『個人資料保護法』宣導課程人資行政服務中心 2010/03

『個人資料保護法』宣導課程人資行政服務中心2010/03『個人資料保護法』宣導課程人資行政服務中心2010/03

前言 • 本公司對客戶個人資料保護政策 • 『個人資料』之定義 • 法源依據 • 電信業電腦處理個人資料登記執照之規定 • 電信公司之責任及義務 • 電信公司員工之責任及義務 • 客戶可行使之權利 • 本公司之客戶資料保密措施 • 補充說明課程大綱

2003.12.24 中央健保局網站可發現病人資料。 2004.1.16健保局辦事員王意文外洩被保險人資料，供「天道盟」鷹中會份子討債事件 1.前言 2002.10.12旅行社員工涉嫌盜賣客戶資料 2002.11.12萬事通資訊公司利誘工程師盜賣世界、和信電訊等五百多萬筆客戶資料 2004.2.11寬頻房訊網站在網路刊登法拍屋公告，並未經許可揭露債務人姓名、身分證字號及財務狀況，觸犯電腦處理個人資料保護法，檢察官將該公司負責人提起公訴。 2003.11.11 花旗銀行網站能看到每一位透過網站申請信用卡客戶的個人資料。 2004.6.1電總對未妥善保護客戶資料電信業者作出懲罰，中華電信、遠傳及泛亞電信，各收到卅萬元的罰單。

本公司一向秉持誠信與保障客戶權益之原則，致力於提供客戶高品質及完善的產品與服務，客戶對本公司之信賴更是我們不斷進步之原動力。為了讓客戶瞭解我們所提供的產品服務是一個安全、機密並具有保障的整體服務，本公司訂定一系列相關之個人資料保密政策，對客戶的資料提供最周詳之保障及尊重。本公司一向秉持誠信與保障客戶權益之原則，致力於提供客戶高品質及完善的產品與服務，客戶對本公司之信賴更是我們不斷進步之原動力。為了讓客戶瞭解我們所提供的產品服務是一個安全、機密並具有保障的整體服務，本公司訂定一系列相關之個人資料保密政策，對客戶的資料提供最周詳之保障及尊重。 2.本公司對客戶個人資料保護政策

3. 『個人資料』之定義 足資識別自然人個人之各項資料： • 自然人姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料『電信業電腦處理個人資料管理辦法』特別規定： • 姓名及身份證字號 • 使用之電信設備號碼：即電話號碼 • 向交通部電信總局報備之資料：地址、客戶編號、產品類別

母法： • 『電腦處理個人資料保護法』中華民國84年8月11日由總統制定發布，全文45條，文號：總統 (84) 華總 (一) 義字第 5960 號令。 • 子法： • 『電腦處理個人資料保護法施行細則』中華民國85年5月1日由法務部制定發布，全文46條，文號：法務部 (85) 法令字第 10259 號令。 • 『電信業電腦處理個人資料管理辦法』中華民國86年9月8日由交通部制定發布，全文17條，交通部(86)交郵發字第8671號令，本法於99年1月27日修正更名如下~ • 『電信業及傳播業電腦處理個人資料管理辦法』中華民國99年1月27日由國家通訊傳播委員會制定發布，全文18條，國家通訊傳播委員會通傳營字第09941002100號令。 4.法源依據

5.電信業電腦處理個人資料登記執照之規定 • 執照申請：第4條規定『凡於中華民國境內從事電信業、傳播業，而為個人資料之蒐集、電腦處理或國際傳遞及利用，應依本辦法向本會辦理登記並取得執照。』 • 執照公告：第7條規定，國家通訊傳播委員會將依法刊登於政府公報及網站上，電信業者需將登記核准相關事項登載於公司網站及報紙。

6.電信公司之責任及義務 • 依電腦處理個人資料保護法第3條第7款第2項規定之行業為醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 • 對個人資料之蒐集或電腦處理需遵守下列原則 • 特定目的：如執照有特定目的 • 經當事人書面同意 • 與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者 • 已公開之資料且無害於當事人之重大利益者 • 為學術研究而有必要且無害於當事人之重大利益者 • 電信法令或其他法令有特別規定者

6.電信公司之責任及義務(續1) 對個人資料檔案利用 • 原則依執照所列範圍者為限 • 例外情形 • 經當事人書面同意 • 為增進公共利益 • 為免除當事人生命、身體、自主或財產上之急迫危險者 • 為防止他人權益之重大危害而有必要者

7.電信公司員工之責任義務暨罰則說明 • 嚴加督導全體員工遵守並落實個資法規定及公司相關作業準則 • 電信公司員工於執行業務時，需確保遵守個資法之相關規定，因此凡本公司新進員工均需簽署『保密協議書』 • 本公司於保密協議書第三條「保密義務」中載明: • 受僱人應對一切機密資訊，負善良管理人之注意義務，嚴格保守秘密;如未經僱用人之事前書面同意，不得將任何機密資訊之全部或一部以任何方式向他人揭露，亦不得利用任何機密資訊從事受僱人依僱傭契約所應正當執行之職務無關之用途。受僱人向任何個人(除僱用人之其他受僱人以外)揭露任何機密資訊時應確保該個人同意接受本協議所定條件之拘束。

7.電信公司員工之責任義務暨罰則說明(續1) • 受僱人非經僱用人之事前書面同意不得向任何人揭露其本身獲有機密資訊之事實。 • 本公司於保密協議書第四條「違約責任之認知」中 • 受僱人認知如有違背本協議之情事將構成違反中華民國營業秘密法第十條、中華民國刑法第三一七條及其他相關之中華民國法令，並將使受僱人員擔民事及刑事責任，包括一年以下有期徒刑之處罰。

7.電信公司員工之責任義務暨罰則說明(續2) • 意圖為自己或他人不法之利益或損害他人之利益，而對於個人資料檔案為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔案之正確，致生損害於他人者  依法可處3年以下有期徒刑、拘役或科新台幣2萬~10萬元罰金

查詢及請求閱覽 • 請求製給複製本 • 請求補正或更正 • 請求電腦處理及利用：如促銷簡訊或電子郵件 • 請求刪除 • 處理客戶之個人資料前，需詳實核對其身份或委任證明文件 • 上述當事人權利不得預先拋棄或以特約限制之（個資法第4條） 8.客戶可行使之權利

客戶資料之蒐集及運用 • 客戶的資料包括客戶基本資料、帳務資料、信用資料、使用量資料或其他與客戶使用本公司服務之相關資料。 • 本公司客戶資料的來源，主要來自與本公司有交易往來的客戶。為了提供客戶完整且多元的電信服務及產品，在尊重個人資料的隱密性及保護交易安全的前提下，訂定此客戶資料保密措施。 • 客戶申請本公司服務前，皆須詳讀本公司營業規章及服務契約，並以簽名表示同意，整個申請過程始得完成。 9.本公司客戶資料保密措施

客戶資料之使用範圍 • 本公司客戶資料僅供公司內部及經客戶授權同意之第三人使用。 • 客戶資料之安全及保護方法 • 1) 資料安全方面 • 本公司客戶個人資料檔案均建置在資料庫，並無建置在個人電腦之資料，相關作業人員依其工作職掌釐訂使用範圍及使用權限，並設置使用者代碼、識別密碼。識別密碼不公開，不得與他人共用。 • 個人資料檔案使用完畢，授權之相關業務人員需將電腦設為鎖住狀態以防他人盜用。 9.本公司客戶資料保密措施(續1)

2) 資料稽核方面 • 以電腦處理個人資料時，作業人員需核對客戶所附資料無誤後，方可輸入。 • 所有輸入於系統之客戶資料需經過再次核對確認後，方可存入系統。 • 本公司訂有客戶資料管理KPI獎懲辦法，對於作業過程產生錯誤者，有明確的罰則。 • 客戶自主權之保障 • 對於本公司所提供之資訊(如簡訊訊息)，客戶可隨時要求本公司將其從促銷名單中移除。 9.本公司客戶資料保密措施(續2)

委外廠商對於客戶資料之保密責任 • 本公司與委外廠商均有簽署保密合約，並於合約中載明保密及安全維護協定。當廠商處理客戶資料時，本公司要求其嚴格遵守本公司之客戶資料保密措施，並得隨時檢查其遵守情形。 • 客戶資料必須揭露與接受查詢之情形 • 在政府及主管機構要求下，本公司必須就「電信業電腦處理個人資料管理辦法」規定之相關事項，提供相關之客戶資料或其他必要之配合措施。 • 適時更新客戶資料事實以維護其正確性及可靠性 • 客戶於法律許可之範圍內可隨時通知本公司授權人員修改其資料，本公司將予以配合並立即更新。 9.本公司客戶資料保密措施(續3)

9.本公司客戶資料保密措施~請求刪除之說明 • 對於客戶「刪除資料」之要求，本公司處理方式為: • 退租一年之內之用戶資料 • 若客戶提出「請求刪除」之要求，本公司依據固定通信業務管理規則第49條之一或第三代行動通信業務管理規則第83條：「經營者應核對及登錄其用戶之資料，並至少保存至服務契約終止後一年」之規定，回覆客戶一年之內本公司依法不得刪除用戶資料。 • 退租一年之後之用戶資料 • 若客戶提出「請求刪除」之要求，本公司需先經由帳務審計處進行審查是否尚有欠款，如無，方可由相關單位依作業準則進行刪除工作，後再通知客戶完成刪除。

10.補充說明 • 本公司營業規章及服務契約旨在規範本公司與客戶之權利與義務，依法均先報請國家通訊傳播委員會審核通過。 • 根據營業規章所訂定的服務契約中，對於客戶個人資料的權利與本公司保護個人資料的義務，皆有明文規定，俾合乎個資法的相關規定。 • 以公司「市內網路業務營業規章」之第56條規定為例：本公司因業務上所掌握之用戶相關資料負有保密義務。除當事人要求查閱本身資料，或有下列情形於符合電腦處理個人資料保護法第23條或其他相關法令規定，並以正式公文載明理由及相關法令依據查詢外，本公司不得對第三人揭露。　一、司法機關、監察機關或治安機關因偵查犯罪或調查證據所需者　二、其他政府機關因執行公權力並有正當理由所需者。　三、與公眾生命安全有關之機關(構)為緊急救助所需者。 ※前項情形，如情況緊急，得先為查詢，再以正式公文後補之。

10.補充說明(續1) 針對電信業者之客戶個人資料保護工作，國家通訊傳播委員會表示： • 建立制度與完善管理機制：電信業者營業規章、企業安全政策，以及公司與員工、委辦業務者簽訂之合約，均應建立嚴格控管制度，並反映客戶個人資料之內控機制及管理措施。 • 針對洩露個人資料之業者從嚴從重處分：如業者洩漏個人資料經查屬實，已違反電信法第27條規定，將依同法第65條規定，從重處罰。 • 消費者補償措施： • 電信業者應承擔企業之社會責任，對於資料外洩事件應表達歉意與加強內部控管作為，並主動清查與通知資料遭外洩之客戶。 • 對於確定因電信業者外洩資料而造成之損害，業界應立即賠償損失，如無法達成協議得依民事訴訟途徑求償；電總將要求業者確實負起善後責任。 • 對於個人資料遭外洩，尚無發生損害之民眾，業者仍應給予諸如免費換號或月租費、話費等減免之補償措施，並應儘速告知用戶，促請提高警覺，避免該個人資料為詐騙集團利用而造成損害。

個人資料保護 隱私權保護 1.範圍不同~ 個資法規範客體侷限於電腦處理的個人資料，即必須是具體的資料。而隱私權保護客體，除上述個人資料外，尚包括:祕密通訊自由、私生活(如家居生活)的不被干擾、私事(如:與某人交往等)的不被曝光等未被化為具體資料的隱私。 2.保護方式不同~ 個資法保護方式，除事後救濟外，著重於事前的個人參與資料的作成(如查閱、閱覽、更正等)，具積極性，而一般隱私權的保護，則重在事後的民事、刑事救濟較具消極性。 10.補充說明(續2) • 個人資料的蒐集、電腦處理或應用均可能侵害隱私權，故對前者加以規範可免隱私權的侵害，但個人資料處理法仍有其目的，便是促進個人資料合理的流通。個人資料保護V.S隱私權保護

10.補充說明(續3) • 個人資料保護法施行細則第2條規定：「本法所定個人，係指生存之特定或得特定之自然人。」 • 依個人資料處理法第4條規定，當事人有請求查詢、閱覽、製給複製本、補充或更正停止電腦處理及利用暨刪除等權利，並不得預先拋棄或以特約限制之。 • 依個人資料處理法第13條規定，應維護個人資料之正確，並應依職權或當事人之請求適時更正或補充之。 • 依電信業及傳播業電腦處理個人資料管理辦法第13條規定，在資料安全方面的規定如下~ (1)個人資料檔案建置在資料庫者，應釐定使用範圍及使用權限，並設置使用者代碼、識別密碼，識別密碼應保留，不得與他人共用，並應製作使用紀錄。　　 (2)個人資料檔案建置在個人電腦者，應將資料儲存於電子儲存裝置上，並定期備份。　　 (3)非經允准不得刺探或使用個人資料檔案。 (4)個人資料檔案使用完畢，不得留在電腦終端機上。

10.補充說明(續4) • 依電信業及傳播業電腦處理個人資料管理辦法第15條規定，當事人查詢或閱覽個人資料者，免予收費；請求製給複製本者，依法每件得酌收工本費新臺幣10元。 • 依電腦處理個人資料保護法第23條規定，對個人資料之利用，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用： (1)為增進公共利益者。 (2)為免除當事人之生命、身體、自由或財產上之急迫危險者。 (3)為防止他人權益之重大危害而有必要者。 (4)當事人書面同意者。

感謝您的聆聽~ Thanksfor your listening!

『個人資料保護法』宣導課程人資行政服務中心 2010/03