交通部指定氣象產業類非公務機關個人資料檔案安全維護計畫及處理辦法

交通部指定氣象產業類非公務機關個人資料檔案安全維護計畫及處理辦法首頁法規目錄【法規名稱】。簡讀版交通部指定氣象產業類非公務機關個人資料檔案安全維護計畫及處理辦法【發布日期】113.11.27【發布機關】交通部【法規沿革】 1‧中華民國一百十三年十一月二十七日交通部交授象綜字第11300583171號令訂定發布全文22條；並自發布日施行【法規內容】第1條 ﹝1﹞本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。第2條 ﹝1﹞本辦法所稱非公務機關，包括下列各款：　　一、氣象預報業。　　二、海象預報業。　　三、氣象及海象預報業。 ﹝2﹞本辦法所稱主管機關為交通部。第3條 ﹝1﹞非公務機關應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱安全維護計畫），以落實個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 ﹝2﹞非公務機關應依其所訂定之安全維護計畫執行之。交通部中央氣象署（以下簡稱本署）得要求非公務機關提出安全維護計畫之實施情形，非公務機關應於指定期限內，以書面方式提出。第4條 ﹝1﹞非公務機關依前條規定訂定安全維護計畫時，應視其組織規模、特性、保有個人資料之性質及數量等事項，參酌第五條至第二十條規定，訂定包含下列事項之個人資料檔案之安全管理措施：　　一、非公務機關之組織規模及特性。　　二、個人資料檔案之安全管理措施：　　（一）配置管理之人員及相當資源。　　（二）界定蒐集、處理及利用個人資料之範圍。　　（三）個人資料之風險評估及管理機制。　　（四）事故之預防、通報及應變機制。　　（五）個人資料蒐集、處理及利用之內部管理程序。　　（六）設備安全管理、資料安全管理及人員管理措施。　　（七）認知宣導及教育訓練。　　（八）資料安全稽核機制。　　（九）使用紀錄、軌跡資料及證據保存。　　（十）個人資料安全維護之整體持續改善。　　（十一）業務終止後之個人資料處理方法。第5條 ﹝1﹞非公務機關就個人資料檔案之安全維護管理，得指定專人或專責組織負責，並配置相當之資源。 ﹝2﹞安全維護計畫之訂定或修正，應經非公務機關代表人或經其授權之人員核定。 ﹝3﹞個人資料檔案安全維護管理組織，應定期就執行任務情形向非公務機關代表人或經其授權之人員提出書面報告。 ﹝4﹞非公務機關應將訂定之安全維護計畫留存於營業所在地備查；主管機關得派員檢查。第6條 ﹝1﹞非公務機關應依個人資料保護相關法令，定期查核確認所保有之個人資料現況，界定其納入本計畫及處理方法之範圍。第7條 ﹝1﹞非公務機關應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料之流程，評估可能產生之個人資料風險，並根據風險評估之結果，訂定適當之管控機制。第8條 ﹝1﹞非公務機關為因應保有個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故，應訂定採取下列事項：　　一、適當之應變措施，以控制事故對當事人之損害。　　二、查明事故之狀況並以適當方式通知當事人；其通知內容包含個人資料發生事故之事實、非公務機關所採取之因應措施及所提供之諮詢服務專線。　　三、研訂預防機制，避免類似事故再次發生。 ﹝2﹞非公務機關應於發現前項事故後七十二小時內填具個人資料侵害事故通報及紀錄表，通報本署；未於時限內通報者，應附延遲理由（通報格式如附表）。 ﹝3﹞前項事故通報後，主管機關得依本法第二十二條至第二十六條規定所賦予之職權，為適當之監督管理措施。第9條 ﹝1﹞非公務機關所屬人員為執行業務而蒐集、處理一般個人資料時，應檢視是否符合本法第十九條之要件；利用時，應檢視是否符合蒐集之特定目的必要範圍；為特定目的外之利用時，應檢視是否符合本法第二十條第一項但書情形。第10條 ﹝1﹞非公務機關蒐集個人資料，應遵守本法第八條及第九條有關告知義務之規定，並區分個人資料屬直接蒐集或間接蒐集，分別訂定告知方式、內容及注意事項，要求所屬人員確實辦理。第11條 ﹝1﹞非公務機關委託他人蒐集、處理或利用個人資料之全部或一部時，應依本法施行細則第八條規定為適當監督。 ﹝2﹞非公務機關為執行前項監督，應與受託者明確約定相關監督事項及方式。第12條 ﹝1﹞主管機關依本法第二十一條規定，對非公務機關為限制國際傳輸個人資料之命令或處分時，非公務機關應通知所屬人員遵循辦理。 ﹝2﹞非公務機關將個人資料作國際傳輸者，應檢視是否受主管機關限制，並告知當事人其個人資料所欲國際傳輸之區域，且對資料接收方為下列事項之監督：　　一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。　　二、當事人行使本法第三條所定權利之相關事項。第13條 ﹝1﹞非公務機關於個人資料當事人行使本法第三條規定之權利時，應依下列規定辦理：　　一、提供聯絡窗口及聯絡方式。　　二、確認為個人資料當事人本人，或經其委託者。　　三、認有本法第十條但書各款、第十一條第二項但書或第三項但書規定得拒絕當事人行使權利之事由時，應附理由通知當事人。　　四、有收取必要成本費用者，應告知當事人收費基準。　　五、遵守本法第十三條有關處理期限之規定。第14條 ﹝1﹞非公務機關對所蒐集保管之個人資料檔案，應採取必要適當之安全設備或防護措施。 ﹝2﹞前項安全設備或防護措施，應包含下列事項：　　一、紙本資料檔案之安全保護設施。　　二、電子資料檔案及資料庫存放之電腦、自動化機器相關設備、可攜式設備或儲存媒體，配置安全防護系統或加密機制。　　三、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片或其他存放媒介物報廢汰換或轉作其他用途時，應採取適當之銷毀或防範措施，避免洩漏個人資料；委託他人執行者，非公務機關對受託者之監督依第十一條規定辦理。第15條 ﹝1﹞非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措施。 ﹝2﹞前項管理措施，應包含下列事項：　　一、依據業務需求，適度設定所屬人員不同之權限，控管其接觸個人資料之情形，並定期檢視權限內容之適當性及必要性。　　二、檢視各相關業務之性質，規範個人資料蒐集、處理及利用等流程之負責人員。　　三、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保管及保密義務。　　四、所屬人員異動或離職時，應將執行業務所持有之個人資料辦理交接，不得在外繼續使用，並應簽訂保密切結書。第16條 ﹝1﹞非公務機關使用資通訊系統蒐集、處理或利用個人資料者，為維護所保有個人資料之安全，應採取下列資料安全管理措施：　　一、使用者身分確認及保護機制。　　二、個人資料顯示之隱碼機制。　　三、網際網路傳輸之安全加密機制。　　四、個人資料檔案及資料庫之存取控制與保護監控機制。　　五、防止外部網路入侵對策。　　六、非法或異常使用行為之監控與因應機制。第17條 ﹝1﹞非公務機關應定期或不定期對於所屬人員施以基礎個人資料保護認知宣導及教育訓練，使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人資料保護事項之機制、程序及措施。第18條 ﹝1﹞非公務機關應訂定個人資料安全稽核機制，定期或不定期查察是否落實執行所訂之安全維護計畫等相關事項。第19條 ﹝1﹞非公務機關執行安全維護計畫所定各種個人資料保護機制、程序及措施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。 ﹝2﹞非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後，應留存下列紀錄：　　一、刪除、停止處理或利用之方法、時間或地點。　　二、將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原因、對象、方法、時間、地點，及該對象蒐集、處理或利用之合法依據。 ﹝3﹞前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定或契約另有約定者，不在此限。第20條 ﹝1﹞非公務機關應隨時參酌業務與安全維護計畫之執行狀況、社會輿情、技術發展及相關法規增修等因素，檢討所定安全維護計畫，必要時予以修正。第21條 ﹝1﹞非公務機關業務終止後，其保有之個人資料不得繼續使用，應依下列方式處理，並留存相關紀錄，其保存期限至少五年：　　一、銷毀：銷毀之方法、時間、地點及證明銷毀之方式。　　二、移轉：移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。　　三、其他刪除、停止處理或利用個人資料：刪除、停止處理或利用之方法、時間或地點。第22條 ﹝1﹞本辦法自發布日施行。回頁首〉〉【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!

【法規名稱】

。簡讀版

交通部指定氣象產業類非公務機關個人資料檔案安全維護計畫及處理辦法

【發布日期】113.11.27【發布機關】交通部

【法規沿革】

1‧中華民國一百十三年十一月二十七日交通部交授象綜字第11300583171號令訂定發布全文22條；並自發布日施行

【法規內容】

第1條

﹝1﹞本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。

第2條

﹝1﹞本辦法所稱非公務機關，包括下列各款：
　　一、氣象預報業。
　　二、海象預報業。
　　三、氣象及海象預報業。
﹝2﹞本辦法所稱主管機關為交通部。

第3條

﹝1﹞非公務機關應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱安全維護計畫），以落實個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
﹝2﹞非公務機關應依其所訂定之安全維護計畫執行之。交通部中央氣象署（以下簡稱本署）得要求非公務機關提出安全維護計畫之實施情形，非公務機關應於指定期限內，以書面方式提出。

第4條

﹝1﹞非公務機關依前條規定訂定安全維護計畫時，應視其組織規模、特性、保有個人資料之性質及數量等事項，參酌第五條至第二十條規定，訂定包含下列事項之個人資料檔案之安全管理措施：
　　一、非公務機關之組織規模及特性。
　　二、個人資料檔案之安全管理措施：
　　（一）配置管理之人員及相當資源。
　　（二）界定蒐集、處理及利用個人資料之範圍。
　　（三）個人資料之風險評估及管理機制。
　　（四）事故之預防、通報及應變機制。
　　（五）個人資料蒐集、處理及利用之內部管理程序。
　　（六）設備安全管理、資料安全管理及人員管理措施。
　　（七）認知宣導及教育訓練。
　　（八）資料安全稽核機制。
　　（九）使用紀錄、軌跡資料及證據保存。
　　（十）個人資料安全維護之整體持續改善。
　　（十一）業務終止後之個人資料處理方法。

第5條

﹝1﹞非公務機關就個人資料檔案之安全維護管理，得指定專人或專責組織負責，並配置相當之資源。
﹝2﹞安全維護計畫之訂定或修正，應經非公務機關代表人或經其授權之人員核定。
﹝3﹞個人資料檔案安全維護管理組織，應定期就執行任務情形向非公務機關代表人或經其授權之人員提出書面報告。
﹝4﹞非公務機關應將訂定之安全維護計畫留存於營業所在地備查；主管機關得派員檢查。

第6條

﹝1﹞非公務機關應依個人資料保護相關法令，定期查核確認所保有之個人資料現況，界定其納入本計畫及處理方法之範圍。

第7條

﹝1﹞非公務機關應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料之流程，評估可能產生之個人資料風險，並根據風險評估之結果，訂定適當之管控機制。

第8條

﹝1﹞非公務機關為因應保有個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故，應訂定採取下列事項：
　　一、適當之應變措施，以控制事故對當事人之損害。
　　二、查明事故之狀況並以適當方式通知當事人；其通知內容包含個人資料發生事故之事實、非公務機關所採取之因應措施及所提供之諮詢服務專線。
　　三、研訂預防機制，避免類似事故再次發生。
﹝2﹞非公務機關應於發現前項事故後七十二小時內填具個人資料侵害事故通報及紀錄表，通報本署；未於時限內通報者，應附延遲理由（通報格式如附表）。
﹝3﹞前項事故通報後，主管機關得依本法第二十二條至第二十六條規定所賦予之職權，為適當之監督管理措施。

第9條

﹝1﹞非公務機關所屬人員為執行業務而蒐集、處理一般個人資料時，應檢視是否符合本法第十九條之要件；利用時，應檢視是否符合蒐集之特定目的必要範圍；為特定目的外之利用時，應檢視是否符合本法第二十條第一項但書情形。

第10條

﹝1﹞非公務機關蒐集個人資料，應遵守本法第八條及第九條有關告知義務之規定，並區分個人資料屬直接蒐集或間接蒐集，分別訂定告知方式、內容及注意事項，要求所屬人員確實辦理。

第11條

﹝1﹞非公務機關委託他人蒐集、處理或利用個人資料之全部或一部時，應依本法施行細則第八條規定為適當監督。
﹝2﹞非公務機關為執行前項監督，應與受託者明確約定相關監督事項及方式。

第12條

﹝1﹞主管機關依本法第二十一條規定，對非公務機關為限制國際傳輸個人資料之命令或處分時，非公務機關應通知所屬人員遵循辦理。
﹝2﹞非公務機關將個人資料作國際傳輸者，應檢視是否受主管機關限制，並告知當事人其個人資料所欲國際傳輸之區域，且對資料接收方為下列事項之監督：
　　一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
　　二、當事人行使本法第三條所定權利之相關事項。

第13條

﹝1﹞非公務機關於個人資料當事人行使本法第三條規定之權利時，應依下列規定辦理：
　　一、提供聯絡窗口及聯絡方式。
　　二、確認為個人資料當事人本人，或經其委託者。
　　三、認有本法第十條但書各款、第十一條第二項但書或第三項但書規定得拒絕當事人行使權利之事由時，應附理由通知當事人。
　　四、有收取必要成本費用者，應告知當事人收費基準。
　　五、遵守本法第十三條有關處理期限之規定。

第14條

﹝1﹞非公務機關對所蒐集保管之個人資料檔案，應採取必要適當之安全設備或防護措施。
﹝2﹞前項安全設備或防護措施，應包含下列事項：
　　一、紙本資料檔案之安全保護設施。
　　二、電子資料檔案及資料庫存放之電腦、自動化機器相關設備、可攜式設備或儲存媒體，配置安全防護系統或加密機制。
　　三、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片或其他存放媒介物報廢汰換或轉作其他用途時，應採取適當之銷毀或防範措施，避免洩漏個人資料；委託他人執行者，非公務機關對受託者之監督依第十一條規定辦理。

第15條

﹝1﹞非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措施。
﹝2﹞前項管理措施，應包含下列事項：
　　一、依據業務需求，適度設定所屬人員不同之權限，控管其接觸個人資料之情形，並定期檢視權限內容之適當性及必要性。
　　二、檢視各相關業務之性質，規範個人資料蒐集、處理及利用等流程之負責人員。
　　三、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保管及保密義務。
　　四、所屬人員異動或離職時，應將執行業務所持有之個人資料辦理交接，不得在外繼續使用，並應簽訂保密切結書。

第16條

﹝1﹞非公務機關使用資通訊系統蒐集、處理或利用個人資料者，為維護所保有個人資料之安全，應採取下列資料安全管理措施：
　　一、使用者身分確認及保護機制。
　　二、個人資料顯示之隱碼機制。
　　三、網際網路傳輸之安全加密機制。
　　四、個人資料檔案及資料庫之存取控制與保護監控機制。
　　五、防止外部網路入侵對策。
　　六、非法或異常使用行為之監控與因應機制。

第17條

﹝1﹞非公務機關應定期或不定期對於所屬人員施以基礎個人資料保護認知宣導及教育訓練，使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人資料保護事項之機制、程序及措施。

第18條

﹝1﹞非公務機關應訂定個人資料安全稽核機制，定期或不定期查察是否落實執行所訂之安全維護計畫等相關事項。

第19條

﹝1﹞非公務機關執行安全維護計畫所定各種個人資料保護機制、程序及措施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。
﹝2﹞非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後，應留存下列紀錄：
　　一、刪除、停止處理或利用之方法、時間或地點。
　　二、將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原因、對象、方法、時間、地點，及該對象蒐集、處理或利用之合法依據。
﹝3﹞前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定或契約另有約定者，不在此限。

第20條

﹝1﹞非公務機關應隨時參酌業務與安全維護計畫之執行狀況、社會輿情、技術發展及相關法規增修等因素，檢討所定安全維護計畫，必要時予以修正。

第21條

﹝1﹞非公務機關業務終止後，其保有之個人資料不得繼續使用，應依下列方式處理，並留存相關紀錄，其保存期限至少五年：
　　一、銷毀：銷毀之方法、時間、地點及證明銷毀之方式。
　　二、移轉：移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
　　三、其他刪除、停止處理或利用個人資料：刪除、停止處理或利用之方法、時間或地點。

第22條

﹝1﹞本辦法自發布日施行。

回頁首〉〉
【編註】本檔提供學習與參考為原則；如需正式引用請以官方公告版為準。
如有發現待更正部份及您所需本站未收編之法規，敬請告知，謝謝!