第一章 總則
一、經濟部標準檢驗局(以下簡稱本局)及所屬各分局(以下簡稱各分局)為
執行個人資料保護法(以下簡稱本法),以落實個人資料之保護及管理作
業,特訂定本要點。
二、本局及各分局人員執行職務涉及個人資料之蒐集、處理、利用或其他與個
人資料有關之作業者,應依本要點規定辦理,本要點未規定者,依其他相
關之規定。
三、本局一級單位及各分局應指定個人資料保護專責人員,督導所屬人員執行
職務涉及個人資料之蒐集、處理或利用時,依規定辦理個人資料保護及管
理作業,該專責人員並應處理下列事項:
(一)督導本法第十條至第十二條所定當事人權利行使案件及通知之辦理。
(二)督導個人資料安全事件之損害預防、危機處理、緊急應變及通報。
(三)督導個人資料保護作業之內部稽核。
(四)本法第十八條及個人資料保護法施行細則(以下簡稱本法施行細則)
第十二條所定個人資料檔案之安全維護。
(五)個人資料保護事項之協調。
(六)推動所屬人員個人資料保護意識之提升及教育訓練計畫。
(七)推動本局個人資料保護方針及政策。
(八)其他有關單位內部個人資料保護管理事項之督導、規劃及推動。
四、本局一級單位及各分局辦理下列事項,應設置個人資料保護聯絡人員:
(一)就主管業務與其他機關或單位間有關個人資料保護事項之協調聯繫及
緊急應變通報。
(二)非資通安全面個人資料安全事件之通報。
(三)重大個人資料外洩事件之民眾聯繫單一窗口。
(四)個人資料保護相關人員名冊之製作及更新。
(五)個人資料保護教育訓練名單及紀錄之彙整。
(六)本法第十七條所定公開或供公眾查閱事項之彙整。
(七)個人資料保護法令之諮詢。
前項第六款應公開或供公眾查閱之事項,本局由各一級單位個人資料保護
聯絡人員依規定格式彙整,送本局個人資料保護推動執行小組(以下簡稱
本小組)行政組上傳公開於本局網站;各分局由其個人資料保護聯絡人員
依規定格式彙整上傳公開於各分局網站。
第二章 個人資料之蒐集、處理及利用
五、本局及各分局蒐集、處理或利用個人資料之特定目的,依個人資料保護法
之特定目的及個人資料之類別規定者為限。
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法
為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之
關聯。
六、本局及各分局蒐集當事人個人資料時,應明確告知當事人下列事項。但符
合本法第八條第二項規定情形之一者,不在此限:
(一)機關或單位名稱。
(二)蒐集之目的。
(三)個人資料之類別。
(四)個人資料利用之期間、地區、對象及方式。
(五)當事人依本法第三條規定得行使之權利及方式。
(六)當事人得自由選擇提供個人資料時,不提供對其權益之影響。
本局及各分局明確告知當事人前項各款應告知事項時,當事人如未表示拒
絕,並已提供其個人資料者,推定當事人已依本法第十五條第二款規定表
示同意。
本局及各分局蒐集當事人個人資料時,就本法所稱經當事人同意之事實,
應負舉證責任。
七、本局及各分局蒐集非由當事人提供之個人資料,應於處理或利用前,向當
事人告知個人資料來源及前點第一項第一款至第五款所列事項。但符合本
法第九條第二項規定情形之一者,不在此限。
前項之告知,得於首次對當事人為利用時併同為之。
八、本局及各分局依本法第六條第一項但書第六款、第十一條第二項但書及第
三項但書規定經當事人書面同意者,應取得當事人同意書;該同意書作成
之方式,依電子簽章法之規定,得以電子文件為之。
九、本局及各分局依本法第十五條或第十六條規定對個人資料之蒐集、處理或
利用,應詳為審核並簽奉核定後為之。
本局及各分局依本法第十六條但書規定對個人資料為特定目的外之利用,
應將個人資料之利用歷程做成紀錄。
本局及各分局對於個人資料不得為非法之利用,並不得為資料庫之恣意連
結,且不得濫用。
十、本局及各分局保有之個人資料有誤或缺漏時,應由資料蒐集單位確認及簽
奉核定,移由資料保存單位更正或補充之,並留存相關紀錄。
因可歸責於本局或各分局之事由,未為更正或補充之個人資料,應於更正
或補充後,由資料蒐集單位以書面通知曾提供利用之對象。
十一、本局及各分局保有之個人資料正確性有爭議者,應由資料蒐集單位簽奉
核定,移由資料保存單位停止處理或利用該個人資料。但符合本法第十
一條第二項但書情形者,不在此限。
個人資料已停止處理或利用者,資料保存單位應確實記錄。
十二、本局及各分局保有個人資料蒐集之特定目的消失或期限屆滿時,應由資
料蒐集單位簽奉核定,移由資料保存單位刪除、停止處理或利用。但符
合本法第十一條第三項但書情形者,不在此限。
個人資料已刪除、停止處理或利用者,資料保存單位應確實記錄。
十三、本局及各分局依本法第十一條第四項規定應主動或依當事人之請求刪除
、停止蒐集、處理或利用個人資料者,應由資料蒐集單位簽奉核定後停
止蒐集,其已蒐集之個人資料,由資料蒐集單位簽奉核定,移由資料保
存單位刪除、停止處理或利用。
個人資料已停止蒐集者,由資料蒐集單位確實記錄;其已刪除、停止處
理或利用者,由資料保存單位確實記錄。
十四、本局及各分局遇有本法第十二條所定個人資料被竊取、洩漏、竄改或其
他侵害情事者,經查明後,應由資料外洩單位依本法施行細則第二十二
條所定之適當方式儘速通知當事人。
第三章 當事人行使權利之處理
十五、當事人依本法第十條或第十一條第一項至第四項規定向本局及各分局為
請求時,應填具申請書,並檢附相關證明文件,由資料蒐集單位受理及
承辦。
前項書件內容,如有遺漏或欠缺,應通知限期補正。
申請案件有下列情形之一者,應以書面駁回其申請:
(一)申請書件內容有遺漏或欠缺,經通知限期補正,逾期仍未補正。
(二)有本法第十條但書各款情形之一。
(三)有本法第十一條第二項但書或第三項但書所定情形之一。
(四)與法令規定不符。
十六、當事人依本法第十條規定提出之請求,應於十五日內為准駁之決定。
前項之准駁決定,必要時得予延長,延長期間不得逾十五日,並應將其
原因以書面通知請求人。
十七、當事人請求查詢、閱覽或製給個人資料複製本者,準用經濟部及所屬機
關提供政府資訊收費標準收取費用。
當事人閱覽其個人資料,應由資料蒐集單位派員陪同為之,並依檔案法
、政府資訊公開法或經濟部標準檢驗局檔案應用暨閱覽政府資訊作業須
知辦理。
十八、當事人依本法第十一條第一項至第四項規定提出之請求,應於三十日內
為准駁之決定。
前項之准駁決定,必要時得予延長,延長期間不得逾三十日,並應將其
原因以書面通知請求人。
十九、個人資料檔案之性質特殊或法律另有規定不應公開其檔案名稱者,本局
及各分局得依政府資訊公開法或其他法律規定,限制公開或不予提供。
第四章 個人資料檔案安全維護
二十、為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本局及各分局人員
應依本要點及相關法令規定辦理個人資料檔案安全維護事項,依第三點
指定之個人資料保護專責人員並應予以督導。
二十一、個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立
安全管理規範。
二十二、為強化個人資料檔案之存取安全,防止非法授權存取,維護個人資料
之隱私性,本局一級單位及各分局應將個人資料檔案安全稽核作業,
納入公務機密檢查及資訊安全管理稽核機制中辦理之。
二十三、本局一級單位及各分局遇有個人資料檔案發生遭人惡意破壞毀損、作
業不慎等危安事件,或有駭客攻擊等非法入侵情事,導致個人資料外
洩事件時,應進行緊急因應措施,並迅速通報至本小組;如屬資通安
全面之個人資料外洩事件,應另依其資通安全事件通報及應變機制進
行通報。
二十四、本局及各分局個人資料檔案安全維護工作,除本要點外,並應符合行
政院、經濟部及本局訂定之相關資訊作業安全與機密維護規範。
第五章 附則
二十五、本局及各分局依本法第四條規定委託蒐集、處理或利用個人資料者,
適用本要點。
前項委託,應由主辦委託業務之本局一級單位或各分局(以下簡稱委
託單位或分局)為適當之監督,其監督至少應包含下列事項:
(一)預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期
間。
(二)受託者就本法施行細則第十二條第二項採取之措施。
(三)有複委託者,其約定之受託者。
(四)受託者或其受僱人違反本法、其他個人資料保護法律或其法規命
令時,應向委託單位或分局通知之事項及採行之補救措施。
(五)委託單位或分局如對受託者有保留指示者,其保留指示之事項。
(六)委託關係終止或解除時,個人資料載體之返還,及受託者履行委
託契約以儲存方式而持有之個人資料之刪除。
前項監督,委託單位或分局應定期確認受託者執行之狀況,並將確認
結果記錄之。
受託者僅得於委託單位或分局指示之範圍內,蒐集、處理或利用個人
資料,受託者認其指示有違反本法、其他個人資料保護法律或其法規
命令者,應立即通知委託單位或分局。
二十六、執行本要點各項作業之流程、應使用之文件表單及其他相關事項,另
訂經濟部標準檢驗局個人資料保護管理作業程序規範之。