:::
現在位置:
- 最新訊息
- 最新訊息內容
修正「國家科學及技術委員會新竹科學園區管理局個資事故通報處理及應變程序」第三點、第五點,並自即日生效。
主管機關: |
國家科學及技術委員會新竹科學園區管理局 |
發布機關: |
國家科學及技術委員會新竹科學園區管理局 |
發布日期: |
112.09.11 |
發布字號: |
竹秘字第112030940號函 |
異動性質: |
修正 |
法規名稱: |
國家科學及技術委員會新竹科學園區管理局個資事故通報處理及應變程序 |
內容: |
一、適用範圍
適用於所有與本局營運相關之個資事件及行為。本局人員及與本局成立契約關係或類似契約
關係之第三人,包括但不限於供應商、承包商、約聘人員及顧問,如於執行本局相關業務時
發生個資安全事故,皆應適用本程序。
二、定義
本程序所稱個資安全事故,係指:
(一)個資發生被竊取、竄改、毀損、滅失、洩漏或其他侵害等事故。
(二)發生違反個資相關法令或本局個資保護相關規定之情形。
(三)其他涉及個資安全之事故。
三、通報及應變程序(附圖一)
(一)個資安全事故之通報程序
1.於獲悉個資當事人抱怨、間接獲知個資因竊取、竄改、毀損、滅失、洩漏或其他侵害
等,或發現個資安全事故已發生或可能發生,應立即檢視事件重大性並於知悉或發現
之時起二十四小時內通報個人資料保護管理執行小組(以下簡稱「個資執行小組」)。
2.事件具有緊急重大性,且涉及資訊設備之緊急修復時,同仁應於通報個資執行小組後
,迅速協助知會相關處理單位(例如:國家科學及技術委員會資訊處竹科辦公室)進
行處理。
3.同仁於通報後,應即將通報內容及初步處理狀況記錄於「個資安全事故紀錄單」(附表
一)中,並送單位主管簽核後,由個資執行小組保存。
(二)個資安全事故之緊急處理程序(附圖二)
1.個資執行小組收到通報後,若認該事件將使個資可能在短時間內遭到毀損、滅失、洩
漏或其他侵害時,或如不進行緊急處理可能使得損害快速擴大時,應即通知相關人員
或協力廠商進行緊急處理。
2.緊急處理措施
(1)應以業管單位為原則,惟個資執行小組視情況需要,得進行必要之指揮監督。
(2)緊急處理時,應採取免於個資繼續受到毀損、滅失、洩漏之保護措施,例如於災難
現場快速打包個資,並進行清點。
3.緊急處理後,個資執行小組應根據事故狀況進行調查、通報個資當事人、維護個資正
確性、更正錯誤、改善整體環境或通報主管機關等作業。
4.緊急處理後,個資執行小組應將處理情形填載於「個資安全事故紀錄單」。
5.關於事件發生後之個資正確性維護、錯誤之更正或整體環境之改善,由個資執行小組
責成相關單位進行後續處理。相關單位於後續處理完成後,應於「個資安全事故紀錄
單」填載改善措施及從事故中學習到的經驗或課題。
6.如因事故排除而有重新蒐集、處理及利用個資之必要,亦應重新告知個資當事人及取
得其書面同意。
(三)個資安全事故處理程序
1.於事故初步處理完畢後,個資執行小組應依下列方式,查明事故發生之原因:
(1)內部調查
A.資訊單位:清查可能導致事故發生或資料外洩之缺口,透過檢視相關Log紀錄,如
電子郵件傳送紀錄、資料下載紀錄等,分析可能導致事故之人員、時間及方式。
B.稽核單位:清查事故發生相關之作業程序,透過作業流程檢視、文件檢視、單位
主管覆核紀錄等,以指出可能之問題所在。
C.各單位主管:檢視其單位之相關書面文件是否遭竊、非授權複製、拷貝等情況。
(2)外部調查
A.得委託外部顧問對本局進行鑑識稽核作業,透過特定檢視程序,對引起事故發生
之可能處進行流程查訪,以確認問題之所在。
B.得委託徵信單位,對於本局內部可能導致事故之特定人員或外部有心人士進行可
能犯罪行為進行蒐集、監視,並提供本局蒐集、分析之結果。
C.詢問個資當事人得知受害之相關情形和管道,並據以了解事件發生原因。
D.詢問導致事故發生之本局內、外部人員及其曾接觸之人員。
2.查明事故發生原因後,個資執行小組應填寫「個資安全事故通知當事人紀錄單」(附表
二),並依照個人資料保護法第十二條所要求,透過適當方式通知個資當事人,通知的
內容應包括個資當事人個資被侵害之事實及本局已採取之因應措施,以及後續提供查
詢及協助之方式。
3.如符合相關法令須申報之規範,個資執行小組另應依法向主管機關提出申報。
4.事故發生後之個資正確性維護、錯誤之更正或整體環境之改善,由個資執行小組責成
相關單位進行討論及後續處理。相關單位於後續處理完成後,於「個資安全事故紀錄
單」填載改善措施及從事故中學習到的經驗或課題。
5.如因事故排除而有重新蒐集、處理及利用個資之必要,亦應重新告知當事人及取得其
書面同意。
四、獎懲原則
(一)員工如遵守本程序並通報個資安全事故,倘經個資執行小組判斷該通報行為有效防止個
資安全事故之發生或有效降低損害者,應給予適當之獎勵。
(二)員工如有隱瞞個資安全事故之行為,而致本局或負責人受有損害或有損害之虞,應給予
警告或懲處。
五、通報(知)注意事項
(一)機關內進行各層級之通報,視法律規定通報各事業主管機關、當地縣市政府,最重要是
通知個資當事人。
(二)若個資事件影響範圍不大,機關可在初步擬定說明函以及道歉函後,各別通知當事人。
通知內容務必讓當事人了解機關有誠意解決問題,並負起一切賠償責任,儘量避免個人
訴訟或團體訴訟成案,影響機關信譽以及衍生更多之賠償。
(三)若個資事件影響層面過大,依個人資料保護法施行細則第二十二條但書規定,需費過鉅
者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開
方式通知。通知內容準用前款後段規定。
(四)公開說明注意事項:第一時間應公開相關資訊,並說明機關查明個資安全事故後,依個
人資料保護法第二十八條負損害賠償責任。
(五)所有提到之通報行為,機關皆必須留下可資證明之紀錄或證據,如不幸發生訴訟時,亦
可取出向法官證明機關確實並非故意造成個資事件,且有誠意解決問題並負起一切責任
,降低對機關各種有形或無形之傷害。
(六)若事件後續處理有需要持續觀察或矯正、預防措施需要更長時間者,機關應指派專人進
行全程之追蹤、記錄、監控並進行必要之審查,以確保所有控管事項均被完整執行。
(七)若事件處理時間較長,機關需確保受影響之個資當事人會持續接收機關之處理進度報告。
六、檢討改進
(一)個資事件處理另為確保不再發生錯誤,必須進行後續管理機制的檢討改進。
(二)個資安全事故之改善、預防措施及事故發生單位應列為內部稽核作業之重要查核範圍,
並辦理追蹤考核。如發現不允當,應要求受查核單位立即改正,並報備個資執行小組。
|
立法理由: |
|
圖表附件: |
|