製造業價值鏈資訊應用計畫網站
::: 首頁網站導覽
ecos 產業電子化聯合服務網站
:::
個人資料保護

個人資料保護

個人資料保護內部管理機制暨研究產業規範與輔導措施
自個人資料保護法於民國101年施行以來,經濟部工業局已針對個人資料保護相關措施與機制陸續的建立與推動諸多措置,逐步加強局內、委外、及產業三構面的個資意識提昇與保護,包括協助局內之個資管理制度運作、委外廠商之個資稽核、訂定個資行政檢查要點、訂定製造業及技術服務業個人資料檔案安全維護管理辦法等。
為協助落實個人資料保護法為目標,並有效因應因組織改造,業務範圍與流程之變動,而面臨之個人資料,以及所管產業範圍變動,所必須擔負的非公務機關蒐集、處理與利用個人資料行為之監督與管理之責。以PDCA(Plan-Do-Check-Act)方法論為基礎,落實與改善內部個人資料保護與管理制度,有效降低機關所面臨之風險,確保個人資料之安全性、完整性與正確性,並因應組織改造,業務範圍與流程之變動,為適當之個人資料檔案盤點、個人資料風險評估、與教育訓練與認知宣導等。另一方面產業輔導與監督為核心概念,透過各種政策、法令與輔導工具之運用,於消極面,得以協助產業遵偱和落實個人資料保護法,降低產業法令遵循成本,並協助經濟部工業局善盡個人資料保護法中央目的事業主管機關之責;於積極面,得以透過相關政策、法令與輔導工具之運用,帶動產業個人資料保護能力之提升,進而能夠與國際接軌,與帶動相關產業(例如:顧問服務業、資訊服務業等)之發展。
針對產業的個人資料保護措施與制度診斷方面,需設置適當管道,受理企業個資保護相關法令諮詢,並提供25家個資保護管理制度深入診斷服務,透過線上諮詢、文件審查或實地訪查等方式,針對企業個資保護認知、個資管理制度實施成熟度等進行體檢,提供具體建議並持續提升產業個人資料保護及管理能力。並透過宣導說明會方式,推廣新訂定之製造業及技術服務業個人資料檔案安全維護管理辦法與新修個人資料保護法注意事項進行分享與宣導外,亦將延續過往經驗,邀請國內具有指標性之標竿企業實際現身說法,增強其說服力。
另外,因為依照「個人資料保護法非公務機關之中央目的事業主管機關」及「經濟部主管個人資料保護法非公務機關之分工表」,為因應不同產業特性及其業務規模,要求業者針對所保有之個人資料檔案採取適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,本年度將針對工業局所發布之「製造業及技術服務業個人資料檔案安全維護管理辦法」製作導入說明手冊,輔導業者就其所保有之個人資料檔案採取適當之安全措施,並符合該辦法之要求。
在產業之個人資料保護法裁罰管理制度方面,為避免罰標準不一,造成認知落差,本分項工作參酌我國現行之各類裁罰基準,並以平衡個人權益保護與業者利益惟基礎,以擬定適合之裁罰基準。
同時,為協助公部門受委託單位個人資料保護管理進行監督等,以期個人資料保護及管理事務相關要求之落實。因此,在本年度的個人資料保護教育訓練分項工作中,除持續傳達我國個資保護相關法令最新動態(包括但不限於修法動態、法務部函釋及法院判決等)及國內外個資管理最佳實務外,亦將向相關人員說明內容及其使用方式。
針對委辦計畫個人資料保護管理稽核分項工作方面,將配合科技計畫聯合查訪作業抽查至少10場次,針對委辦計畫之執行單位進行委辦計畫個人資料保護管理稽核工作。就委辦計畫執行單位保護及管理個人資料之狀況進行確認,並將確認結果作成報告,要求執行單位針對已發現缺失採取矯正預防措施,持續改進其安全維護事項,俾以確保執行單位確實採取個人資料安全維護事項,防免因執行單位未妥善保護或管理個人資料,致個人資料被竊取、洩漏、竄改或遭受其他侵害情事,使工業局須承擔損害賠償責任。並向工業局委辦計畫執行單位舉辦工業局委辦計畫個人資料保護管理宣導說明會至少一場次,就個人資料安全維護事項及其實作逐一說明,以期受委託單位符合個人資料保護相關法令及委辦契約書個人資料保護約款之要求。
除辦理所屬人員教育訓練,以加強人員就個人資料保護之能力外,藉由檢視執行自我評估及個資盤點之過程,並透過訪談方式,瞭解就個資檔案蒐集、處理及利用之狀況,進而在不影響各單位現有業務流程條件下,提供符合各單位需求之建議,並匯集相關意見,完成個人資料保護與管理制度運作之整體建議報告,藉此精進個人資料管理流程,同時提高個人資料管理之效益。最後,為協助人員充分瞭解個資檢舉案件,爰就個人資料保護法施行至104年底以來受理之檢舉案件進行整理,簡述案件事實及處理過程,並針對其法律爭點進行分析,以淺白易懂方式作成圖例集,供人員參考。而產業相關之個資法制問題,也提供專業法制幕僚工作,並製作諮詢紀錄1式。

產業輔導措施

提供企業個人資料保護相關法令諮詢及深入診斷服務
為協助企業瞭解自身個人資料管理制度之遵循性及有效性,本年度設置適當管道,受理企業個資保護相關法令諮詢,並提供個資保護管理制度深入診斷服務。透過線上諮詢、文件審查或實地訪查等方式,針對企業個資保護認知、個資管理制度實施成熟度等進行體檢,提供具體建議並持續提升工業局所管產業個人資料保護及管理能力。
分別透過公協會、個資宣導活動等場合進行診斷服務之宣講,以文書、實地查訪等方式,針對業者內部之個資管理進行診斷。
為推廣產業個人資料保護及管理,所管產業個人資料保護宣導說明會除就工作成果進行分享外,並延續過往經驗,邀請國內具有指標性之標竿企業實際現身說法,增強其說服力。
本年度宣導說明會的內容著重在於個資法最新發展及辦法相關實務,協助企業認知應如何面對個資法修正後的適用問題。此外,說明會也將邀請已建置完善個資保護制度的業者與資安專家到場分享個資管理及資安事件,使企業瞭解個資檢核機制對於企業個資保護的重要性;並蒐集個資法適用上的法規函釋以及法院判斷相關見解,將企業可能遭遇問題,透過訴訟實務說明,使企業了解在發生訴訟可能面臨之風險、並邀請國內知名企業如:遊戲橘子,分享企業內部個資保護經驗,使與會來賓對個資法規的適用與實務操作有更進一步的瞭解。
10/3台北場次(一)
10/3台北場次(一)
10/12高雄場次
10/12高雄場次
10/14台中場次
10/4宜蘭場次
民國99 年5 月26 日修正公布之個人資料保護法,除了第6 條及第54 條以外,其餘的條文已在101 年10 月1 日起正式施行。之後,法務部針對各界的意見,針對「個人資料保護法」部分條文再進行修正,並在民國104年12月30日由總統公布,於105年3月15日正式施行。
因此,為協助製造業及技術服務業(請參閱「製造業及技術服務業個人資料檔案安全維護計畫管理辦法」附表)強化對所保有消費者個人資料之保護,依據個人資料保護法法第27條第3項授權,於7月28日制定公布訂定「製造業及技術服務業個人資料檔案安全維護計畫管理辦法」,協助製造業及技術服務業之業者訂定機制防止所保有之消費者個人資料被竊取、竄改、毀損、滅失或洩漏。
為協助業者遵循相關法規之規範,特製作與設計「製造業及技術服務業個人資料檔案安全維護計畫管理辦法」導入說明手冊,以讓業者有所遵循。
完整內容請見詳細內容 完整內容請見詳細內容
詳細內容
資料來源:本計畫整理
表 22:經濟部工業局105年個人資料保護研習課程
(A)產業管理制度
a. 編撰工業局所管產業違反個人資料保護法裁罰基準草案 本年度蒐集整理我國各類裁罰基準之法令,彙整裁罰態樣做為本裁罰基準的研擬基礎。並於草案擬定後與業主討論妥適性,協助進行相關簽核與下達工作,此項工作已於6/13完成經濟部工業局所管產業違反個人資料保護法裁罰基準草案1式,以供未來工業局在對產業進行裁罰時有判斷的依據,降低工業局裁罰過程中所面臨的不一致性。
本裁罰基準草案以單一案件為基礎,按次進行裁罰以。違反行為應受責難程度、所生影響、違反行政法上義務所得之利益、受處罰者之資力、違法者事後提供資料配合調查、改正意願、補救措施等要件,制定裁罰基準,以減少裁罰結果之落差。惟未顧及個案之特殊性,仍留有部份之裁量空間,以增加可用性。
(B)產業管理制度
a.辦理工業局所屬人員個人資料保護教育訓練
本年度個人資料保護教育訓練除持續傳達我國個資保護相關法令最新動態(包括但不限於修法動態、法務部函釋及法院判決等)及國內外個資管理最佳實務外,亦將向工業局所屬人員說明《經濟部工業局所屬人員個人資料保護作業手冊》之內容及其使用方式,協助各組室同仁對受委託單位個人資料保護管理進行監督等,以期工業局個人資料保護及管理事務相關要求之落實。
確保經濟部工業局全體同仁均知悉並瞭解個人資料保護法及其相關法令之規定、個人資料管理最佳實務及本局個人資料保護管理相關規範,本計畫已於105年5月12日、5月13日、5月17日於臺北與臺中舉辦3場「經濟部工業局105年度所屬人員個人資料保護教育訓練」,統計本課程總出席人數共146員。各場次詳細資訊及出席人數如下:
場次 時間 地點 實際出席人數
台北場(一) 105年5月12日(四) 經濟部工業局
地址:臺北市信義路三段41-3號
43人
台北場(二) 105年5月13日(四) 經濟部工業局
地址:臺北市信義路三段41-3號
28人
中部場 105年5月17日(二) 經濟部臺中工業區人才訓練培訓中心
(臺中市南屯區工業區二十七路17號)
75人
本次研習課程分為二個主題,第一個主題為「個資法令宣導暨所屬人員個資保護制度維運之說明」,課程之內容包含104年12月通過修正「個人資料保護法」之八大重點說明、本局「個資保護聯絡窗口」以及「一般同仁」在個資保護管理制度上之分工,以及「個人資料盤點」、「個人資料盤點暨風險評估」、「個人資料保護管理所屬人員自我評估」「委外計畫管理監督」等4大重點維運工作之執行方式。 第二個主題為「辦理個資行政檢查作業之說明」,主要是以案例分析之方式,向同仁介紹本局個資行政檢查之作業流程以及未來若面臨可能之實際運作機會時,權責人員將如何依據相關操作實施行政檢查。