文件編號：TCBC-PIMS-I-02-001

修正日期：民國113年10月26日

文件等級：一般使用

壹、目的

本公司為落實個人資料保護法（以下簡稱個資法）之規定，確保本公司內所有活動均能合理的蒐集、處理及利用個人資料，特訂定「個人資料保護政策」（以下簡稱本政策）。

貳、依據

一、個人資料保護法
二、個人資料保護法施行細則
三、個人資料保護法之特定目的及個人資料之類別
四、本公司個人資料保護管理要點

參、適用範圍

本公司日常作業與執行業務所接觸之個人資料相關活動。
本政策所稱之個人資料，指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

肆、執行要點

一、各項安全管理規範必須遵守政府相關法規之規定。
二、應於進行個人資料蒐集、處理與利用前以公開方式進行本政策或隱私權宣告，並留有相關核准或變更之紀錄。隱私權宣告之內容請參考「隱私權政策聲明」。
三、成立「資安暨個資管理委員會」負責個人資料保護制度之建立及推動事宜，以確認本政策能被實施並配置相當資源。每學年開會一次為原則，必要時得召開臨時會議，以確保個人資料之安全維護整體持續改善。
四、應鑑別出內部與外部的利害關係人以及這些利害關係人參與組織個人資料之安全保護程度，並辨識工作人員的職責及權責。
五、維持一份處理個人資料的清單（如：個人資料檔案清冊），並建立個人資料之風險評估及管理機制。
六、應建立資訊安全管理及人員管理規範及個人資料事故之預防、通報與應變機制。
七、應建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制，以為後續舉證或證明已盡善良管理人之用。
八、定期對同仁實施個人資料安全認知宣導，並針對本公司各單位個資管理專人施以適當之教育訓練，以宣導本政策及相關實施規定。
九、定期訂定個人資料內部稽核計畫，檢視本公司個人資料保護情形，依稽核報告擬定及執行矯正措施。
十、基於合法之目的、執行法定職務及履行法定義務的必要範圍內公平並合法處理個人資料。
十一、基於合法之目的蒐集最少且必要的個人資料，處理相關且適當的個人資料亦不得逾越蒐集之目的。
十二、維持正確的個人資料並確保其安全，並應主動或依當事人之請求更正或補充之。
十三、除依個資法第8條或第9條規定依法免告知外，於處理或利用前應清楚告知當事人，本公司將會以何種方式使用他們的個人資料，並且尊重當事人與其個人資料的相關權利，包括對於個人資料的存取權。
十四、本公司保有之個人資料僅限於臺灣、澎湖、金門及馬祖地區使用，若有轉移到國（境）外之必要將於使用前取得當事人同意後並在有適當且充分保護下為之。
十五、本公司於委託蒐集、處理及利用個資時，應妥善監督受委託單位，明定受委託單位個資安全保護責任及保密規定，並列入契約，要求受委託單位遵守並定期予以查核。

伍、公布實施

本政策應依業務變動、技術發展及風險評鑑之結果，每年至少評估一次作成審查紀錄，並持續改進其有效性及適切性，以符法令法規、技術及本公司營運要求。本政策評估審查結果應經「資安暨個資管理委員會」審議通過後實施。

一、目的

（一）本辦法依「個人資料保護法」(以下簡稱個資法第三條訂定之。
（二）落實個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅失或遺漏。

二、範圍/制定機關（一）本公司及關係企業全體員工。

（一）本公司及關係企業所有與個人資料相 關之營運流程。
（二）承攬本公司及關係企業業務之公司單位及個人。
（三）與本公司及關係企業所有合作之廠商 與個人暨其複委託之廠商或個人。
（四）本公司及關係企業客戶。
（五）委託本公司及關係企業蒐集、處理或 利用個人資料之外部機關或個人。

三、定義

本辦法用詞，定義如下：
1、個人資料：依個資法第二條第一款所稱個人資料及個資法第二條第二款所稱之個人資料檔案。
2、資料管理單位(或稱權責單位)：為所屬業務與因業務執行而進行資料蒐集、處理、利用資料之業務執行單位。
3、權責單位：指本公司得查詢、運用個資之所有單位。
4、個資管理單位：服務滿意部。

四、權責

（一）經理部門：個人資料處理方法之訂定、審查、修正。
（二）營業人員部：定期查核確認所保有之個人資料現況，界定其納入本計畫及處理方法之範圍。遇有重大個人資料安全事故者，應通報總經理並依本公司「營運程序異常事件處理辦 法」執行相關事項。
（三）權責單位：單位內個人資料損害預防及危機處理應變之通報。
（四）經理稽核部：定期或不定期將相關機制列入內部控制及稽核項目。

五、關鍵管理

（一）關鍵管理項目
1、界定之個人資料範圍及其業務涉及個人資料蒐集、處理、利用之流程，評估可能產生之個人資料風險，並根據風險評估之結果，訂定適當之管理機制。
2、因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故，應訂定應變、通報及預防機制。
3、個人資料之安全稽核、紀錄保存及持續改善機制。
4、修正後應於十五日內將修正計畫報請備查。

（二）關鍵管理程序圖

一、 適用範圍

適用於所有與本公司營運相關之個資事件及行為。本公司人員及與本公司成立契約關係或類似契約關係之第三人，包括但不限 於供應商、承包商、約聘人員及顧問，如於執行本公司相關業 務時發生個資安全事故，皆應適用本程序。

二、 定義

(一) 個資安全事故
1. 個資發生被竊取、竄改、毀損、滅失、洩露或其他侵害等事故。
2. 發生違反個資相關法令或本公司個資保護相關規定之情 形。
3. 其他涉及個資安全之事故。

三、 通報及應變程序

(一) 個資安全事故之通報程序
1. 於獲悉個資當事人抱怨、間接獲知個資因竊取、竄改、毀損、滅失、洩漏或其他侵害等，或是發現個資安全事故已 發生或可能發生，應立即檢視事件重大性並於當日通報「個資委員會」。
2. 倘事件具有緊急重大性，且涉及資訊設備之緊急修復時，同仁應於通報個資委員會後，迅速協助知會相關處理單位 ，進行處理。
3. 同仁於通報後，應即將通報內容及初步處理狀況記錄於「個資安全事故紀錄單」中，並送單位主管簽核後，由個資委 員會保存。

(二) 個資安全事故之緊急處理程序
1. 個資委員會收到通報後，若認該事件將使個資可能在短時 間內遭到毀損、滅失、洩漏或其他侵害時，或如不進行緊 急處理可能使得損害快速擴大時，應即通知相關人員或協 力廠商進行緊急處理。
2. 緊急處理措施
(1) 應以業管單位為原則，惟個資委員會視情況需要，得進行必要之指揮監督。
(2) 緊急處理時，應採取免於個資繼續受到毀損、滅失、 洩漏之保護措施，例如於災難現場快速打包個資，並 進行清點。
3. 緊急處理後，個資委員會應根據事故狀況進行調查、通報個資當事人、維護個資正確性、更正錯誤、改善整體環境 或通報主管機關等作業。
4. 緊急處理後，個資委員會應將處理情形填載於「個資安全 事故紀錄單」。
5. 關於事件發生後之個資正確性維護護、錯誤之更正或整體環 境之改善，由個資委員會責成相關單位進行後續處理。相 關單位於後續處理完成後，應於「個資安全事故紀錄單」 填載改善措施及從事故中學習到的經驗或課題。
6. 如因事故排除而有重新蒐集、處理及利用個資之必要，亦應重新告知個資當事人及取得其書面同意。

(三) 個資安全事故處理程序 1. 於事故初步處理完畢後，個資委員會應依下列方式，查明 事故發生之原因：
(1) 內部調查
A. 資訊單位：
清查可能導致事故發生或資料外洩之缺口，透過檢視相關Log紀錄，如電子郵件傳送紀錄、 資料下載紀錄等，分析可能導致事務之人員、時間及方式。
B. 稽核單位：清查事故發生相關作業程序，透過作業流程檢視、文件檢視、單位主管覆核紀錄等，以 指出可能之問題所在。
C. 各單位主管：檢視其單位之相關書面文件是否遭竊、 非授權複製、拷貝等情況。
(2) 外部調查
A. 得委託外部顧問本公司進行鑑識稽核作業，透過特定 檢視程序，對引起事故發生之可能處進行流程查訪， 以確認問題之所在。
B. 得委託徵信單位，對於本公司內部可能導致事故之特 定人員或外部有心人士進行可能犯罪行為進行收 集、監視，並提供本公司蒐集、分析之結果。
C. 詢問個資當事人得知受害之相關情形和管道，並據以了解事件發生原因。
D. 詢問導致事故發生之本公司內、外部人員及其曾接觸 之人員。
2. 查明事故發生原因後，個資委員會應填寫「個資安全事故 通知當事人紀錄單」，並依照個人資料保護法第 12 條所要 求，透過適當方式通知個資當事人，通知的內容應包括個 資當事人個資被侵害之事實及本公司已採取之因應措施，以 及後續提供查詢及協助之方式。
3. 如符合相關法令需申報之規範，個資委員會另應依法向主管機關提出申報。
4. 事故發生後之個資正確性維護、錯誤之更正或整體環境之改善，由個資委員會責成相關單位進行討論及後續處理。 相關單位於後續處理完成後，於「個資安全事故紀錄單」 填載改善措施及從事故中學習到的經驗或課題。
5. 如因事故排除而有重新蒐集、處理及利用個資之必要，亦 應重新告知當事人及取得其書面同意。

四、 獎懲原則
(一) 員工如遵守本程序並通報個資安全事故，倘經個資委員會判斷該通報行為有效防止個資安全事故之發生或有效降低損害 者，應給予適當之獎勵。
(二) 員工如有隱瞞個資安全事故之行為，而致本公司或負責人受有 損害或有損害之虞，應給予警告或懲處。
(三) 上述獎懲辦法由個資委員會訂定。

落實個人資料保護法第3條規範，本公司獨立監督單位設置：為深化個資保護，已通過《個人資料保護法》，成立獨立的「個人資料保護委員會」，作為個資法的主管機關，統一監督個資保護事宜。 

內部安全維護：企業應建立安全維護計畫，包括使用者身分確認、隱碼機制、資料加密、存取控制、安全監控等，以保護個人資料檔案的安全。

委外監督：委託他人處理個資時，企業（委託機關）應對受託者進行監督，至少包含釐清委託範圍、確認安全措施、定期確認執行狀況並記錄，以及對複委託的約定與監督。

稽核與紀錄保存：企業應建立安全稽核機制，定期稽核個人資料的處理方式，並應記錄個人資料的使用情況（軌跡資料），並留存相關證據至少五年。

持續改善機制：組織應定期進行自我評估，檢視並修訂個資保護計畫，針對評估結果規劃執行改善及預防措施。 

事故應變機制：訂定並落實事故緊急應變措施，包含查明事故、通知當事人、採取補救措施、防止損害擴大，以及將事故通報給主管機關。 

蒐集證據並報案：當發生個資外洩或被盜用時，蒐集相關證據（如訊息等），並向警察機關報案。 

聯繫平台與律師：設立舉報機制，可先行申訴；委託律師尋求協助，以便提起訴訟或進行民事求償。 

（一）風險評估：

1、經由本公司(商號)電腦下載或外部網路入侵而外洩。

2、員工及第三人故意竊取、毁損或洩漏。

3、設備送修、遺失或被竊。

4、業務終止後個人資料未銷毀。

（二）管理機制：

1、定期進行網路資訊安全維護及控管。

2、落實教育訓練及管理稽核，並監督其業務之執行。

3、設備送修前或保存，應先備份或加密，避免非授權存取。

4、個資檔案使用期限已結束應銷毀。