本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。
本辦法所稱非公務機關包括下列各款:
一、電信事業。
二、用戶數達三千戶以上之提供網際網路接取服務之設置未使用電信資源之公眾電信網路者。
三、有線廣播電視系統經營者。
四、電視事業。
五、訂戶數達三千戶以上之直播衛星廣播電視服務事業。
六、經營國內新聞台頻道或購物頻道之衛星或他類頻道節目供應事業。
七、電信消費爭議處理機構。
八、其他經國家通訊傳播委員會(以下簡稱本會)公告之通訊傳播事業。
非公務機關應依其業務規模及特性,衡酌經營資源之合理分配,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱本計畫及處理方法)。
本計畫及處理方法之訂定或修正,應經非公務機關負責人或法定代理人簽署。
非公務機關蒐集、處理及利用達五千名用戶之個人資料者,其訂定之本計畫及處理方法內容應包含國內或國際個人資料安全稽核機制之規劃及執行計畫。
非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故(以下簡稱事故),應訂定下列應變、通報及改善機制:
一、事故發生後應採取之應變措施,包括控制當事人損害之方式、查明事故後通知當事人之適當方式及內容。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後,其改善措施之研議機制。
非公務機關遇有重大個人資料事故者,應於知悉後一小時內通報本會,並於七十二小時內依附表格式,續行通報本會。但非公務機關接獲本會或有關機關通報發生事故時,應於四十八小時內,依附表格式通報本會。
前項所稱重大個人資料事故,係指個人資料遭竊取、竄改、毀損、滅失或洩漏,並有下列情形之一者:
一、危及非公務機關正常營運之虞。
二、造成當事人權益重大損失之虞。
三、達本會裁處通訊傳播事業違反個人資料保護法罰鍰案件處理要點第二點之評量表第(一)項第(13)小項所定很嚴重等級以上。
第一項第三款所研議之改善機制,應經取得相關認證資格之機構,進行整體診斷及檢視。
本會接獲非公務機關依第二項通報後,得依本法第二十二條至第二十五條等規定,為適當之監督管理措施。<br />
非公務機關應就下列事項,訂定個人資料之管理程序:
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令之要件。
二、檢視個人資料之蒐集、處理或利用,是否符合免為告知之事由,及告知之內容、方式是否合法妥適。
三、檢視個人資料之蒐集、處理,是否符合本法第十九條規定,具有特定目的及法定情形;其經當事人同意者,並應確保符合本法第七條第一項規定。
四、檢視個人資料之利用,是否符合蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合法定情形,經當事人同意者,並應確保符合本法第七條第二項規定。
五、利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用其個人資料行銷,並至少於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。
七、進行個人資料國際傳輸前,檢視是否受本會相關法令限制並遵循之。
八、當事人行使本法第三條所定權利之相關事項:
(一)當事人身分之確認。
(二)提供當事人行使權利之方式,並告知所需支付之費用,及應釋明之事項。
(三)對當事人請求之審查方式,並遵守本法有關處理期限之規定。
(四)有本法所定得拒絕當事人行使權利之事由者,其理由記載及通知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依本法第十一條第一項、第二項及第五項規定辦理。
十、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;其特定目的消失或期限屆滿者,應依本法第十一條第三項規定辦理。
十一、設置聯絡窗口供當事人申訴與諮詢。
非公務機關應就下列事項,訂定相關紀錄、證據保存機制:
一、因執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,所記錄之個人資料使用情況、軌跡資料及相關證據。
二、依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後留存之下列紀錄:
(一)刪除、停止處理或利用之方法、時間。
(二)將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉原因、對象、方法、時間,及該對象蒐集、處理或利用之合法依據。
本辦法自發布日施行。