Information Security
資訊安全管理政策

  1. 個資保護管理目標

    1. 本公司依個人資料保護法及其施行細則之要求,保護個資蒐集、處理、利用、儲存、傳輸、銷毀之過程。

    2. 本公司為管理個資之需求,建立管理組織,制訂、推動、實施個資保護管理。

    3. 保護本公司個資之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失或洩漏等風險。

    4. 提升同仁個資保護與管理能力,定期辦理個資保護宣導教育訓練,以降低營運風險並創造可信賴之個資保護及隱私環境。

    5. 本公司依相關法律要求及規定,克盡個資保護之目標及義務,並且維護及落實個資管理制度(以下簡稱「PIMS」)。

    6. 依適用的法律、規定、契約及或專業責任,以及個人及其他主要利害關係人的利益,適時改進PIMS。

    7. 定期針對個資之作業流程進行風險評鑑,鑑別可承受之風險等級,並針對不可接受之風險進行風險處理。

  2. 個資保護原則

    1. 公平及合法的處理。

    2. 僅為了特定目的取得,且不進行不合於該目的之處理。

    3. 適當、相關且不過度。

    4. 保持正確及最新。

    5. 不保存超過需求的時間。

    6. 遵循法定的個人權利包括個資當事人對於其資料的存取。

    7. 確保安全。

    8. 不將資料傳輸到法令所不允許及沒有足夠保護的國家。

  3. 個資保護組織

    1. 為有效執行個資保護與管理各項工作,應成立個資保護管理組織(組織成員應包含高階主管),規範本公司內所有成員之責任與義務,防止個資被竊取、竄改、毀損、滅失或洩漏,並遵循法令法規及持續有效地落實個資保護最佳實務。

    2. 確認相關人員在PIMS內之職責及責任。

  4. 個資之蒐集與處理

    1. 本公司因營運所取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個資,應遵循我國個資保護相關法令。

    2. 不過度且符合目的、相關且適當並公平與合法地從事個資之蒐集與處理。

    3. 僅在法律規定及本公司業務活動內蒐集最少量的個資,並且不處理過多的個資。

    4. 在業務活動的過程中僅於特定目的及個資類別內取得個資,並且只進行合於組織目的之蒐集、處理及利用。

    5. 僅處理與本公司業務內相關且適當的個資。

    6. 本著合法、公平、公正、公開的合理處置原則,進行蒐集、處理及利用必要之個資,且建立相關管理制度合理地處理所取得之個資。

  5. 個資之利用及國際傳輸

    1. 本公司於利用個資時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第二十條之規定辦理;倘有需取得當事人同意之必要者,本公司應依法取得當事人之同意。

    2. 本公司所蒐集、處理之個資,應遵循我國個資相關法規及本公司PIMS之規範,且個資之使用為本公司營運或業務所需,方可為本公司承辦同仁利用。

    3. 本公司取得之個資,如有進行國際傳輸之必要者,應遵不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個資規避個資法之規定等原則辦理,倘國際條約或協定有特別規定、或資料接受國對於個資之保護未有完善之法令致有損害當事人權益之虞者,本公司將不進行國際傳輸,以維護個資之安全。

    4. 僅在合法及適當保護狀況下傳送個資至其它國家或地區。

  6. 個資之調閱與異動 當本公司接獲個資調閱或異動之需求時,應依個資法及本公司所訂之程序,於合法範圍內進行當事人之個資查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。

  1. 個資之例外應用

    1. 遵守個資保護相關法規,包含其它法規豁免例外應用。

本公司因業務上所擁有之個資負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第二十條及相關法令規定,並以正式公文查詢外,本公司不得對第三人揭露:

  1. 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。

  2. 其它政府機關因執行公權力並有正當理由所需者。

  3. 與公眾生命安全有關之機關(構)為緊急救助所需者。

  1. 本公司對個資之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:

    1. 法律明文規定。

    2. 為增進公共利益。

    3. 為免除當事人之生命、身體、自由或財產上之危險。

    4. 為防止他人權益之重大危害。

    5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

    6. 經當事人同意。

    7. 有利於當事人權益。

  1. 個資之保護

    1. 本公司應建立與實施PIMS,以確認本政策之實行;全體人員及委外廠商應遵循PIMS之規範與要求,並定期審查PIMS之運作。

    2. 確保所有個資安全,建立相關安全控管措施。

    3. 個資檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。

    4. 為確保所有個資安全,應強化個資檔案資訊系統之存取安全,防止非法授權存取,維護個資之隱私性,並應建立安全保護機制,且定期查核。

    5. 個資檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其它輔助安全措施。

    6. 個資輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。

    7. 本公司各部門如遇有個資檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施,並依本公司緊急應變通報程序辦理。

    8. 本公司係以嚴密之措施、政策保護當事人之個資,包括本公司之所有同仁,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民、刑事責任。

    9. 本公司之委外廠商或合作廠商與本公司業務合作時,均應簽訂保密契約,使其充分瞭解個資保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。

  2. 責任

    1. 本公司的管理階層負責建立及審查政策。

    2. 個資管理者透過適當的標準和程序以實施本政策。

    3. 所有人員與契約委外廠商均須依照程序以維護個資管理政策。

    4. 所有人員有責任通報及處理個資事件和任何已鑑別出的弱點。

    5. 任何蓄意違反個資保護的行為將訴諸相關規範或法律行動。