個人資料檔案安全維護計畫
第一條 依據
森宏生技股份有限公司(以下簡稱本公司)在處理個人資料檔案時,依據《網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法》第3條規定訂定個人資料檔案安全維護計畫(以下簡稱計畫),指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之適當安全維護措施,並以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。
第二條 界定個人資料之範圍
本公司基於個人資料保護法及相關法令之規定,取得客戶之個人資料,目的在於提供良好服務及執行職務或業務之必要範圍內,蒐集、處理及利用客戶的個人資料。依個人資料保護法之特定目的及個人資料之類別、個人資料保護法施行細則第11條法定義務之範圍內,據以界定本公司個人資料之範圍。
一、蒐集個人資料之特定目的與資料類別
1. 客戶:
(1) 蒐集客戶個人資料之特定目的為(040)行銷、(063)非公務機關依法定義務所進行個人資料之蒐集處理及利用、(069)契約、類似契約或其他法律關係事務、(090)消費者、客戶管理與服務、(091)消費者保護、(098)商業與技術資訊、(135)資(通)訊服務、(136)資(通)訊與資料庫管理、(137)資通安全與管理、(152)廣告或商業行為管理、(181)其他經營合於營業登記項目或組織章程所定之業務。
(2) 客戶之個人資料類別為識別個人之基本資料,及與契約所約定事項有必要之關聯性資料。其範圍如下:姓名、出生年月日、通訊地址、電話號碼、手機號碼、電子郵件信箱等。
2. 本公司員工或其他業務相關人員:
(1) 蒐集員工資料之特定目的為(002)人事管理(包含甄選、離職及所屬員工基本資訊、現職、學經歷、職務分配、學習訓練進修、考績獎懲、差勤、福利措施或其他人事措施)、(031)全民健康保險、勞工保險或其他社會保險、(063)非公務機關依法定義務所進行個人資料之蒐集處理及利用、(181)其他經營合於營業登記項目或組織章程所定之業務。
(2) 蒐集其他業務相關人員資料之特定目的為(069)契約、類似契約或其他法律關係事務、(107)採購與供應管理、(110)產學合作。
(3) 員工、其他業務相關人員之個人資料類別為識別個人之基本資料,及對執行業務或契約約定事項有必要關聯性之其他資料。例如:姓名、身分證統一編號、出生年月日、通訊及戶籍地址、電話號碼、手機號碼、電子郵件信箱、學經歷、相片、金融機構帳戶號碼、緊急聯絡人、過往受僱情形、工作紀錄、受訓紀錄、健康紀錄、家庭情形、與營業有關之執照等。
3. 對於本公司所蒐集、建立、持有之個人資料檔案,應定期清查檢視,如發現未經當事人同意之非屬必要性個人資料,或特定目的已經消失、期限屆滿而無保存必要者,應主動或依當事人請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
二、個人資料之蒐集與處理
1. 蒐集:
(1) 個人資料之蒐集必須符合第二條規定之特定目的外,還需具備與當事人有契約或類似契約之關係、或經當事人書面同意、或個人資料保護法(以下稱個資法)第19條規定要件之一者,始得為之。
(2) 所蒐集之個人資料類別與範圍,應以必要者為限。非必要之個人資料由當事人同意後自行提供。
(3) 蒐集個人資料時,應告知當事人個資法第8條所規定之事項:一、本公司名稱。二、蒐集資料之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依個資法第3條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
(4) 告知的方式原則上以口頭方式為之,但如不方便以言詞為之時,得採書面、電話、簡訊、電子郵件、傳真、電子文件或其他適當方式告知當事人。
(5) 當事人如果已經明白知曉上述應告知之事項時,得免再為告知。但如當事人仍為詢問時,應立即補行告知,不得拒絕。
(6) 個人資料非由當事人提供者(間接蒐集),得暫不告知該當事人,但在首次利用該個人資料時,應主動告知該當事人資料來源及個資法第8條所規定之應告知事項。
(7) 未經當事人之同意,不得以他人介紹、推薦等方式蒐集其個人資料。
2. 處理:
(1) 書面形式之個人資料,於輸入電腦系統後,該書面或表單應由專責部門(人)妥善保管於適當場所。
(2) 個人資料經分類、編輯、整理成為個人資料檔案後,其內部之傳送應符合作業規定,並應採取必要之保護措施。
(3) 招募新員工時,對於應徵者所提供之履歷表等個人基本資料,應詢問若未獲錄用時,得選擇下列三種方式處理:一、將應徵資料退還給當事人。二、授權本公司銷毀該資料。三、同意該資料由本公司暫存,若日後有適當工作時得予以通知。應徵者表示後,應尊重當事人選擇之方式,確實處理其履歷表等個人資料。
三、個人資料之利用
1. 特定目的內利用:
(1) 個人資料之利用應依個資法第20條規定,於第二條所載之特定目的內為之,且不得逾越必要範圍。
(2) 在特定目的範圍內利用個人資料,必須本於誠信原則尊重當事人之權益,並與蒐集資料之目的具有正常合理的關聯性。
2. 特定目的外利用:
(1) 若非經當事人之書面同意或經法令規定許可,個人資料不得任意揭露、販售或用於蒐集時的特定目的以外之用途。
(2) 個人資料做特定目的外之利用時,應事先經專責部門(人)之審核與同意。
(3) 未經當事人書面同意,不得以與其他機構或公司合作或關係企業為由,對當事人做本公司業務以外之行銷或宣傳。
3. 當事人行銷拒絕權:
(1) 利用個人資料做行銷時,應明確告知本公司名稱。當事人詢問資料蒐集來源時,應明確告知。
(2) 利用個人資料做行銷時,當事人如已表示不願意再接受行銷時,應立即停止行銷,作適當之處理及通知相關人員,並應將該個人資料移出行銷名單,或予以刪除。
(3) 首次對當事人做行銷時,應提供其表示拒絕接受行銷之方式,且當事人無需支付任何費用。
(4) 當事人於接受行銷或同意收受各類廣告、電子報等之提供後,亦得隨時要求終止,本公司即不得再寄發任何行銷文宣或任何資訊。
第三條 個人資料檔案安全維護措施:
一、 規劃
1. 指定專人(本公司服務部個資小組)負責依相關法令辦理個人資料檔案安全維護之規劃與執行事項,並作為本公司內部之個人資料管理代表,及對外個資保護聯絡窗口。被指定之專責人員,應定期(每半年)向負責人提出報告。
2. 辦理個資保護之專人,應負責規劃提供施行個人資料保護工作所需之資源,包括人力、物資或相關諮詢等。
3. 定期(每半年)對個人資料檔案保護風險進行評估並做成紀錄,如發現有影響個人資料安全之風險或漏洞,應立即採取改善及防備措施。
4. 當發生個人資料安全事件時,辦理個資保護之專人應立即報告負責人;若事件發生導致個人資料被竊取、洩漏、竄改或其他侵害者,應立刻依下列步驟執行應變措施:
(1) 採取適當之措施,控制事故擴大對當事人造成損害。
(2) 立即查明事故發生原因及損害範圍與程度
(3) 以言詞、書面、電子郵件、網路公告或新聞發布等適當方式通知當事人,以免其權益受損。
(4) 研議改進措施,避免事故再度發生。
5. 個人資料有錯誤或不足者,予以更正或補充後,應由該資料主辦部門主動或經當事人請求,將正確、完整之個人資料,通知曾提供利用之對象。
二、執行
1. 各部門應對於執行業務所蒐集、持有的個人資料予以分類整理,將資料來源、資料類別、資料性質(數位或紙本)、業務利用目的、處理內容、內部傳送對象、利用方式等載明流程表,並送交辦理個資保護之專人列管。
2. 各部門對於其所屬員工應製作業務職掌紀錄表,詳細記載執行業務是否蒐集、處理或利用個人資料及該個人資料之類別與範圍。
3. 辦理個資保護之專人應彙整各部門提交之個人資料蒐集、處理、傳送、利用之流程表與業務職掌紀錄表,分析評估可能發生之風險,對於有違法疑慮或保護不周之處,應立即查明並研提改進或控管措施。
4. 當事人行使個資法第3條之權利,請求查詢、閱覽、製給複製本或請求補充、更正、停止蒐集、處理或利用、請求刪除個人資料時,依下列方式辦理:
(1) 設立申辦窗口及聯絡方式(即本公司客服部)。
(2) 確認申請人身分是否為本人,或經本人委託。
(3) 依個資法第10條、第11條規定辦理,如有得拒絕之事由,應將理由告知申請人。
(4) 告知是否酌收必要成本費用及其收費基準。
(5) 辦理期限不得違反個資法第13條之規定。
5. 個人資料檔案安全管理
(1) 對於廢棄之紙本個人資料,應以碎紙機粉碎之,不得回收再利用。數量過鉅之紙本個人資料,應以其他方式徹底銷毀,銷毀過程應派員監督。
(2) 紙本個人資料有保存必要者,應選擇適當之保管場所並予上鎖責由專人保管,未符合相關程序或許可者,不得調閱或使用。
(3) 個人資料檔案應定期備份,並防止備份檔案被竊取、洩漏、竄改、毀損、滅失、或洩漏。
(4) 含有個人資料之紙本報表之申請、讀取、列印、使用、存檔、轉交等處理或利用行為,應有相關之管理機制。
(5) 個人資料輸入、輸出、存取、更新、更正或註銷等處理行為,應依據確定使用範圍及權限為之。
(6) 個人資料檔案之處理行為應設置使用者代碼及通行碼,使用者代碼不得與他人共用,通行碼須定期更新。
(7) 電子個人資料檔案禁止存放於網路芳鄰分享目錄。
(8) 電子個人資料檔案存放之電腦或自動化機器相關設備,應配置安全防護系統(防火牆)或加密機制,並隨時更新。
(9) 未具存取、查閱利用個人資料權限者,對個人資料檔案之處理、利用應留存使用者身分、識別帳號與其行為紀錄以供事後稽查。
(10) 電腦應使用螢幕保護程式,設定螢幕保護密碼,離開座位時應予開啟。
(11) 儲存個人資料之資訊設備應安裝防毒軟體,除至少每日更新病毒碼外,並應每週執行排程掃描。
(12) 儲存個人資料之資訊設備應定期檢視、更新作業系統、應用程式漏洞。
(13) 內部傳遞或與其他單位交換個人資料時,應選擇可靠且具備保密機制之傳遞方式,如於實體文件封袋加上彌封、或對資料檔案壓縮加密,並對轉交或傳輸行為加以記錄流向備查。
(14) 原則上不得允許維護人員或系統服務廠商以遠端登入方式進行牽涉個人資料的資訊系統維護或其他有關之運作;若需使用遠端登入方式進行維護,則應透過加密通道進行。
6.人員安全管理
(1) 依據業務作業需要,設定員工接觸、使用個人資料檔案之權限,以建立管理機制。權限設定內容及其適當性,應隨時檢討並做必要之修正。
(2) 處理、持有或保管個人資料檔案之人員,如離職或職務異動,應將所保管之儲存媒體及有關資料列冊移交。如有設置使用者識別帳號,接辦人員應於相關系統重置通行碼外,並視需要更換使用帳號。
(3) 處理、持有或保管個人資料之人員,應簽訂保密切結書,並確認於離職時或合約終止時,取消或停用其使用者識別帳號,且收繳其通行證及相關證件。
7.設備安全管理
(1) 儲存個人資料之資訊設備應注意場所之安全性,並做必要之管制措施,避免無關人員任意出入或接觸。
(2) 儲存個人資料檔案之磁碟、磁帶等相關儲存媒體,應指定專人管理,並置於上鎖之實體保護環境,必要時應建立備援機制,以防止資料損壞、遺失或遭竊取。相關儲存媒體非經權責單位同意並留存紀錄,不得任意攜出或拷貝複製。
(3) 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用時,應確實刪除該設備所儲存之個人資料檔案。
(4) 更新或維修電腦設備時,應派員在場監督,確保個人資料之安全及防止個人資料外洩。
三、認知宣導與教育訓練
1. 新進員工應施予有關個人資料保護法之宣導或教育訓練,提高個資保護之意識。
2. 定期或不定期在機構內辦理,或指派所屬員工參加其他機構辦理之相關個人資料保護教育訓練或講習,並作成學習紀錄。
第四條、稽核、檢查與紀錄保存
一、資料安全之稽核檢查
1. 應定期或不定期執行稽核作業,檢查安全維護措施有無疏漏之處,以確保相關措施之有效性。
2. 稽核人員由負責人或業務主管指派,且不得與辦理個資保護之專責人員相同。檢查結果稽核人員須向負責人提出報告。
二、下列個人資料檔案之使用紀錄、軌跡資料及其他相關證據資料應予保存或記錄於業務職掌紀錄表中,以便日後釐清責任或作為證據。
1. 個人資料蒐集、存取、交付、傳輸等紀錄。
2. 個人資料利用之紀錄。
3. 自動化機器設備之軌跡資料。
4. 權限新增、變動及刪除之紀錄。
5. 當事人行使權利之紀錄。
6. 當事人拒絕接受行銷及相關處理紀錄。
7. 個人資料變動、更正、補充等紀錄。
8. 個人資料刪除、廢棄、銷毀紀錄。
9. 風險評估紀錄。
10. 業務委外辦理時,依個資法施行細則第8條規定之監督紀錄。
11. 因應事故發生所採取行為之紀錄。
12. 稽核作業檢查與改善程序執行紀錄。
13. 專責人員定期向負責人提出報告之紀錄。
14. 執行宣導、教育訓練或員工學習紀錄。
15. 其他與個人資料檔案有關之紀錄。
第五條 業務終止之資料處理
一、業務終止後,所保存之個人資料原則應予銷毀,並應記錄銷毀之方法、時間、地點、執行人等資訊。
二、業務終止後,如保存之個人資料得移轉者,應記錄移轉原因、對象、方法、時間、地點、執行人及受移轉對象得保有該個人資料之合法依據等資訊。
三、業務終止後,須刪除、停止處理或利用個人資料時,應記錄其時間、地點、方法與執行人等資訊。
第六條 改善行動
一、稽核發現缺失時,應立刻進行風險評估與改進措施,以確保安全維護計畫之有效性。
二、若發生個資安全事件或其他違法情事,應立即進行檢討改進,修正執行程序或行為,並採取預防措施,以避免再度發生。
三、隨時注意社會輿情報導、技術發展及法令修正等事項,檢討本安全維護計畫之合宜性,必要時應立即予以修正,確保個人資料檔案之安全維護。