的情形識別個人資料所在, 辨識可能風險, 進行控制指定個人資料專責單位及負責人依照法規要求, 建立完善管理機制 90

建立個人資料保護管保護管理機制制定個人資料保護管理程序個人隱私資料保護管理程序包括政策組織規劃執行檢查及改善 ; 當組織為其職務或業務而使用個人隱私資料時, 管理程序之目的為保護當事人個人資料的權利及利益建立 : 即依據政策, 規劃管理程序相關事項, 包括指導方針風險識別與分析角色與權責應變程序實作 : 即執行管理程序之運作程序蒐集處理與利用原則適當之控制當事人之權利教育訓練及認證資料加密技術存取控制技術流程管理技術及內部防禦技術等維護 : 即執行管理程序之檢查措施文件管制員工的監督受託人的監督訴怨及諮詢服務改進 : 即執行管理程序之稽核措施矯正與預防措施管理階層的審查 91

建立個人資料保護管保護管理機制 ( 續 ) 個人資料保護政策組織內的管理階層, 接受個人資料保護教育訓練後, 應該要建立組織之個人資料保護政策, 確保及維護所制定之政策考量組織的營運內容與規模, 適當的蒐集處理以及利用個人資料 ( 包含不超過利用目的以外範圍處理個人資料, 即目的外利用 ), 並採取所需的措施嚴格遵守處理個人資料時, 所涉及到的法律指導綱要及其他法令預防個人資訊的洩漏, 損失或毀損, 及更正個人資料訴怨及諮詢之回應處理個人資料保護管理程序的持續改進註記管理階層的姓名個人資料保護政策文件化, 並告知ㄧ般人及員工 92

建立個人資料保護管保護管理機制 ( 續 ) 指導方針組織於運作及營運上利用到的所有個人資料, 應建立個人資料確認程序, 並且持續維護此程序組織於處理個人資料時, 應建立法律檢查程序, 以確認所涉及之相關個人資料處理的法律指導綱要與其他法令, 並且持續維護此程序風險識別與分析組織應建立與維護風險識別分析程序, 以採取必要的對策, 避免違背個人資料之利用目的經確認之個人資料, 在蒐集處理或利用等各種行為時, 組織應建立風險識別分析程序, 並且持續維護此程序風險包括個人資料的洩露損失或毀損 ; 違反相關法律指導綱要及其他法令 ; 假設性的經濟不利狀況社會信心損失或對個人影響等遭遇風險時, 應採取必要的對策處理 93

建立個人資料保護管保護管理機制 ( 續 ) 角色與權責組織管理階層應指派適當的資源及角色來建立執行維護及改進個人資料保護管理程序, 並定義其責任及權責組織管理階層應建立一個具有權責的角色, 能將個人資料保護管理程序種種要求事項落實於文件表格, 並能讓組織內員工瞭解, 以有效執行個人資料保護管理程序組織管理階層應任命一位個人資一位個人資料保護管保護管理程序的管程序的管理者, 這個角色應具備瞭解及實作本系統內容的能力組織管理階層應賦予本系統管理者執行及運作個人資料保護管理程序之獨立權責, 以有別於其他部門個人資料保護管理程序的管理者, 應將個人資料保護管理程序的運作狀況向組織管理階層報告, 以作為審視並改進個人資料保護管理程序之基礎 94

建立個人資料保護管保護管理機制 ( 續 ) 應變程序組織應建立緊急狀況應變程序, 當發生個人資料洩漏損失及毀損時, 對組織的財務損失及社會信譽的損失個人的影響等降到最小發生個人資料洩漏損失及毀損狀況時, 應定義人員及時通知的內容格式, 或當發生狀況時相關應對的內容格式盡快公開宣布事實原因及對策, 以預防二次損害, 及避免發生類似案件等即時向相關組織通報原因與對策運作程序組織應有清楚及明確的個人資料保護管理程序運作程序, 以確保個人隱私資料保護安全蒐集處理與利用原則適當之控制當事人的權利教育訓練及認證 95

建立個人資料保護管保護管理機制 ( 續 ) 蒐集處理與利用原則組織應合法且適當的蒐集處理個人資料當組織蒐集處理個人資料時, 應特定其利用目的, 且應在達成目的所需必要範圍內蒐集處理之個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯組織不應蒐集處理或利用有關醫療基因性生活健康檢查及犯罪前科之個人資料組織直接向當事人蒐集個人資料時, 應明確告知當事人蒐集個人資料之目的類別利用方式等組織蒐集之個人資料非由當事人直接提供時之告知措施 96

建立個人資料保護管保護管理機制 ( 續 ) 適當之控制組織在達成利用目的範圍內, 應控管個人資料的正確性, 且保持隨時更新的狀態組織應依據個人資料處理的風險, 可採行必要且適當的措施, 如個人資料外洩保險措施組織應指定專人處理個人資料檔案之安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏個人資料被竊取洩漏竄改或遭受其他侵害時, 於查明後應以適當之方式通知當事人 97

建立個人資料保護管保護管理機制 ( 續 ) 當事人之權利對個人資料而言, 組織有權責依對於當事人所有的請求作回應組織應將個人資料檔案名稱機關的聯絡方式類別及利用目的等事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同當組織回應當事人時, 應注意不要造成當事人過重的負擔組織應依當事人之請求, 就其蒐集之個人資料, 答覆查詢提供閱覽或製給複製本組織為維護個人資料之正確, 應依當事人之請求更正或補充之個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料違反法律規定蒐集處理或利用個人資料者, 應主動或依當事人之請求, 刪除停止蒐集處理或利用該個人資料 98

建立個人資料保護管保護管理機制 ( 續 ) 教育訓練組織應對員工定期舉辦適當的教育訓練, 並建立及維護教育訓練程序, 此程序可讓每一階層與部門的員工瞭解個人資料保護的基本認知組織內的員工可瞭解個人資料保護管理程序的重要性及好處組織內的員工可瞭解個人資料保護管理程序的角色及權責組織內的員工可瞭解當違反個人資料保管理系統時, 可能會發生的結果個人隱私資料保護教育訓練可依照不同角色及權責規劃設計, 可區分為初階教育訓練進階個人資料教育訓練及專業教育訓練等 99

問題與討論 100

聯絡方式葉益禎 E-mail:ivan_yeh@reachingtop.com Mobile:0937080199 101