一、目的
為落實資訊安全,使經濟部(以下簡稱本部)及所屬機關依法取得內政部
戶役政連結作業之戶政及親等關聯資料,據以執行相關業務時,避免戶政
及親等關聯資料不當使用或外洩,以保障民眾個人隱私,特訂定本管理規
定。
二、法律依據或重大政策依據及計畫
(一)法律依據
1.本部能源署:石油管理法第三十六條,偏遠與原住民族及離島地區
石油設施及運輸費用補助辦法(以下簡稱補助辦法)第四章。
2.本部國際貿易署:貿易法第二十一條,行政執行法第四條第一項、
第十三條,行政程序法第七十八條,個人資料保護法(以下簡稱個
資法)第五條、第十五條及第十六條。
3.本部商業發展署:公司法第十條、第二十條、第二十二條之一第四
項,行政程序法第七十條、第七十一條、第七十二條,公司法第二
十二條之一資料申報及管理辦法第十五條,經濟部對受嚴重特殊傳
染性肺炎影響發生營運困難產業事業紓困振興辦法第五條第三項及
第四項、第五條之一第二項及行政執行法第十三條第二項。
4.本部水利署:水利法第六十三條之五第二項、第七十八條之一、第
七十八條之三第二項、第九十二條、第九十二條之二、第九十二條
之三、第九十二條之五、第九十三條之二至第九十三條之四、第九
十五條至第九十五條之二,河川管理辦法第二十八條、第三十一條
第二項、第三十三條第一項、第三十四條、第三十六條、第四十四
條及第四十六條,排水管理辦法第三十二條,海堤管理辦法第二十
六條、第二十九條、第三十五條,一般性海堤使用行為規費收費標
準第六條,行政執行法第十三條,中央管河川區域使用行為規費收
費標準第六條及第七條,中央管區域排水設施範圍使用行為規費收
費標準第六條及第七條。
5.本部中小及新創企業署:中小企業發展條例第十二條第一項、第十
三條第一項、第二十四條,個資法第五條、第十九條及第二十條,
銀行法第十二條第四款,銀行間徵信資料處理交換服務事業許可及
管理辦法第二條、第二十六條第一項。
(二)計畫
1.經濟部能源署使用戶政資料管理計畫如附件一。
2.經濟部國際貿易署使用戶政資料管理計畫如附件二。
3.經濟部商業發展署使用戶政資料管理計畫如附件三。
4.經濟部水利署使用戶政及親等關聯資料管理計畫如附件四。
5.經濟部中小及新創企業署使用戶政資料管理計畫如附件五。
三、適用機關及業務範圍
(一)適用機關
1.申請機關:本部。
2.資料持有機關:本部能源署、國際貿易署、商業發展署、水利署、
中小及新創企業署。
3.實際使用機關:本部能源署、國際貿易署、商業發展署、水利署,
及補助辦法適用地區之鄉(鎮、市、區)公所、村(里)辦公室,
本部水利署所屬第一河川分署至第十河川分署、代管機關(基隆市
政府、新北市政府、桃園市政府),財團法人中小企業信用保證基
金、財團法人台灣中小企業聯合輔導基金會。
(二)業務範圍
1.透過內政部戶役政資訊電子閘門系統檔案傳輸作業,取得戶政資料
,應用範圍如下:
(1) 本部能源署:補助實際居住偏遠與原住民族地區使用家用桶裝
瓦斯用戶之家用桶裝瓦斯差價,依補助辦法第三十四條規定由
各鄉(鎮、市、區)公所依戶籍資料辦理補助名冊造冊、身分
核對以及補助申辦;另得由村(里)辦公室協助補助名冊之發
放與繳回。
(2) 本部國際貿易署:辦理出進口人違反貿易法,催繳文書送達及
移送行政執行業務,需取得出進口人身分證字號、姓名、戶籍
地址並運用於執行該業務。
(3) 本部商業發展署:辦理公司決算書表查核、命令解散及公司申
報資料之查核作業、紓困補貼款項追回之行政執行等業務。
2.透過內政部戶役政資訊連結介面檔案傳輸及戶政資訊網站服務應用
程式介面(Web Service API) 線上資料查詢作業方式,取得戶政
及親等關聯資料,本部水利署應用範圍如下:受理民眾申請使用河
川區域、排水設施範圍及海堤區域土地,檢核申請人資格以核發使
用許可書,與對違反水利法案件開立處分書及移送行政執行。
3.使用金融監督管理委員會向內政部申請建置於財團法人金融聯合徵
信中心之戶政資料,本部中小及新創企業署應用範圍如下:辦理信
用保證業務、財務諮詢輔導業務,協助資金融通,提供財務諮詢輔
導,健全財務體質,俾強化中小企業經營體質提昇競爭力。
(三)委辦管理措施
1.本部及所屬機關委託直轄市、縣市政府、機構或廠商辦理戶政及親
等關聯資料處理事項,涉及資料存取、處理、查詢及維護應依資通
安全管理法、個資法與本管理規定,辦理管理、查核及稽核作業。
2.依政府採購法規定,本部及所屬機關委由廠商辦理資訊系統建置及
維運應簽訂契約,承商僅得維護管理資訊系統,並協助辦理資訊系
統相關個資安全與資訊安全管理事宜,無權存取與戶政及親等資料
應用相關之功能與資料。另機關需依契約書規定,審核承商之適任
性。
四、專責人員管理
(一)持有、使用機關應設置專責人員,辦理戶政及親等關聯資料之安全維
護事項,並由該專責人員造冊列管所有使用或查詢戶籍資料人員(包
含各業務承辦人、資訊人員、委託機關構或廠商等)為相關管理措施
。
(二)申請、持有、使用機關之專責人員應每年至少接受三小時以上資通安
全專業或資安職能訓練課程。
(三)持有機關之專責人員異動時,應於異動後七日內函知內政部,並副知
本部。
五、處理資料保密措施
(一)帳號管理
1.帳號新增或異動須經申請,申請時應詳述業務需求及戶政及親等關
聯資料查詢權限,並經單位主管或其授權人員核可後,交由管理人
員配賦帳號及查詢權限,並保留申請單及電腦紀錄。
2.戶政資料應用含轄屬機關(單位),應採分層負責。分層採二層者
,分中央及各區或各直轄市、縣(市)政府等二層級;分層採三層
者,分中央、各區或各直轄市、縣(市)政府及鄉(鎮、市、區)
等三層級。由上層級配賦同層級內部使用者及下一層級管理者,最
後一層級配賦內部使用者。各層級單位管理者及使用者均應提出申
請,並經機關或單位核准。
3.帳號及密碼通知過程應具保密措施,防止被窺視或竊取。
4.管理人員及使用者不得使用非本人申請之帳號,帳號不得交接予他
人,且不得和他人共用。
5.使用者於網路連線作業完畢或暫離座位時,應即關閉查詢系統,以
免遭他人冒用。
6.密碼長度至少八碼且應包括英文大小寫及數字混和,並至少每三個
月應更改一次,使用者密碼應妥善保管,避免他人知悉,系統應限
制使用者連續登入失敗三次後,即鎖定該帳號;解除鎖定,須經申
請核准後,由管理人員解除帳號鎖碼,並將帳號密碼還原為初設密
碼。前述定期更改密碼機制及帳號登入失敗密碼鎖定機制,戶政電
子閘門系統另有設計者,從其設計辦理。
7.使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
前或當日,由管理人員停止原帳號。
8.管理人員職務異動時,應於職務異動前辦理帳號異動程序,並於異
動前或當日,由新任管理人員於承接業務時停止原管理人員之帳號
,並新增新管理人員帳號,機關之系統無法變更管理者帳號時,新
任管理者應立即變更管理者密碼。
(二)管理人員應每半年辦理帳號清查,檢視使用者帳號權限,如有重複、
閒置、職務調整、離職及退休之情形時,應即時調整權限、廢止其帳
號並留存清查之紙本及電磁紀錄。
(三)持有機關之申請應用戶政資訊作業之承辦人員及單位主管異動時,應
於異動後七日內函知內政部,並副知本部。
(四)持有、使用機關申請戶政及親等關聯資訊連結作業之專責人員、管理
人員及單位主管應限於執行特定職務必要範圍內得蒐集、處理或利用
介接資料,並應符合特定目的,不得對外公開、移轉或轉讓他人,亦
不得傳送至國外。
六、資料安全管制作業
(一)查詢戶政及親等關聯資料管制措施
1.使用者查詢戶政及親等關聯資料時,應具體填寫查詢事由及相關文
號,作為日後查核依據,查詢結束後應登出系統。
2.查詢戶政及親等關聯資料應避免非業務權責人員閱覽、擷取及破壞
。
3.查詢戶政及親等關聯資料完竣後,如有併案或附卷必要,應妥善保
管相關資料,電子檔應有存取權限控管。
4.連線查詢戶政及親等關聯資料逾時,系統應自動登出。
5.系統應記錄查詢者帳號、查詢日期、時間、查詢作業代號、被查詢
者查詢條件及查詢事由等查詢日誌,並至少保留五年。
6.連線電腦設備須設定螢幕保護密碼,使用者離開時,須退出使用環
境,每日下班前並應確實關機,以防止資料外洩。
(二)批次取得戶政及親等關聯資料管制措施
1.檔案傳輸交換方式批次取得戶政及親等關聯資料者,應由專人辦理
或由系統排程進行,並檢核資料完整性。業務由委辦機構或廠商辦
理者,應由專人加強監管。戶政資料禁止攜出機關辦公場所。
2.取得資料載入系統應用時,應設定使用該資料之存取權限及核准使
用期限。欲使用資料者,須經申請核准後始得使用,並應於核准期
限內使用及應用於核准業務範圍。
3.資料應儲存於安全場所,並管制人員進出。
4.戶政及親等關聯資料不得任意複製,有複製資料之業務需要者,應
經申請核准後,始得複製,資料傳送時應採取適當的保密措施。
5.資料檔案或資料庫應記錄並保存資料存取日誌五年,供後續查核使
用。
(三)資料銷毀程序及銷毀期限
1.線上查詢戶政及親等關聯資料完竣後,相關使用者應負保密責任;
紙本資料,其可銷毀者應立即銷毀至無法辨識,電子檔無業務需求
或未訂有保留規範者,應即刪除。
2.自內政部取得之原始戶政及親等關聯資料檔,持有機關匯入系統資
料庫後,依實際使用情況訂定保留期限,最長不超過九個月,屆期
應刪除原始戶政及親等關聯資料,並留存刪除紀錄,應至少保留五
年備查。
3.儲存於電腦設備或系統之資料檔案,使用完竣且確認無保存必要,
應簽報單位主管或其授權主管核定後,刪除資料檔案,並確認其資
料檔案無法復原,相關簽報及刪除紀錄,應至少保存五年備查。
4.所屬機關每年一月三十一日前將上一年度銷毀紀錄函送本部,本部
彙整後再函知內政部,並檢附佐證資料。
(四)每年應檢視已申請核准戶政及親等關聯資訊連結作業之使用情形,已
無需求者,應函請內政部終止該連結作業。
(五)本部及所屬機關人員申請使用戶役政資訊連結作業及運用戶政及親等
關聯資料,須經其單位主管同意並會同資訊單位審核後始得使用。
七、定期查核及稽核
(一)持有、使用機關應指定專人每月列印查詢紀錄進行抽查,戶政資料抽
查比率至少為百分之一,親等關聯資料不得低於百分之七十,每月抽
查筆數不得少於十筆,查詢總筆數少於十筆者,應全數查核。
(二)前項查核結果,應製作查核紀錄,並經單位主管或其授權人員核章,
稽核團隊應定期輪調查核人員,查核人員不得連續三個月查核同一受
查人員,受查人員不得連續三個月被同一查核人員進行查核,查核紀
錄應至少保留五年備查。
(三)持有、使用機關至少應每半年辦理機關內部稽核工作,本部每半年應
就持有機關辦理稽核工作,所有稽核工作均應作成稽核紀錄,應至少
保留五年備查。
(四)持有、使用機關應每半年辦理委託機關構或廠商維護及存取戶政資料
之稽核工作,並作成稽核紀錄,應至少保留五年備查。
(五)前二項稽核結果,遇有查詢異常現象,應會同政風單位、法制單位及
資訊單位共同調查,並作成稽核紀錄。
(六)內政部實施稽核作業時,本部與所屬機關及其使用者須配合提供相關
查核資料。
八、資安事件通報應變作業
持有、使用機關若發現疑似戶政及親等關聯資料外洩、遭竊、遭竄改或遺
失等情事,應立即通報本部。經本部向持有、使用機關查證屬實,應立即
通報內政部。
九、相關法律責任:
(一)對於取得戶政或親等關聯資料之蒐集、處理及利用,違反個資法規定
,致侵害當事人權益者,由本部、持有及使用機關共同負完全責任,
並負同法第二十八條及第三十一條國家賠償責任。
(二)意圖為自己或第三人不法之利益或損害他人之利益,或無故洩漏個人
資料,或有其他違法或重大不當之行為而洩漏戶政或親等關聯資料者
,除依法負民事及個資法之刑事責任外,應由持有、使用機關議處行
為人之行政責任。
(三)管理人員未善盡管理之責,致未經授權之人,或因職務調整、離職或
退休等原因已無使用戶政或親等關聯資料權限之人,不當取得戶政或
親等關聯資料,致當事人權利受損者,應由持有、使用機關議處管理
人員之行政責任。
(四)依個資法第四條規定,受委託機關構或廠商視同委託機關,持有、使
用機關應規範受委託機關構或廠商違反個資法規定,意圖營利或無故
洩漏個人資料,或違法及重大不當行為,致當事人權益受損者,依個
資法或其他法律之規定負相關責任。
(五)如違反其他法律規定,依其規定追究責任。