同行顧問有限公司個人資料檔案安全維護計畫

貳、個人資料檔案之安全維護管理措施
　一、配置管理之人員及相當資源
　　(一) 管理人員：
　　　1、配置人數：1人。
　　　2、職責：負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。
　　(二) 預算：每一年新臺幣36萬元。

　二、界定蒐集、處理及利用個人資料之範圍
　　(一) 特定目的：
　　　（003）入出國及移民
　　　（069）契約、類似契約或其他法律關係事務
　　　（090）消費者、客戶管理與服務
　　　（168）護照、簽證及文件證明處理
　　　（181）其他經營合於營業登記項目或組織章程所訂之業務
　　　（182）其他諮詢與顧問服務
　　(二) 資料類別：
　　　■ 識別類 (C001～C003)
　　　■ 特徵類 (C011～C014)
　　　■ 家庭情形 (C021～C024)
　　　■ 社會情況 (C031～C041)
　　　■ 教育、考選、技術或其他專業 (C051～C058)
　　　■ 受僱情形 (C061～C073)
　　　■ 財務細節 (C081～C094)
　　　■ 商業資訊 (C101～C103)
　　　■ 健康與其他 (C111～C121)
　　　■ 其他各類資訊 (C131～C134)
　　(三) 個人資料：本計畫所稱自然人之個人資料，除係指客戶姓名、出生年月日、國民身分證統一編號、護照號碼、　聯絡方式、信用卡號碼外及其他得以直接或間接方式識別該個人之資料。

　三、風險評估及管理機制
　　(一) 風險評估：
　　　1、經由本公司電腦下載或外部網路入侵而外洩。
　　　2、經由接觸書面資料而外洩。
　　　3、員工及第三人故意竊取、竄改、毁損、滅失或洩漏。
　　(二) 管理機制：
　　　1、藉由使用者代碼、識別密碼設定及文件妥適保管。
　　　2、定期進行網路資訊安全維護及控管。
　　　3、加強對員工之管制及設備之強化管理。

　四、個人資料蒐集、處理及利用之內部管理措施
　　(一) 直接向當事人蒐集個人資料時，應明確告知以下事項：
　　　1、公司名稱。
　　　2、蒐集目的。
　　　3、個人資料之類別。
　　　4、個人資料利用之期間、地區、對象及方式。
　　　5、當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
　　　6、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

　　(二) 所蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前款應告知之事項。

　　(三) 本公司得為辦理本計畫之特定目的內，進行個人資料蒐集、處理、利用，於蒐集目的消失或期限屆滿時，應主動刪除、銷毀，並留存相關紀錄。但因有下列情形者，不在此限：
　　　1、執行職務或業務所必須：
　　　　(1) 有法令規定或契約約定之保存期限。
　　　　(2) 有理由足認刪除將侵害當事人值得保護之利益。
　　　　(3) 其他不能刪除之正當理由。
　　　2、經當事人書面同意者。

　　(四) 首次利用個人資料為行銷時，應提供當事人免費表示拒絕接受行銷之方式。
　　　 利用個人資料為行銷時，當事人表示拒絕接受行銷後，應立即停止利用其個人資料行銷，並通知所屬人員。

　　(五) 當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時，連絡窗口為：梁少章；電話為：(03) 968-0183，並將聯絡窗口及電話等資料，揭示於本公司營業處所或公司網頁。如認有拒絕當事人行使上述權利之事由，應附理由通知當事人。

　　(六) 負責保管及處理個人資料檔案之人員，其職務有異動時，應將所保管之儲存媒體及有關資料檔案移交，以利管理。

　　(七) 本公司員工如因其工作執掌相關而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之，其中識別密碼並應保密，不得洩漏或與他人共用。

　　(八) 由指定之管理人員定期清查所保有之個人資料是否符合蒐集特定目的，若有非屬特定目的必要範圍內之資料或特定目的消失、期限屆滿而無保存必要者，應予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置，並留存相關紀錄。

　　(九) 本公司如有委託他人（或他公司）蒐集、處理或利用個人資料時，當對受託者為適當之監督並與其明確約定相關監督事項。

　　(十) 所蒐集之個人資料如需作特定目的外利用，必須先行檢視是否符合個人資料保護法第二十條第一項但書規定。

　　(十一) 本公司因故終止業務時，原保有之個人資料，即依規定不再使用，並採銷毁、移轉或其他妥適方式處理。

　　(十二) 進行個人資料國際傳輸前，應檢視有無內政部依個人資料保護法第二十一條規定所為之限制。

　五、事故之預防、通報及應變機制
　　(一) 預防：
　　　1、本公司員工如因其工作執掌而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之。
　　　2、非承辦之人員參閱當事人文件時應得公司負責人或經指定之管理人員之同意。
　　　3、加強員工教育宣導，並嚴加管制。
　　(二) 通報及應變：
　　　 發現個人資料遭竊取、洩漏、竄改、毀損、滅失或其他侵害事故時，應
　　　1、採取適當之措施以控制事故對當事人造成損害。
　　　2、查明事故發生原因及損害狀況，並以適當方式通知當事人事故事實、因應措施及諮詢服務專線等。
　　　3、研議改進措施，避免類似事故再度發生。
　　　4、發生重大個人資料事故者，應即以書面通報內政部。

　六、設備安全管理、資料安全管理及人員管理措施
　　(一) 設備安全管理
　　　1、建置個人資料之有關電腦、自動化機器相關設備、可攜式設備(或儲存媒體)，資料保有單位應定期保養維護，於保養維護或更新設備時，並應注意資料之備份及相關安全措施。
　　　2、建置個人資料之個人電腦，不得直接作為公眾查詢之前端工具。
　　　3、本公司所屬員工應妥善保管個人電腦存取資料之硬體，並設定登入及螢幕保護程式密碼。個人資料使用完畢，應即退出電腦使用檔案，不得留置於電腦上。
　　　4、電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時，本公司負責人或(各營業處所)主管應檢視該設備所儲存之個人資料是否確實刪除。

　　(二) 資料安全管理
　　　1、紙本資料之保管：
　　　　(1) 本公司所保有之個人資料存在於紙本者，應儲存於上鎖之保管箱或檔案櫃內，僅業務主管有開啟調閱權限。
　　　　(2) 本公司所保有之個人資料存在於紙本者，於保存期限屆滿時，應以碎紙或委外焚化等方式銷毀。
　　　2、電腦存取個人資料之管控：
　　　　(1) 個人資料檔案儲存在電腦硬式磁碟機上者，應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。
　　　　(2) 個人資料檔案使用完畢應即退出，不得任其停留於電腦上。
　　　　(3) 定期進行電腦系統防毒、掃毒之必要措施。
　　　　(4) 重要個人資料應設管控密碼，非經陳報負責人或指定之管理人員核可，並取得密碼者，不得存取。

　　(三) 人員管理
　　　1、依據業務作業需求適度設定所屬人員不同之權限，以控管其接觸個人資料之情形。
　　　2、檢視各相關業務之性質，規範個人資料蒐集、處理及利用等流程之負責人員。
　　　3、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保管及保密義務。
　　　4、所屬人員離職時，應要求將執行業務所持有之個人資料辦理交接，不得在外繼續使用，並應簽訂保密切結書。
　　　5、本公司所屬人員使用電腦設備蒐集、處理、利用個人資料，應以專屬帳號密碼登入電腦系統，存取個人資料檔案權限應與所職掌業務相符。專屬帳號密碼均應保密，不得洩漏或與他人共用。

　七、資料安全稽核機制
　　(一) 本公司定期(每二年至少一次)辦理個人資料檔案安全維護稽核，查察本公司是否落實本計畫規範事項，針對查察結果不符合事項及潛在不符合之風險，應規劃改善措施，並確保相關措施之執行。執行改善與預防措施時，應依下項事項辦理：
　　　1、確認不符合事項之內容及發生原因。
　　　2、提出改善及預防措施方案。
　　　3、紀錄查察情形及結果。
　　(二) 前項查察情形及結果應作成書面稽核報告，由公司負責人或指定管理人簽名確認，稽核報告至少保存五年。

　八、使用記錄、軌跡資料及證據保存
　　　本公司所留存個人資料使用紀錄、自動化機器設備之軌跡資料或其他相關之證據等資料，至少應保存五年。

　九、認知宣導及教育訓練
　　(一) 本公司不定期進行個人資料保護法基礎認知宣導及教育訓練或派遣相關人員參與移民公會或相關機構舉辦之教育訓練。
　　　 前述教育宣導及訓練應留存紀錄。
　　(二) 對於新進人員應特別給予指導，務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。

　十、個人資料安全維護之整體持續改善
　　　本公司將隨時依據計畫執行狀況，注意相關法令修正事項，檢討本計畫是否合宜，必要時應予以修正，並於一個月內報內政部備查。

　十一、業務終止後之個人資料處理方法
　　　　本公司業務終止後，所保有之個人資料不得繼續使用，並依實際情形採下列方式處理，並留存相關紀錄，其保存期限至少五年：
　　(一) 銷毀：銷毀之方法、時間、地點及證明銷毀之方式。
　　(二) 移轉：移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
　　(三) 其他刪除、停止處理或利用個人資料：刪除、停止處理或利用之方法、時間或地點。