農業金融業應就下列事項,訂定個人資料之管理程序:
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令之要件;其經當事人書面同意者,並應符合本法第六條第二項準用第七條第一項、第二項及第四項規定。
二、檢視個人資料之蒐集、處理,是否符合免為告知之事由,及告知之內容、方式是否合法妥適。
三、檢視一般個人資料之蒐集、處理,是否符合本法第十九條規定,具有特定目的及法定情形;其經當事人同意者,並應確保符合本法第七條規定。
四、檢視一般個人資料之利用,是否符合本法第二十條規定蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合法定情形,經當事人同意者,並應確保符合本法第七條規定。
五、利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用其個人資料行銷,並至少於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。
七、進行個人資料國際傳輸前,檢視是否受本會限制並遵循之。
八、當事人行使本法第三條所定權利之相關事項:
(一)當事人身分確認。
(二)提供當事人行使權利之方式,並告知所需支付之費用,及應釋明之事項。
(三)對當事人請求之審查方式,並遵守本法有關處理期限之規定。
(四)有本法所定得拒絕當事人行使權利之事由者,其理由記載及通知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依本法第十一條第一項、第二項及第五項規定辦理。
十、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;其特定目的消失或期限屆滿者,應依本法第十一條第三項規定刪除、停止處理或利用。
農業金融業為維護所保有個人資料之安全,應採取下列資料安全管理措施:
一、訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採取防範資料洩漏之適當措施。
二、針對所保有之個人資料內容,有加密之需要者,於蒐集、處理或利用時,採取適當之加密措施。
三、作業過程有備份個人資料之需要時,對備份資料予以適當保護。
農業金融業提供電子商務服務系統,應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、應用系統於開發、上線、維護等各階段軟體驗證及確認程序。
五、個人資料檔案與資料庫之存取控制及保護監控措施。
六、防止外部網路入侵對策。
七、非法或異常使用行為之監控及因應機制。
前項所稱電子商務,指透過網際網路進行有關商品或服務之廣告、行銷、供應、訂購或遞送等商業交易活動。
第一項第六款、第七款所定措施,應定期演練及檢討改善。
農業金融業保有之個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦、自動化機器設備或其他媒介物者,應採取下列設備安全管理措施:
一、實施適宜之存取管制。
二、訂定妥善保管媒介物之方式。
三、依媒介物之特性及其環境,建置適當之保護設備或技術。
農業金融業為維護所保有個人資料之安全,應依執行業務之必要,設定相關人員接觸個人資料之權限及控管其接觸情形,並與所屬人員約定保密義務。