收費法規

高速公路電子收費系統個人資料檔案安全維護處理要點


中華民國102年8月30日業字第1026007111號令發布自即日起生效

中華民國103年3月20日業字第10360025341號令修正第十三點,並自即日起生效

 
一、交通部臺灣區國道高速公路局(以下簡稱本局)為維護電子收費用路人個人資料權益,確保民間參與高速公路電子收費系統建置及營運之公司、行號(以下簡稱廠商)蒐集、處理及利用個人資料之行為合於規範,特訂定本要點。
二、本要點適用對象為相關廠商、機構之人員。
    本局人員及受託處理相關事務之機構、人員,準用本要點之規定。
三、廠商為落實個人資料檔案之安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失或洩漏,應訂定個人資料檔案安全維護計畫(以下簡稱本計畫)。
    本計畫內容,應包含業務終止後個人資料處理方法。
    廠商應定期檢視及配合相關法令修正本計畫。
四、廠商就個人資料檔案安全維護管理,應指定專人或建立專責組織負責,並配置相當資源。
    前項專人或專責組織之任務如下:
(一) 訂定個人資料保護管理原則,將其所蒐集、處理及利用個人資料之依據、特定目的及其他相關保護事項公告,使其所屬人員瞭解。
(二) 規劃、訂定、修正及執行本計畫。
(三) 定期對所屬人員施以基礎認知宣導或專業教育訓練,使其瞭解個人資料保護相關法令規定、責任範圍、管理措施或方法。
五、廠商訂定之個人資料保護管理原則,應包括下列事項:
(一) 個人資料保護相關法令規定之遵守。
(二) 於特定目的範圍內,蒐集、處理及利用個人資料之合理安全方法。
(三) 保護所蒐集、處理、利用之個人資料檔案之合理安全水準技術。
(四) 供當事人行使個人資料之相關權利或提出相關申訴及諮詢之聯絡窗口。
(五) 處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故之緊急應變程序。
(六) 委託蒐集、處理及利用個人資料,監督受託者之機制。
(七) 確保個人資料檔案之安全,維持運作本計畫之機制。
六、廠商應依據個人資料保護相關法令,清查所保有之個人資料,界定納入本計畫之範圍及建立檔案,並定期確認有否變動。
七、廠商應依據前點所界定之範圍,分析蒐集、處理及利用過程中可能產生之風險,依據分析之結果,訂定適當管控措施。
八、廠商為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故,應建立下列機制:
(一) 採取適當之應變措施,以控制事故對當事人之損害。
(二) 查明事故之狀況並適時通知當事人。
(三) 避免類似事故再次發生。
九、廠商就個人資料保護法(以下簡稱本法)第六條第一項規定之個人資料,應於蒐集、處理或利用前,確認符合相關法令規定。
十、廠商依本法第八條及第九條規定之告知義務,應建立下列作業程序:
(一) 依據蒐集資料情況,採取適當之告知方式。
(二) 確認符合免告知當事人之事由。
十一、廠商對個人資料之蒐集、處理或利用,除本法第六條第一項所規定資料外,應建立下列作業程序:
(一) 確認蒐集個人資料之特定目的。
(二) 確認具備法令所要求之特定情形或其他要件。
十二、廠商委託他人蒐集、處理或利用個人資料之全部或一部時,應對受託者建立下列監督作業程序:
(一) 確認所委託蒐集、處理或利用之個人資料之範圍、類別、特定目的及其期間。
(二) 確認受託人應採取必要安全措施。
(三) 有複委託者,確認其複委託之對象。
(四) 受託人或其受僱人違反個人資料保護法令或委託契約條款時,要求其向委託人通知相關事項。
(五) 與受託人約定委託人所保留指示之事項。
(六) 委託關係終止或解除時,要求受託人返還或銷毀因委託事項所交付之個人資料載體,及刪除因委託事項所儲存於受託人之個人資料。
(七) 確認受託人執行上述要求事項之狀況。
十三、(刪除)
十四、廠商如欲拓展延伸事業服務,須依據高速公路電子收費系統建置及營運契約相關規定辦理 。
十五、廠商進行個人資料國際傳輸前,應檢視有無中央目的事業主管機關依本法第二十一條規定所為之限制。
十六、當事人就其個人資料行使本法第三條所定之權利,廠商應建立下列作業程序:
(一) 檢核適當之身分證明資料用以確認當事人身分或授權。
(二) 提供當事人行使權利之方式,並依本法第十三條所定處理期限辦理。
(三) 確認有無本法第十條及第十一條得拒絕當事人行使權利之事由,並附理由通知當事人。
(四) 告知得收取之費用標準。
十七、廠商為維護其保有個人資料之正確性,應建立下列作業程序:
(一) 檢視個人資料於蒐集、處理或利用過程,有無錯誤。
(二) 發現錯誤者,適時更正或補充。
(三) 有爭議者,依本法第十一條第二項規定就爭議資料之處理或利用,建立相關作業程序。
十八、廠商應定期確認所保有個人資料之特定目的有無消失或期限屆滿。
    個人資料之特定目的消失或期限屆滿時,應依本法第十一條第三項規定辦理。
十九、廠商就人員管理,應採取下列措施:
(一) 確認蒐集、處理及利用個人資料之各相關業務流程之負責人員。
(二) 依據作業之必要,設定所屬人員不同之權限並控管之,以一定認證機制管理其權限,且定期確認權限內容設定之適當與必要性。
(三) 要求所屬人員負擔相關之保密義務。
二十、廠商蒐集、處理或利用個人資料,就資料安全管理,應採取下列措施:
(一) 訂定作業注意事項。
(二) 運用電腦或自動化機器相關設備,訂定使用可攜式設備或儲存媒體之規範。
(三) 保有之個人資料內容,有加密之必要時,採取適當之加密機制。
(四) 傳輸個人資料時,因應不同之傳輸方式,有加密必要時,採取適當加密機制,並確認資料收受者之正確性。
(五) 依據保有資料之重要性,評估有備份必要時,予以備份,並比照原件加密。儲存備份資料之媒介物,以適當方式保管,且定期進行備份資料之抽樣還原測試,以確保有效性。
(六) 儲存個人資料之媒介物於報廢或轉作其他用途時,以物理或其他方式確實破壞或刪除媒介物中所儲存之資料。
(七) 妥善保存管理機制及加密機制中所運用之密碼。
二十一、廠商就設備安全管理,應採取下列措施:
(一) 依據作業內容之不同,實施必要之門禁管理。
(二) 妥善保管個人資料之儲存媒體。
(三) 針對不同作業環境,建置必要之防災設備。
二十二、廠商就技術管理,應採取下列措施:
(一) 於電腦、自動化處理設備或系統上設定認證機制,對有存取個人資料權限之人員進行識別及控管。
(二) 認證機制使用之帳號及密碼,具備一定之複雜度,並定期更換密碼。
(三) 於電腦、自動化處理設備或系統上設定警示與相關反應機制,以對不正常之存取進行適當之反應及處理。
(四) 個人資料存取權限之數量及範圍,依作業必要予以設定,且不得共用存取權限。
(五) 採用防火牆或入侵偵測等設備,避免儲存個人資料之系統遭受無權限之存取。
(六) 使用能存取個人資料之應用程式時,確認使用者具備使用權限。
(七) 定期檢視個人資料之存取權限及認證機制之設定。
(八) 於處理個人資料之電腦系統中安裝防毒、防駭軟體,並定期更新病毒碼。
(九) 對於電腦作業系統及相關應用程式之漏洞,定期安裝修補程式。
(十) 對於具備存取權限之電腦或自動化處理設備,不得安裝檔案分享軟體。
(十一) 測試處理個人資料之資訊系統時,不使用真實個人資料,有使用真實個人資料之情形時,明確規定使用程序。
(十二) 處理個人資料之資訊系統有變更時,確認其安全性並未降低。
(十三) 定期檢查處理個人資料資訊系統之使用狀況,及個人資料存取情形。
二十三、廠商業務終止後之個人資料處理,應採取下列措施:
(一) 刪除或銷毀儲存個人資料之媒介物中所儲存之資料,紀錄並留存刪除或銷毀之方法、時間、地點及證明刪除或銷毀之方式。
(二) 受移轉之對象得合法保有該項個人資料,紀錄並留存移轉原因、方法、時間及地點。
二十四、廠商執行本計畫各項程序及措施,應保存下列紀錄:
(一) 因應事故發生所採取行為之紀錄。
(二) 確認受託人執行委託人要求事項之紀錄。
(三) 提供當事人行使權利之紀錄。
(四) 確認資料正確性及更正之紀錄。
(五) 權限新增、變動及刪除之紀錄。
(六) 違反權限行為之紀錄。
(七) 備份及還原測試之紀錄。
(八) 個人資料交付、傳輸之紀錄。
(九) 個人資料刪除、廢棄之紀錄。
(十) 存取個人資料系統之紀錄。
(十一) 定期檢查處理個人資料之資訊系統之紀錄。
(十二) 教育訓練之紀錄。
(十三) 計畫稽核及改善程序執行之紀錄。
二十五、廠商蒐集、處理及利用個人資料如有違反本法等相關規定者,依法負擔法律責任。
二十六、廠商應定期檢查本計畫執行情形,並建立未落實執行之改善措施。
上架日期    :102-09-02
資料提供單位  :業務組
本頁最後更新日期:106-11-09