法規內容：

一、目的
    為規範本處中小企業融資服務平台介接公務及非公務機關電子資料（
    以下簡稱介接資料）的蒐集、使用、管理及安全維護符合個人資料保
    護法、稅捐稽徵法、營業秘密法等相關法令規定，避免資料不當使用
    或外洩情事發生，特訂定本規範。


二、使用對象
（一）介接資料管理單位
      1.本處及本處授權之財團法人金融聯合徵信中心（以下簡稱聯徵中
        心）為資料管理單位，經介接機關同意，本處得授權介接資料使
        用單位使用介接資料，其介接資料使用單位名單應副知聯徵中心
        及介接公務及非公務機關備查。
      2.資料管理單位負責連線作業及資料交換之相關軟硬體設備建置、
        管理與維護，包括資料庫資料之儲存、維護與安全保護。
（二）介接資料使用單位
      1.資料使用單位為本處及依本規範使用介接資料之各單位，其中包
        括經本處授權之聯徵中心會員金融機構及財團法人中小企業信用
        保證基金（以下簡稱信保基金）。
      2.資料使用單位應依本規範及授權範圍使用與管理介接資料。


三、介接資料之蒐集
（一）介接資料使用單位對介接資料之蒐集、處理及使用，應取得當事人
      之授權，授權書徵提方式有以下二種：
      1.企業透過中小企業融資服務平台申請線上融資：
     （1）書面授權書
          企業透過中小企業融資服務平台申請線上融資時，如非以工商
          憑證登入本平台，應檢附書面授權書，同意本處及經本處授權
          之介接資料使用單位蒐集、電腦處理及使用其相關資料。（線
          上融資授權書如附件 A）。
          企業申請相關業務時檢附書面授權書，同意本處及經本處授權
          之介接資料使用單位蒐集、電腦處理及使用其相關資料。
     （2）以工商憑證電子授權
          企業以工商憑證登入中小企業融資服務平台申請線上融資業務
          時，透過資訊系統進行身分確認後，系統須先顯示資料使用授
          權書頁面，經企業點選確認後始可透過資訊系統連線取得介接
          資料，系統則保留授權書之紀錄。
      2.企業透過介接資料使用單位申請融資：
        企業透過介接資料使用單位申請融資時應檢附書面授權書，同意
        本處及經本處授權之介接資料使用單位蒐集、電腦處理及使用其
        相關資料。（介接資料使用單位授權書如附件 B）。
（二）前項企業以書面授權者，本處或各介接資料使用單位應確實保存書
      面同意書。
（三）前項企業以工商憑證電子授權者，介接資料管理單位應確實儲存電
      子授權紀錄。
（四）介接資料之蒐集應取得個別企業之授權書，其流程詳如附件 C－審
      核流程圖：
      1.企業透過中小企業融資服務平台申請線上融資：
        以書面授權者，企業應於線上申請融資時，下載授權書填寫完畢
        並簽章後，將授權書先行傳真至本處，並於三日內將授權書正本
        寄至本處歸檔備查；另企業以工商憑證電子授權者，由系統自動
        啟動發查。
      2.企業透過介接資料使用單位申請融資：
        以書面授權者，介接資料使用單位應於查調時，將授權書傳真或
        掃描成電子檔傳送至聯徵中心，聯徵中心應按月逐筆檢視介接資
        料使用單位取得企業書面授權書之遵行情形，檢核後之授權書資
        料，於留存一年後銷毀。另聯徵中心須規範介接資料使用單位利
        用聯徵中心提供之會員查詢記錄資訊指定專人抽核，並得由聯徵
        中心派人實地查核


四、介接資料之使用
（一）介接資料使用單位，需徵得個別企業之授權書後，始得使用介接資
      料，並以融資目的所需之徵審查調為限，並僅供內部業務參考使用
      ，不得對外公開或移轉他人。
（二）有關本處啟動發查取得介接資料後，提供予介接資料使用單位方式
      ：
      1.透過中小企業融資服務平台取得中小企業申請線上融資資料：
        介接資料使用單位以本處設定之單一組帳號、密碼登入本處 ESB
        架構下之 FTPS Server（鎖定各介接資料使用單位特定 IP ）取
        得介接資料，供內部業務徵審查調為限。
      2.透過中小企業融資服務平台取得線上融資以外之介接資料：
     （1）本處透過處內創新應用伺服器（IS）介接行政院研考會 e  化
          共通平台，取得商業司、工業局及財政部財政資訊中心等公務
          機關介接資料，並建置企業服務匯流介面（ESB ），以 WebS-
          ervices 做為資料交換標準介面，並透過「政府網際服務網（
          GSN ）外部連線安全閘道服務」，與聯徵中心之 VPN  網路介
          接，專線連線通道應作加密處理。
     （2）聯徵中心透過 VPN  網路及加密檔案傳輸軟體取得介接資料，
          供聯徵中心會員金融機構內部業務徵審查調為限。
      3.透過研考會創新 e  化服務－中小企業融資服務取得介接資料：
        各介接資料使用單位經由聯徵中心透過本處介接研考會「創新 E
        化服務－中小企業融資服務」平台，選取「融資銀行查調資料列
        印」，輸入查詢的「公司統編」後，檢視取得之介接資料，需要
        時得進行列印。
（三）透過中小企業融資服務平台取得之介接資料如下：
      1.財政部財政資訊中心：依財政部 98 年 2  月 27 日台財稅字第
        09804001610 號函核定之各項經加值運算之財務比率 50 項及比
        對發票驗證結果（查調結果可供查詢、列印及存取）。
      2.商業司：經商業司核定之公司登記相關資料。
      3.工業局：經工業局核定之工廠登記相關資料。
      4.勞保局：經勞保局核定之投保人數及欠費等相關資料。
      5.其他同意本計畫介接資料之機構所提供之資料。
（四）透過研考會創新 e  化服務－中小企業融資服務取得之介接資料如
      下：
      1.財政部財政資訊中心：依財政部 94 年 11 月 30 日台財稅字第
        09404579190 號函及 98 年 2  月 27 日台財稅字第 098040016
        10  號函核定之查調項目（查調結果僅能查詢與列印，不能存取
        ）。
      2.商業司：經商業司核定之公司登記相關資料。
      3.工業局：經工業局核定之工廠登記相關資料。
      4.勞保局：經勞保局核定之投保人數及欠費等相關資料。


五、資料使用者之管理
（一）資料使用者之指定與登記
      介接資料使用單位部門主管對於介接資料，應指定專責之資料使用
      者，經本處授權之聯徵中心會員金融機構並應依「財團法人金融聯
      合徵信中心及其會員透過中小企業融資服務平台介接公務機關電子
      資料使用管理辦法」辦理。註銷資料使用者時亦同。
（二）使用者帳號密碼
      1.每位使用者應分別配予一組獨立帳號密碼。
      2.本處使用者經授權後使用系統管理者建立之帳號及密碼登入系統
        ，執行線上融資授權書審核與啟動發查工作。
      3.資料使用者帳號及權限之使用狀況，應由介接資料使用單位帳號
        管理人員定期審查，原則上每月應清查一次資料使用者異動情形
        。
      4.資料使用者應使用個人帳號密碼，不得使用他人帳號密碼，亦不
        得將帳號密碼借予他人使用。
      5.資料使用者帳號密碼為機密資訊，使用者應妥善保管不可外洩，
        為維護自身權益，使用者懷疑密碼已洩漏時，應立即變更。
      6.資料使用者必須遵守本處系統密碼設定規定，設定適當密碼，密
        碼每三個月強制更新一次，一年內不得重覆使用同一組密碼，逾
        30  天未登入系統之使用者，於重新登入時強制要求變更密碼。
（三）資料使用者僅能進行所申請之案號資料查詢或列印，不得自行更改
      或竊取未經核准使用之資料；並於作業完畢或臨時離開座位時，應
      立即登出系統，以避免遭他人冒用。


六、介接資料之保密、保護義務
（一）介接資料之儲存與安全保護由本處及本處授權之聯徵中心共同負責
      。
（二）對儲存介接資料之資料庫，應設定特定之系統管理者帳號密碼，此
      帳號密碼應獨立使用，不可使用於資訊應用系統中。
（三）系統管理者帳號密碼由本處知識資訊組指定之專人保管。系統管理
      者異動或離職時，本處知識資訊組主管應立即指派接替之保管人並
      更改系統管理者密碼，並確實辦理工作及相關文件、資料移交。
（四）介接資料使用單位若發現介接資料外洩、遭竊、遭竄改、遺失或其
      他不良後果時，應立即向本處通報。
（五）介接資料使用單位暨其授權使用者對介接資料之使用，如違反個人
      資料保護法及稅捐稽徵法規定，致當事人權益受損害者，應負損害
      賠償責任（個人資料保護法第 28、29 條及稅捐稽徵法第 33 條規
      定）。另涉及刑事責任者，依稅捐稽徵法及個人資料保護法之相關
      規定，移送司法機關辦理。


七、安全管制、查核與稽核
（一）作業規範
      1.依據「經濟部中小企業處資訊安全管理規範」辦理。
      2.信保基金另依據「中小企業信用保證基金介接公務機關電子資料
        使用管理要點」辦理。
      3.聯徵中心及其會員金融機構另依據「財團法人金融聯合徵信中心
        及其會員透過中小企業融資服務平台介接公務機關電子資料使用
        管理辦法」辦理。
      4.介接公務及非公務機關電子資料，除遵守法定資訊安全作業規範
        外，並將遵循各介接機關訂定之系統安全及作業管制等安全性規
        範，如稅務 e  網通與外機關資訊交流服務資安要求（附件 D）
        。
（二）查核與稽核
      1.本處及本處授權之聯徵中心對資料使用者設定帳號與權限時須予
        以紀錄，本處及提供介接資料之公務及非公務機關得對前項紀錄
        進行查核。
      2.本處應對資料使用者之行為與活動加以記錄、監控及稽核，包括
        使用者查詢件數、授權書經審核後啟動發查時間、文件瀏覽次數
        、文件何時被列印、瀏覽等資安紀錄（log）。
      3.介接資料使用單位查核與稽核應依「財團法人金融聯合徵信中心
        及其會員透過中小企業融資服務平台介接公務機關電子資料使用
        管理辦法」辦理。
      4.資料使用者對列印之紙本資料應負保管之責，若為有時效性之資
        料，平日不用時應妥善存放，確保資料不外流，並於使用完畢時
        ，立即銷毀。另授權書應至少保管至貸款期間終止後 5  年，其
        介接資料使用單位有更長之保存期限者，從其規定。
      5.本處產製查詢之資安紀錄（log ）報表，每週應提供財稅資料中
        心交叉比對查詢筆數是否相符，並每月至介接資料使用單位查核
        登載之查調筆數及內容是否與資安紀錄（log ）報表相符。
      6.提供介接資料之公務及非公務機關得不定期至本處調閱相關資料
        進行抽查，另本處及提供介接資料之公務及非公務機關得不定期
        派員至介接資料使用單位調閱相關資料進行抽查，介接資料使用
        單位不得拒絕，如有違法或未依本規範進行查調之情事，本處將
        立即終止該資料使用單位使用本平台之一切權利，倘有侵害第三
        人權利，使第三人受有損失時，介接資料使用單位應自負相關法
        律責任及賠償第三人所蒙受之損失。