個資保護認知宣導 TUV NORD 協理黃廷弘
2 自我介紹 黃廷弘 Vincent Huang 現職 : TUV NORD 德國驗證公司 Senior Manager Business Development PCI DSS QSA BS10012 管理系統主導稽核員 PIMS /TSP Lead Auditor 個資管理系統稽核員 Europrise 歐盟隱私標章技術專家 CISSP 資訊安全專家認證 ISO 27001/ ISO 20000/ BS25999 Lead Tutor/ Lead Auditor 主導稽核員 itsmf Certified ISO20000 Auditor 稽核員 ITIL 3.0 Foundation Qualification Certified CDM Validator 碳排放稽核員 BICSI Data Center Designing Certificate 資料中心設計認證 TSI Data Center Appraiser 資料中心評估師 學歷 : Babson College, MBA 經驗 : HL7 協會隱私保護小組副召集人 ASUSTek Computer, 華碩電腦 臺灣大哥大電信資訊處 Travio Global Inc. Taiwan 聯絡方式 : V.Huang@tuvit.de
TUV TSP 個資保護管理服務 Trusted Site Privacy 隱私保護標章 源自德國與歐盟的適法性查檢 法律 法律必要項查檢 管理必要項查檢 技術必要項查檢 技術 管理
從違反個資法開始 洩漏個資應該要賠多少?
2013-2014 年最多的事件 ( 遭判賠 判刑 ) 5
最容易違反個資法的人 6
7 最容易違反個資法的場所 公佈欄 + 電線杆 + 臉書
最會掉個資的網域 edu.tw 8
露天拍賣 123 團購 燦坤 3C 賣場 9
10 詐騙宣導 日前, 新北市一名王姓男子接獲詐騙集團假冒露天拍賣客服人員, 致電詢問 9 月 24 日購買的商品是否收到, 王男回答收到後, 歹徒以新進人員操作錯誤, 誤設為分期約定轉帳, 將連續扣款 12 個月, 請王男至附近 ATM 依指示操作以解除設定 經操作 ATM 後, 又接獲銀行來電要求至便利超商購買新台幣 50 萬元的遊戲點數, 其間若遇便利商店店員詢問都以遊戲使用帶過, 並在購買後立刻於電話中告知遊戲點數序號及密碼, 以驗證身分, 之後王男因多天未接到連絡, 主動打電話到銀行詢問才發現被騙, 損失金額高達 70 萬元 另有一位家住台中市的 30 歲張小姐, 則是接獲詐騙集團假冒 123 團購客服, 稱張小姐於 10 月 18 日登入網站購買的肥皂盒金額 169 元, 後續同樣以工作人員設定錯誤導致分期扣款 至 ATM 解除設定 買遊戲點數驗證身分等相同理由及手法行騙 過程中, 要求張小姐將其他家銀行存款匯入指定帳戶時, 招致張小姐起疑並求助警方, 總計損失金額 10 多萬元
過往事件 Sony 網站 6000 萬筆 Nokia 170 萬筆 中國信託 3.3 萬筆 玉山銀行 1.6 萬筆 Groupon 30 萬筆 11
12 掉最多個資的事件 (1) Ref:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
13 掉最多個資的事件 (2) Ref:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
14 3 2 1 2
爭吵, facebook 公告判刑 40 天 http://online.ithome.com.tw/privacylaw/article/82787 15
民事賠償一筆 5,000 2013年6月5日 台中地方法院102豐簡字164號判決中 被告 1 2 3 長億康橋管理委員會之現任主委 將原告前任主委 副主委在 管委會與社區先前保全公司間民事訴訟中 作證之證詞筆錄 4 公布於社區布告欄 並載明需要筆錄資料之住戶 可到管理是 登記領取 法院認定系爭筆錄上載有原告出生日期 身分證字 號 住址等資料 屬原告個人私密事項 本件被告於社區公告 欄上張貼公告.. 將無關訴訟情形之原告二人個資亦全然揭露 其有明顯之侵害原告二人個人隱私甚明 被告所辯 公告原告二人個資並無故意或過失 顯不足採信 被告未經同意擅將原告二人之個資公告 因而侵害 原告二人之隱私 則原告二人依法請求被告賠償精 神蔚藉金為有理由 自應准許 法院判決被告應賠 償兩名原告各5,000元 16
1 2 3 17
兵單洩男有愛滋 公所判賠錢 2013年07月04日 小健手拿 通報為HIV個案 的通知書 指此害他身分曝光 方萬民攝 張博亭 鮮明 連線報導 二十五歲的 1 愛滋感染者小健 化名 三年前向台中市 2 南屯區公所申請免服兵役 區公所卻將印 3 有 通報為HIV個案 的通知書 直接透 過里幹事轉交給小健的母親 讓他的感染 者身分曝光 經小健提起國賠 法院已判 南屯區公所需賠償小健五萬元 這也 是國內首起公務機關因洩露愛滋役男個資 而遭法院判賠的判例 18
19 刑事 + 民事賠償 1 2 3
20 個案一 : 非公務機關 QUESTION 1 請問洩漏一筆個資的代價?
21 個資法案例 : 博 來書店誤傳個資 2007 年 11 月博客來網路書店因工程師疏失, 誤將網路購書消費者名單回覆 477 位購買金馬影展套票的電子郵件, 致使客戶資料外洩 此外, 亦發生疑因該書店客戶個資外洩, 而遭歹徒利用進行詐騙的情事
金馬影展套票個人資料事件 博 來誠摯道歉 有關477位購買今年金馬影展套票的消費者 在回覆確 認的電子郵件中 發現其他消費者資料一事 本公司致 上最誠摯的歉意 而針對這些消費者 本公司將全額負 擔金馬影展套票金額(2600元) 以表達最深的歉意 針對此次事件發生緣由 主要是於11/5(五)傍晚 工程 人員未按照標準作業流程測試發信數量 以致發生信函 中有資料夾帶問題 事發後本公司於第一時間即進行各 項補救措施 並清查流出資料內容與範圍 1. 個人資料僅止姓名 地址 電話 或手機 電子郵 件地址四項 並無其他.. 22
但是頑強的釘子戶? 社會的正義使者? 除了道歉.. 賠償金額 賠償等值套票金額 2,600 元 e-coupon 500 元 17 人提出告訴 求償 90,000+ 16* 100,000 = 169 萬 23
24 判決文 本院斟酌兩造之關係 所受教育程度 身分 社會地位 經濟狀況及被告僅向購買金馬獎影展套票之同好揭露之原告個人隱私, 並非向不特定第三人公開, 過失情節非重 原告所受精神損害之程度尚微暨至今原告未有遭實質侵害等一切情狀, 認原告請求非財產上損害即精神慰撫金
賠償金額 = ƒ( 教育程度 身分 社會地位 經濟狀況 ) 職業學歷薪資 (96 年度 ) 財產 非財產上損害即精神慰撫金 1 學生台南藝術大學研究所 269,150 200,000 10,000 2 雜誌社執行編輯國立政治大學 264,060 10,000 3 無華梵大學休學 399,720 10,000 4 無台北大學 294,285 10,000 5 自行接案工作者銘傳大學 150,281 75,000 10,000 6 報社企畫國立政治大學 171,911 10,290 10,000 7 紡織業務專員國立政治大學 200,375 10,000 8 專案管理師世新大學 486,007 200,000+ 汽車 15,000 9 製片國立台灣藝術大學 84,807 8,000 10 剪接師國立政治大學 555,136 15,000 11 藥品公司行政南華大學 201,900 10,000 12 銀行專員台灣大學 288,162 10,000 13 無中國文化大學 59,227 62,100 10,000 14 企畫編輯台灣大學 520,199 15,000 15 學生國文化大學戲劇系 22,678 8,000 16 雜誌撰稿 252,000 10,000 17 律師荷蘭伊拉斯謨斯大學法學碩士 1,347,210 3,044,244+ 房子 土地 20,000 合計 191,000 平均 11,235 25
賠償金額 =ƒ( 過失情節, 損害程度 )+ 實質損失 被告過失情節非重 原告所受精神損害之程度尚微 暨至今原告未有遭實質侵害 每筆 11,235 26
其他個資議題
28 科工館洩 5 千訂戶伊媚兒 2012.03.25 國立科學工藝博物館爆發電子報會員個資外洩事件! 民眾爆料, 館方上周發送電子報時, 不慎把約五千筆訂戶的電子郵件信箱資訊, 放在電子報內容中發送出去, 訂戶收到連忙向館方抗議 1 筆名單值 1 元 爆料民眾另指因電子報訂戶多是高社經地位, 這批電子郵件的購買行情一筆名單值一元, 代傳廣告信一封也有零點五元, 屬市場搶手貨! 網路行銷業者則表示, 目前五十萬筆電子郵件信箱值三萬五千元, 五千筆約兩 三百元, 筆數不夠多, 願意買的恐怕有限! 業者並強調 : 有身分證字號的比較值錢, 一筆有五元行情
29 OO 科大洩 200 學生個資 2013.07.11 投訴組 高雄報導 高雄 OO 科技大學管理學院資訊創新服務中心遭投訴外洩 200 餘名學生個資, 從網路上就可查到這些學生姓名 身分證字號 E-mail 帳號 手機 家裡電話 地址, 一覽無遺 對此, 正修科大表示, 經查是資訊創新服務中心網站更新, 資料備份時被網路搜尋引擎所連結, 已緊急請各搜尋引擎撤銷該連結 律師指出, 校方涉違反 個資法, 學生可求償
科技大學網站洩學生個資 2013.04.04 OO 科技大學圖書資訊處系統開發組組長劉 O 斌說, 在 3 月初至 3 月中請廠商測試校內媒合工作的系統功能, 約 200 筆個人資料, 不慎遭搜尋引擎取得資料連結路徑, 廠商作業有疏失, 自行發現後處理未完全, 經學生反映, 已完全刪除完畢, 會要求廠商負責相關責任 30
歹徒來電索個資 9 警乖乖給 2013.1.16 31
假長官來電 19 警洩個資緩起訴 2013.12.31 32
醫院賤賣病歷洩露病患隱私 桃園龜山鄉有一間 OO 醫院, 這間醫院已經停業了, 不過他們卻做著黑心生意, 將過去病患的病歷秤斤論兩的賣, 以每公斤五元的價格賣給回收商, 病患隱私全因此洩漏, 而華視記者實地到回收廠查證, 還出現黑衣男子企圖阻止事件曝光 2006/03/27 12:00 華視新聞 33
34 違反個資法 賠錢 民事責任 : 28-40 500-20,000 元二億上限 團體訴訟 關起來 刑事責任 : 41-46 五年以下 或併科 100 萬以下 罰鍰 行政責任 : 25 47-50 2~20 萬 /5~50 萬 負責人同等受罰
35 違反個資法 賠錢 民事責任 : 28-40 關起來 刑事責任 : 41-46 罰鍰 行政責任 : 25 47-50
36 南山人壽個資洩漏裁罰負責人 業務停 止一個月 http://www.ibat.org.tw/newsdesc.php?cid=5&newsid=4358
隱私保護資訊安全就夠了嗎? 37
個人資料保護 v.s. 資訊安全 個資保護 Cia ( 機密性 完整性 可用性 ) 防內 50%, 防外 50% 授權者的存取誤用 範圍集中於個人資料 AP 存取 log 資訊安全 CIA ( 機密性為主 ) 防外 80% 防內 20% 未授權者的存取 廣泛 包含個資 安全系統 log 38
合法使用者為企業機密資料的主要外洩管道 美國 CSI (Computer Security Institute) 的調查數據 70% 內部合法使用者造成 39% 員工曾經將客戶資料寄出 52% 曾在離職時帶走工作資料 86% 習慣性將郵件轉寄他人 30.01.2011 39
近六成辭職或被解僱的員工 帶走個資 大紀元記者明瑜編譯 據美國亞歷桑納州 Ponemon研究中心的報告顯示 近六成辭職 或被解僱的員工 在離開公司前會竊取現在公 司的資料 失竊率最高的五類資訊如下 電子 郵件名單遭竊率最高 65% 其次是非金融 業務資訊 45 客戶聯繫名單 39% 僱員資料 35% 及財務資料 16% 這項根據945名離職的成年人進行的調查發現 約六成離職員工竊取公司資料 這些竊取資料 的人中 79 承認 他們明知故犯 http://www.epochtimes.com/b5/9/3/2/n2447468.htm 40
2008 年日本個資洩漏分析 Ref: 2008 Information Security Incident Survey Report, JNSA 2011 41
42 責任歸屬釐清 法律項目 不適用 結果判定 是 否 可改善 責任歸屬單位 稽核結果各業務 IT 法務總部律師法律意見 24 0 8 10 6 16 6 4 2 33% 42% 25% 67% 25% 17% 8%
163.21.98.51 ( 圖書 ) 43
44
系統安全漏洞 45
46
47
163.21.98.12 48
個資法操作型定義 49
名詞定義( 2) 個人資料 指自然人之姓名 出生年月日 國民身分證統一編號 護照號碼 特徵 指紋 婚姻 家 庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情 況 社會活動及其他得以直接或間接方式識別該個人之資料 個人資料檔案 蒐集 處理 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 指以任何方式取得個人資料 指為建立或利用個人資料檔案所為資料之記錄 輸入 儲存 編輯 更正 複製 檢索 刪除 輸出 連結或內部傳送 利用 國際傳輸 指將蒐集之個人資料為處理以外之使用 指將個人資料作跨國 境 之處理或利用 50
個人資料的定義 個人資料 指自然人之姓名 出生年月日 國民身分 證統一編號 護照號碼 特徵 指紋 婚 姻 家庭 教育 職業 病歷 醫療 基 因 性生活 健康檢查 犯罪前科 聯絡 方式 財務情況 社會活動及其他得以直 接或間接方式識別該個人之資料 個人資料檔案 指依系統建立而得以自動化機器或其他非 自動化方式檢索 整理之個人資料之集合 51
52 請問以下內容何者為個資 姓名 電話號碼 Email? 姓名 + email? 中指蕭? 施行細則第三條本法第二條第一款所稱得以間接方式識別該個人之資料, 指僅以該資料不能識別, 須與其他資料對照 組合 連結等, 始能識別該特定個人者
53 蒐集 處理 利用 ( 2) 蒐集 當事人 個人資料 其他來源 公開可取得資訊 處理 個人資料檔案 個人資料個人資料個人資料個人資料個人資料個人資料 利用 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 記錄 輸入 儲存 編輯 更正 複製 檢索 刪除 輸出 連結或內部傳送 國際傳輸 : 指將個人資料作跨國 ( 境 ) 之處理或利用
54 法條 8 告知義務 ( 直接蒐集 ) 第 8 條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一 公務機關或非公務機關名稱 二 蒐集之目的 三 個人資料之類別 四 個人資料利用之期間 地區 對象及方式 五 當事人依第三條規定得行使之權利及方式 六 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響
特定目的 55
特定目的 代號 特定目的項目 一 人身保險 人事管理 ( 包含甄選 離職及所屬員工基本資訊 現職 學 二 經歷 考試分發 終身學習訓練進修 考績獎懲 銓審 薪資待遇 差勤 福利措施 褫奪公權 特殊查核或其他人事 措施 ) 三一 全民健康保險 勞工保險 農民保險 國民年金保險或其他社會保險 四 行銷 ( 包含金控共同行銷業務 ) 一〇九 個人資料保護法之特定目的法務部令 教育或訓練行政 一一〇 一五八 一五九 產學合作 學生 ( 員 )( 含畢 結業生 ) 資料管理 學術研究 56
57 法律 3 當事人權利 當事人就其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一 查詢或請求閱覽 二 請求製給複製本 三 請求補充或更正 四 請求停止蒐集 處理或利用 五 請求刪除
第 8 條免告知 有下列情形之一者, 得免為前項之告知 : 一 依法律規定得免告知 二 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要 三 告知將妨害公務機關執行法定職務 四 告知將妨害第三人之重大利益 五 當事人明知應告知之內容 58
法條 9 告知義務(間接蒐集) 第9條 公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料 應於處理或利用 前 向當事人告知個人資料來源及前條第一項第一款至第 五款所列事項 有下列情形之一者 得免為前項之告知 一 有前條第二項所列各款情形之一 二 當事人自行公開或其他已合法公開之個人資料 三 不能向當事人或其法定代理人為告知 四 基於公共利益為統計或學術研究之目的而有必要 且該資 料須經提供者處理後或蒐集者依其揭露方式 無從識別特定當 事人者為限 五 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 第一項之告知 得於首次對當事人為利用時併同為之 59
個資法律遵循問題 60
個資法應辦事項整理 1 蒐集處理利用 2 3 告知取得同意處理或利用前告知 ( 間接蒐集 ) 8 9 建立管理作業流程 實施細則將規定 事業主管機關頒行 4 5 接受當事人行使當事人權利 12 6 查詢閱覽制給複製本補充更正 10 停止利用刪除 停止蒐集處理利用 15+15 日內 30+30 日內 個資遭竊 洩漏主動通知 採行適當資料檔案之安全措施 ( 防止竊取 竄改 毀損 滅失 洩漏 ) 11 7 8 個人資料檔案安全維護計畫 9 委外監督責任 13 13 17 事項公開於電腦網站 ( 公務 ) 11 刪除 一 個人資料檔案名稱 二 保有機關名稱及聯絡方式 三 個人資料檔案保有之依據及特定目的 四 個人資料之類別 27 業務終止後個人資料處理方法 61
告知及蒐集 處理 利用合法要件 直接蒐集 間接蒐集 8 告知義務 9 法定職務必要範圍 15/19 蒐集 處理合法要件 特定目的 16/20 利用合法要件 特定目的外利用合法要件
63 法條 8 告知義務 ( 直接蒐集 ) 第 8 條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一 公務機關或非公務機關名稱 二 蒐集之目的 三 個人資料之類別 四 個人資料利用之期間 地區 對象及方式 五 當事人依第三條規定得行使之權利及方式 六 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響
法條 9 告知義務(間接蒐集) 第9條 公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料 應於處理或利用 前 向當事人告知個人資料來源及前條第一項第一款至第 五款所列事項 有下列情形之一者 得免為前項之告知 一 有前條第二項所列各款情形之一 二 當事人自行公開或其他已合法公開之個人資料 三 不能向當事人或其法定代理人為告知 四 基於公共利益為統計或學術研究之目的而有必要 且該資 料須經提供者處理後或蒐集者依其揭露方式 無從識別特定當 事人者為限 五 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 第一項之告知 得於首次對當事人為利用時併同為之 64
法條 19 非公務機關蒐集 處理 第 19 條非公務機關對個人資料之蒐集或處理, 除第 6 條第 1 項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一 法律明文規定 二 與當事人有契約或類似契約之關係 三 當事人自行公開或其他已合法公開之個人資料 四 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 五 經當事人書面同意 六 與公共利益有關 七 個人資料取自於一般可得之來源 但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 蒐集或處理者知悉, 或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除 停止處理或利用該個人資料 65
個資法第 20 條 利用合法 第 20 條 非公務機關對個人資料之利用 除第六條 第一項所規定資料外 應於蒐集之特定目的必要範 圍內為之 但有下列情形之一者 得為特定目的外 之利用 一 法律明文規定 二 為增進公共利益 三 為免除當事人之生命 身體 自由或財產上之危險 四 為防止他人權益之重大危害 五 公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要 且資料經過提供者處理後或蒐集者依其揭 露方式無從識別特定之當事人 六 經當事人書面同意 66
個資法律遵循問題 67
告知及蒐集 處理 利用合法要件 直接蒐集 間接蒐集 8 告知義務 9 法定職務必要範圍 15/19 蒐集 處理合法要件 特定目的 16/20 利用合法要件 特定目的外利用合法要件
69 蒐集處理合法? 舉例 ( 公務機關 )
70 法條 15 公務機關蒐集 處理 第 15 條公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一 執行法定職務必要範圍內 二 經當事人書面同意 三 對當事人權益無侵害
公務機關處變不驚 民眾很驚 我 國稅局 我 國稅局 我 國稅局.然後把我的證件迅速影印了數份 這時又拿出了數份表格要求 填寫 看了一眼 全部都是身分證上有的資料 好奇心的驅使下 開始了下面的對話 對不起 請問一下 我的身分證你都影印了 為什麼還要叫我填 那麼多份表格 而且上面都要我的個人資料呢 我們公務員都是依法辦理啊 您怎麼會有這樣的問題 因為新修訂的個人資料保護法對於個人資料的蒐集 處理 利用 都有規定 我只是想要確認一下需要個人資料的依據 個資法 我們個人資料都保護得很好喔 我們的資料也不會外洩 那你這項業務還要不要辦 要啊 只是能不能麻煩您借我參考一下法源 聽得出來講話聲音有些不同了 但礙於便民服務的立場 又不得拒 絕 於是只好在座位附近東翻西找 自己的座位上找不到 又在隔 壁座位上找了一陣 這下子驚動了其他的人 只見兩三個人翻箱倒 櫃 終於在後面的大櫃中找到一個檔案夾 只見其中一位仁兄小心 翼翼得捧著那本... 71
作業程序? 72
法施行細則第 11 條 依本法第三十五條規定申請復查時, 應將下列證明文件連同復 查申請書送交 機關 : 一. 受送達 或 者, 為 或繳納收據影本 二. 前款以外情形者, 為 通知書 前項復查申請書應載明下列事項, 由申請人簽名或蓋章 : 一. 申請人之姓名 出生年月日 性別 身分證明文件字號 住 居所 如係法人或其他設有管理人或代表人之團體, 其名稱 事務所或營業所及管理人或代表人之姓名 出生年月日 性別 住 居所 有代理人者, 其姓名 出生年月日 性別 身分證明文件字號 住 居所及代理人證明文件 二. 原處分機關 三. 復查申請事項 四. 申請復查之事實及理由 五. 證據 其為文書者應填具繕本或影本 73
身分證影本有哪些資料? 74
身分證影本有哪些資料? 75
身分證影本有哪些資料? 76
矯正計畫 77
電信業申請 - 習慣性的填寫
行動通信業務管理規則 第四章 業務管理 第七十三條 經營者應核對及登錄其使用者之資料 經載入經營者之系統資料檔存查後始得開通 並至 少保存至服務契約終止後一年 有關機關依法查詢 時 經營者應提供之 以預付卡或其他預付資費方 式經營本業務之服務者 亦同 前項使用者之資料包括使用者姓名 身分證或護照 之證號 身分證或護照外之其他足資辨識身分之證 明文件證號 住址及所指配號碼等資料 第一項使用者資料之載入 應於經營者受理申請二 日內完成之
告知及蒐集 處理 利用合法要件 直接蒐集 間接蒐集 8 告知義務 9 法定職務必要範圍 15/19 蒐集 處理合法要件 特定目的 16/20 利用合法要件 特定目的外利用合法要件
告知問題 1. 需不需要告知? 2. 告知是否需要取得同意? 81
82 法條 8 告知義務 ( 直接蒐集 ) 第 8 條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一 公務機關或非公務機關名稱 二 蒐集之目的 三 個人資料之類別 四 個人資料利用之期間 地區 對象及方式 五 當事人依第三條規定得行使之權利及方式 六 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響
法條 9 告知義務(間接蒐集) 第9條 公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料 應於處理或利用 前 向當事人告知個人資料來源及前條第一項第一款至第 五款所列事項 有下列情形之一者 得免為前項之告知 一 有前條第二項所列各款情形之一 二 當事人自行公開或其他已合法公開之個人資料 三 不能向當事人或其法定代理人為告知 四 基於公共利益為統計或學術研究之目的而有必要 且該資 料須經提供者處理後或蒐集者依其揭露方式 無從識別特定當 事人者為限 五 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 第一項之告知 得於首次對當事人為利用時併同為之 83
新生學籍基本資料表 84
人事基本資料表 85
個資告知同意書 86
隱私權宣告 87
法條 19 非公務機關蒐集 處理 第 19 條非公務機關對個人資料之蒐集或處理, 除第 6 條第 1 項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一 法律明文規定 二 與當事人有契約或類似契約之關係 三 當事人自行公開或其他已合法公開之個人資料 四 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 五 經當事人書面同意 六 與公共利益有關 七 個人資料取自於一般可得之來源 但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 蒐集或處理者知悉, 或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除 停止處理或利用該個人資料 88
學生健康資料卡 89
新生健檢須知 90
新生學籍基本資料表 91
人事基本資料表 92
93
QUIZ 學校錄取員工 A 請 A 繳交 B 大學老師,C 前服務單位老闆資料請問是法合法? 學生出遊, 須辦理保險, 蒐集 學生姓名 地址 電話 生日 學生家長姓名 身分證字號 並將此報表交給承辦的保險公司 94
告知及蒐集 處理 利用合法要件 直接蒐集 間接蒐集 8 告知義務 9 法定職務必要範圍 15/19 蒐集 處理合法要件 特定目的 16/20 利用合法要件 特定目的外利用合法要件
96 法條 8 告知義務 ( 直接蒐集 ) 第 8 條公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時, 應明確告知當事人下列事項 : 一 公務機關或非公務機關名稱 二 蒐集之目的 三 個人資料之類別 四 個人資料利用之期間 地區 對象及方式 五 當事人依第三條規定得行使之權利及方式 六 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響
法條 9 告知義務(間接蒐集) 第9條 公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料 應於處理或利用 前 向當事人告知個人資料來源及前條第一項第一款至第 五款所列事項 有下列情形之一者 得免為前項之告知 一 有前條第二項所列各款情形之一 二 當事人自行公開或其他已合法公開之個人資料 三 不能向當事人或其法定代理人為告知 四 基於公共利益為統計或學術研究之目的而有必要 且該資 料須經提供者處理後或蒐集者依其揭露方式 無從識別特定當 事人者為限 五 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 第一項之告知 得於首次對當事人為利用時併同為之 97
法條 19 非公務機關蒐集 處理 第 19 條非公務機關對個人資料之蒐集或處理, 除第 6 條第 1 項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 一 法律明文規定 二 與當事人有契約或類似契約之關係 三 當事人自行公開或其他已合法公開之個人資料 四 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 五 經當事人書面同意 六 與公共利益有關 七 個人資料取自於一般可得之來源 但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 蒐集或處理者知悉, 或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除 停止處理或利用該個人資料 98
個資法第 20 條 利用合法 第 20 條 非公務機關對個人資料之利用 除第六條 第一項所規定資料外 應於蒐集之特定目的必要範 圍內為之 但有下列情形之一者 得為特定目的外 之利用 一 法律明文規定 二 為增進公共利益 三 為免除當事人之生命 身體 自由或財產上之危險 四 為防止他人權益之重大危害 五 公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要 且資料經過提供者處理後或蒐集者依其揭 露方式無從識別特定之當事人 六 經當事人書面同意 99
個資利用問題 100
告知及蒐集 處理 利用合法要件 直接蒐集 間接蒐集 8 告知義務 9 法定職務必要範圍 15/19 蒐集 處理合法要件 特定目的 16/20 利用合法要件 特定目的外利用合法要件
個資法第 20 條 利用合法 第 20 條 非公務機關對個人資料之利用 除第六條 第一項所規定資料外 應於蒐集之特定目的必要範 圍內為之 但有下列情形之一者 得為特定目的外 之利用 一 法律明文規定 二 為增進公共利益 三 為免除當事人之生命 身體 自由或財產上之危險 四 為防止他人權益之重大危害 五 公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要 且資料經過提供者處理後或蒐集者依其揭 露方式無從識別特定之當事人 六 經當事人書面同意 102
資料利用問題 103
申報用適合公開在網站? 104
消防署公開資料 105
畢冊揭個資 教局 留名字 不留地址電 話 2012.11.11 台中各級學校即將規畫畢業紀念冊 但因碰到個資法上路 一 時難以著手 台中市教育局長吳榕峯昨說 畢業紀念冊只要名 字 不留地址 電話全免 最好只編本班的師生圖像 不必 多花錢 買不認識的人當紀念 吳榕峯直截了當表示 他認為畢業紀念冊不可 當有心人運用個資的工具 只留師生姓名 不 留地址與電話 想聯絡的人自會留下聯絡方 式 不能辛苦收集半天 卻便宜了想利用個 資的人 吳局長表示 畢業紀念冊最好不要全校都編在一起 只會增 加購買的成本 多數人不會認識全校學生 要家長掏腰包買 這麼多不認識的人圖像 能紀念什麼呢 建議學校可以考慮以 各班編緝 106
QUIZ 請問學校是否可以在圖書館陳列畢業紀念冊 房東將房客資料提供給警員作為緊急救難需要 人事提供資料給警察或稅務機關 107
個人資料管理問題 108
團體健檢 109
110 案例 : 團保名單 A 公司 B 醫院 HIS 資料庫健檢名單比數 : 69K
案例 : 團保名單的奇幻旅程 4 A 公司 C 保險經紀 2 5 B 醫院 勞安衛承辦人 B 醫院健檢中心值班人員 1 總表 病歷室 A 6 HIS 資料庫健檢名單比數 : 69K 紙本 9 7 8 個人報告 1 紙本 111
案例: 團保名單的奇幻旅程 4 C 保險經紀 A 公司 B 醫院 2 5 勞安衛承辦人 B 醫院健檢中心 值班人員 總表 6 HIS 資料庫 健檢名單 比數: 69K 病歷室 1 A 9 紙本 7 8 1 紙本 個人報告 112
113 學生個資管理問題 招生組 註冊組 學籍資料管理生輔就輔 簡章 報名 考試 錄取 註冊 學務 教務 生活 實習 就業 校友 聯招 分發 家長 雇主 資料安全 存取控制 資料保存
114 學校 + 醫院常見問題 健保局 衛福部 教育部 校友會 委外廠商 學生個資 耕莘健康管理 教職員個資 耕莘醫院 永耕醫院 病患個資 醫事人員個資
家長 監護人? 115
116
117 法規名稱 : 學生健康檢查實施辦法 ( 民 國 102 年 03 月 29 日修正 ) 第 5 條學校辦理學生健康檢查前, 應通知學生及家長, 說明檢查之意義 項目及注意事項, 並將學生健康基本資料及平日健康狀況, 提供檢查人員參考 第 6 條學生健康檢查實施後一個月內, 應將檢查結果通知學生及家長 但學生已成年或有行為能力者, 應經本人同意後, 始得將檢查結果通知家長
118 民法家長定義 民法第 1124 條家長由親屬團體中推定之 ; 無推定時, 以家中之最尊輩者為之 ; 尊輩同者, 以年長者為之 ; 最尊或最長者不能或不願管理家務時, 由其指定家屬一人代理之
法定代理人與監護人 1086 條父母為其未成年子女之法定代理人 未成年人無父母, 或父母均不能行使 負擔對於其未成年子女之權利 義務時, 應置監護人 但未成年人已結婚者, 不在此限 119
企業資訊委外管理 120
補充 適當安全維護法律要求 第十二條 本法第六條第一項第二款所稱適當安全維護措施 第 十八條所稱安全維護事項 第二十七條第一項所稱適當之安全 措施 指公務機關或非公務機關為防止個人資料被竊取 竄改 毀損 滅失或洩漏 採取技術上及組織上之措施 前項措施 得包括下列事項 並以與所欲達成之個人資料保護 目的間 具有適當比例為原則 一 配置管理之人員及相當資源 二 界定個人資料之範圍 三 個人資料之風險評估及管理機制 四 事故之預防 通報及應變機制 五 個人資料蒐集 處理及利用之內部管理程序 六 資料安全管理及人員管理 121
補充 七 認知宣導及教育訓練 八 設備安全管理 九 資料安全稽核機制 十 使用紀錄 軌跡資料及證據保存 十一 個人資料安全維護之整體持續改善 122
123 委託外部廠商進行資訊處理 委外廠商 A 委外廠商 B 委外廠商 C 委外廠商 D 委外廠商 E 委外廠商.
委外管理法律要求 第八條 委託他人蒐集 處理或利用個人資料時 委託機關應對 受託者為適當之監督 前項監督至少應包含下列事項 一 預定蒐集 處理或利用個人資料之範圍 類別 特定目的及其 期間 二 受託者就第十二條第二項採取之措施 (適當安全維護) 三 有複委託者 其約定之受託者 四 受託者或其受僱人違反本法 其他個人資料保護法律或其法規 命令時 應向委託機關通知之事項及採行之補救措施 五 委託機關如對受託者有保留指示者 其保留指示之事項 六 委託關係終止或解除時 個人資料載體之返還 及受託者履行 委託契約以儲存方式而持有之個人資料之刪除 第一項之監督 委託機關應定期確認受託者執行之狀況 並將確認結 果記錄之 124
適當安全維護法律要求 第十二條 本法第六條第一項第二款所稱適當安全維護措施 第 十八條所稱安全維護事項 第二十七條第一項所稱適當之安全 措施 指公務機關或非公務機關為防止個人資料被竊取 竄改 毀損 滅失或洩漏 採取技術上及組織上之措施 前項措施 得包括下列事項 並以與所欲達成之個人資料保護 目的間 具有適當比例為原則 一 配置管理之人員及相當資源 二 界定個人資料之範圍 三 個人資料之風險評估及管理機制 四 事故之預防 通報及應變機制 五 個人資料蒐集 處理及利用之內部管理程序 六 資料安全管理及人員管理 125
七 認知宣導及教育訓練 八 設備安全管理 九 資料安全稽核機制 十 使用紀錄 軌跡資料及證據保存 十一 個人資料安全維護之整體持續改善 126
127 委外管理的要件及目的? 明確委託項目 進行監督事項 指示範圍 蒐集方式 內容適當安全維護複委託違反通知補救保留指示事項終止處理 ( 刪除 ) 安全及資料處理 定期監督 並留下紀錄 目的?
( 一 ) 委託蒐集 處理或利用個人資料範圍 範例文件 本署委託受委託廠商之範圍為前條主契約中約定之 契約蒐集 處理或利用範圍, 其中包括姓名 性別 戶籍地址 電話等範圍 ( 二 ) 委託蒐集 處理或利用個人資料類別本署委託受委託廠商之範圍為前條主契約中約定之契約蒐集 處理或利用範圍, 符合個人資料保護法所規範之 C001, C011 類別 ( 三 ) 本署之特目的本署蒐集 處理 利用個人資料之特定目的為一三八農產品交易一三九農產品推廣資訊一四〇農糧行政 ( 四 ) 委託蒐集 處理或利用個人資料期間 本署委託受委託廠商蒐集 處理或利用個人資料之期間為 同於主契約之起訖期間 自民國 年 月 日起至 年 月 日止 128
( 一 ) 受委託廠商就施行細則第十二條第二項採取之適當安全維護措施 ( 以下簡稱適當安全維護措施 ) 為確保受委託廠商對於受本署委託期間及指示範圍內作業均和於個人資料保護法施行細則之安全要求, 受委託廠商應依據個資法施行細則第 12 條第 2 項進行適當之安全維護措施, 並於主契約簽約或於收到本規範次日起 15 日內提交 安全維護措施計畫 或已實施之相關證明送本署核備 a. 受委託廠商已執行適當安全維護措施之證據 ( 例如程序書 執行紀錄等 ) b. 第三方公正單位出具之證明 ( 例如 : 通過認證證明文件 ) c. 本署或其他政府機構於三個月內曾進行對該單位適當安全維護措施外部稽核之結果 d. 其他足資證明之文件 以上證明應經過本署個人資料管理小組管理代表確 認, 必要時須經過本署資訊單位進行技術性確認後 確認其證明之有效性 129
130 適當安全維護措施確認時機點 RFP 資格審查 簽約前 簽約 簽約後交付資料各期請款合約期滿
一 個資委外監督報告繳交時間 監督方式設計 受委託廠商應每季最後一個月最後一個工作日 ( 三月 六月 九月 十二月 ) 繳交個人資料委託作業之監督報告 ( 以下簡稱 監督報告 ) 定期? 紀錄方式? 二 監督報告應包含內容 ( 一 ) 委託指示之範圍符合性報告項目受委託廠商應於監督報告中, 確認該報告期間內之作業是否符合本署委託指示之範圍 受委託廠商如於規範約定之期間內因作業需求而蒐集 處理或利用不同於主契約約定範圍或不同於本規範約定範圍之個人資料, 應立即以書面或其他方式向本署承辦人員反映, 並於接獲進一步指示前, 應暫時停止該作業之進行 ( 二 ) 執行受委託作業之狀況報告受委託廠商應於監督報告中進行該報告期間的作業執行結果統計, 內容詳細程度應確保本署承辦人員能了解受委託廠商之作業內容是否合於個人資料保 護法 主契約及本規範, 其中應包括 131
委外監督自評表 132
Q&A
134 TSP 個資保護管理服務 查檢 顧問導入作業 複檢 BS10012 驗證 律師 法律顧問技術顧問管理顧問律師 階段一稽核文件審查 稽核員 技術人員 合約修改法律意見文件撰擬 保護技術漏洞修正架構盤點 流程修正 制度設計 管理系統 稽核員 技術人員 階段二稽核實作審查 核發證書 頒證 法律諮詢 技術盤點 發現問題與風險確保合法 和於管理目標 合於國際標準 降低風險確保合法 安全 確認符合國際標準持續有效 人員訓練 管理與維運 事故處理