第一章 目的
一、經濟部中小企業處(以下簡稱本處)為規範中小企業融資服務平台介接公
務及非公務機關電子資料之蒐集、使用、管理及安全維護符合個人資料保
護法、稅捐稽徵法、營業秘密法等相關法令規定,避免資料不當使用或外
洩情事發生,特訂定本規範。
第二章 用詞定義及相關事項
二、用詞定義
(一)介接機關:指提供中小企業融資服務平台電子資料之公務及非公務機
關。
(二)介接資料:指介接機關提供中小企業融資服務平台之電子資料,區分
如下:
1.原始資料:指得以識別特定當事人之資料。
2.加值資料:指原始資料經處理後或其揭露方式無從識別特定當事人
或不易與其他資料結合為得以識別特定當事人之資料。
3.沙盒伺服器資料:指儲存於受本處控管之主機環境中之加值資料。
(三)介接資料管理單位:指本處及財團法人金融聯合徵信中心(以下簡稱
聯徵中心)。
(四)介接資料使用單位,包括下列第一類至第四類使用單位:
1.第一類使用單位:指經介接機關同意,並經本處授權使用介接資料
之聯徵中心會員機構。
2.第二類使用單位:指辦理本處委託中小企業發展條例所定輔導業務
,經介接機關同意並經本處授權使用介接資料之單位。
3.第三類使用單位:指其他經介接機關同意,並經本處授權使用介接
資料之單位。
4.第四類使用單位:指依法辦理公司、有限合夥、商業或稅籍登記之
營利事業。
(五)資料使用者:指第一類至第三類使用單位主管或第四類使用單位負責
人指定辦理介接資料查詢業務者。
三、介接資料管理單位權責
(一)本處:
1.負責管理第二類至第四類使用單位之連線作業及資料交換之相關軟
硬體設備建置、管理及維護,並得就第二類至第四類使用單位資格
、審核方式及其他應遵行事項另訂之。
2.本處得於執行特定職務必要範圍內,於取具企業代表人或其負責人
之授權下,查調企業、其負責人之介接資料。
(二)聯徵中心:負責第一類使用單位之連線作業及資料交換之相關軟硬體
設備建置、管理及維護。
四、介接資料之取用限制及種類
(一)介接資料之取用限制:第一類使用單位得取用原始資料;第二類及第
三類使用單位,除另有規定或經本處同意外,僅得取用加值資料;第
四類使用單位僅得取用其原始資料。
(二)介接資料種類如下:
1.財政部財政資訊中心九十八年二月二十七日台財稅字第○九八○四
○○一六一○號函核定之各項經加值運算之財務比率五十項及比對
發票驗證結果,及一百零六年十二月七日資國字第一○六○○○三
六三七號函核定之查調項目。
2.經濟部商業司核定之公司登記相關資料。
3.經濟部工業局核定之工廠登記相關資料。
4.台灣電力股份有限公司提供之企業用電及欠費等相關資料。
5.台灣自來水股份有限公司、臺北自來水事業處提供之企業用水及繳
費等相關資料。
6.勞動部勞工保險局核定之投保人數及欠費等相關資料。
7.其他介接機關提供之介接資料。
第三章 第一類至第三類使用單位取得授權方式、流程及善良管理人注意
義務
五、第一類至第三類使用單位為融資授信目的、資金媒合目的或辦理中小企業
發展條例所定輔導業務,於執行特定職務必要範圍內,查調企業、其負責
人之介接資料時,應分別取得其書面授權或電子授權,及蒐集個人資料告
知事項暨個人資料提供同意書。
六、第一類至第三類使用單位取得書面授權之方式
(一)書面授權方式分為下列兩種:
1.企業代表人或其負責人填寫書面授權書,同意第一類至第三類使用
單位於執行特定職務必要範圍內蒐集、處理及使用介接資料。
2.企業代表人或其負責人親臨第一類至第三類使用單位時,由其於電
子手寫裝置簽署授權書電子檔,同意該使用單位於執行特定職務必
要範圍內蒐集、處理及使用介接資料。
(二)第一類使用單位應確實審核企業與負責人身分及其授權資訊,並於取
得其書面授權後,始可將書面授權書傳真,或將授權書電子檔傳送至
聯徵中心備查。
(三)第二類及第三類使用單位應確實審核企業與負責人身分及其授權資訊
,並於取得其書面授權後,始可將書面授權書傳真,或將授權書電子
檔傳送至本處備查。
七、第一類至第三類使用單位取得電子授權之方式
(一)企業代表人或其負責人透過網際網路連線至第一類至第三類使用單位
之資訊系統或數位服務頁面,利用電子憑證授權該使用單位於執行特
定職務必要範圍內蒐集、處理及使用介接資料。
(二)第一類使用單位應確實審核企業與負責人身分及其授權資訊,並於取
得其電子憑證授權後,始可將授權資訊透過該使用單位之資訊系統傳
送至聯徵中心備查。
(三)第二類及第三類使用單位應確實審核企業與負責人身分及其授權資訊
,並於取得其電子憑證授權後,始可將授權資訊透過該使用單位之資
訊系統傳送至本處備查。
八、第一類至第三類使用單位之善良管理人注意義務
(一)應對書面授權書及授權書電子檔之驗證結果及其真實性負責。
(二)應確保電子憑證授權之授權資訊不被竄改,及具備不可否認性,且其
授權資訊可完整呈現並於日後取出查驗,並應對其驗證結果及真實性
負責。
第四章 第四類使用單位之認證方式、流程及善良管理人注意義務
九、第四類使用單位由企業代表人、其負責人或資料使用者,透過網際網路連
線至中小企業融資服務平台之數位服務頁面,填具電子申請表單,並以其
電子憑證,以本規範所定方式取得該企業、負責人之介接資料。
十、第四類使用單位應盡善良管理人注意義務,以確保其電子憑證與同意資訊
不被竄改,及具備不可否認性,且其授權資訊可完整呈現並於日後取出查
驗,並應對其驗證結果及真實性負責。
第五章 第一類至第三類使用單位取得介接資料之方式、介接資料交換標
準介面及對於資料使用者之管理
十一、第一類至第三類使用單位取得介接資料之方式如下:
(一)第一類使用單位:
1.經聯徵中心透過中小企業融資服務平台,介接國家發展委員會(
以下簡稱國發會)「創新 E 化服務—中小企業融資服務」取得
第四點第二款第一目至第三目介接資料。
2.經聯徵中心透過中小企業融資服務平台取得第四點第二款第四目
至第六目介接資料。
3.依各該介接機關指定方式取得第四點第二款第七目介接資料。
(二)第二類及第三類使用單位:
1.經中小企業融資服務平台,介接國發會「創新E化服務-中小企
業融資服務」取得第四點第二款第一目至第三目介接資料。
2.經中小企業融資服務平台取得第四點第二款第四目至第六目介接
資料。
3.依各該介接機關指定方式取得第四點第二款第七目介接資料。
十二、第一類至第三類使用單位之介接資料交換標準介面如下:
(一)第一類使用單位資料交換標準介面:
1.建置企業服務匯流排介面(ESB ),以 Web Services 做為資料
交換標準介面,並由 GSN 開放特殊連線,與聯徵中心以 VPN
網路介接,專線連線通道應作加密處理。
2.限聯徵中心透過 VPN 網路及加密檔案傳輸軟體取得介接資料,
供聯徵中心會員機構內部業務徵審、查調之用。
(二)第二類及第三類使用單位資料交換標準介面係指建置企業服務匯流
排介面(ESB ),以 Web Services 或 SFTP 做為資料交換標準介
面,資料傳輸加密處理,並以本處規定之 VPN 網路介接。
十三、第一類至第三類使用單位對於資料使用者之管理如下:
(一)第一類使用單位之資料使用者,其指定與登記、帳號及密碼等相關
管理規範由聯徵中心訂之。
(二)第二類及第三類使用單位之資料使用者,其指定與登記、帳號及密
碼等相關規定,應依資通安全責任等級分級辦法資通系統防護基準
系統防護需求存取控制及識別與鑑別分級為「中」之控制措施辦理
。
第六章 第二類使用單位取得沙盒伺服器資料之方式及運用
十四、經本處認定符合資格之第二類使用單位,得於執行特定職務必要範圍內
,透過其合法專屬網路位址連線至本處控管之主機環境內運用沙盒伺服
器資料,其運用方式如下:
(一)需以自行設計之資料加值方式或運算加值資料之原始程式碼,運用
沙盒伺服器資料。
(二)前款所稱資料加值方式及原始程式碼,應提經本處審核通過。
第七章 介接資料使用單位之查調管理、保密及保護義務
十五、第一類至第三類使用單位之查調管理責任
(一)第一類至第三類使用單位應確實保存書面授權書、電子授權憑證及
其相關授權資料、檔案及查調紀錄,保存期限應至少至特定目的消
失後五年,其單位有更長之保存期限規定者,從其規定。所稱查調
紀錄,包括但不限於查調者帳號、查調者 IP 、查調日期、時間等
項目。
(二)第一類至第三類使用單位於取得介接資料後,有未核貸、未媒合成
功、未完成輔導業務或資料蒐集之特定目的消失,應於知悉後或事
實發生之日起三十日內刪除介接資料。
十六、第一類至第三類使用單位之保密及保護義務:
(一)於執行特定職務必要範圍內得蒐集、處理或利用介接資料,並應符
合特定目的,不得對外公開、移轉或轉讓他人,亦不得傳送至國外
。
(二)第一類使用單位應依資通安全管理法、個人資料保護法、資訊安全
作業規範、各介接機關訂定之系統安全及作業管制等資通安全管理
規範使用介接資料及「財團法人金融聯合徵信中心及其會員透過中
小企業融資服務平台介接公務及非公務機關電子資料使用管理辦法
」等相關規範辦理介接資料之保密及保護。
(三)第二類及第三類使用單位應依資通安全管理法、個人資料保護法、
資訊安全作業規範、各介接機關訂定之系統安全及作業管制等資通
安全管理規範辦理介接資料之保密及保護。
十七、介接資料使用單位及資料使用者對列印之紙本資料應負保管之責,妥善
存放,確保資料不外流,並於使用完畢後,立即銷毀。
十八、介接資料使用單位及資料使用者若發現介接資料外洩、遭竊、遭竄改或
遺失等情事,應立即向本處通報。經本處查證屬實者,即通報該介接資
料所屬介接機關。
十九、介接資料使用單位及資料使用者對介接資料之使用,如有違法情事,致
當事人權益受損害者,應自負相關法律責任及損害賠償。
第八章 介接資料之安全控管、查核及稽核
二十、本處應對介接資料使用單位之查調行為加以記錄、監控及稽核。查調記
錄應至少包括查調者帳號、查調者 IP 、查調日期、時間、查調條件等
項目,並留存至少五年。
二十一、本處應產製資安紀錄報表,定期與各介接機關、聯徵中心與第二類及
第三類使用單位交叉比對查詢件數是否相符。
二十二、介接機關得不定期至本處調閱相關資料進行抽查,另本處及介接機關
得不定期派員至介接資料使用單位調閱相關資料進行抽查,各使用單
位不得拒絕。
二十三、聯徵中心應定期將第一類使用單位之各項查核結果彙整提供本處,本
處應於每年彙整後,函送介接機關備查。
二十四、第二類及第三類使用單位應辦理內部自行查核作業如下:
(一)應指派查核人員,每月對於查調紀錄進行抽查,抽查比例如下:
1.每月查調紀錄總筆數少於十筆者,應全數查核。
2.每月查調紀錄總筆數逾十筆且不超過一萬筆者,應至少抽查百
分之二,且抽查筆數不得少於十筆。
3.每月查調紀錄總筆數逾一萬筆者,得就超過部分調降抽查比例
至千分之五。
(二)抽查時,查核人員應查核所調案件是否依規定程序辦理且符合業
務所需,並應將查核結果作成查核報告,且查核報告應留存至少
五年。
二十五、第二類及第三類使用單位應辦理內部稽核作業如下:
(一)應定期辦理內部稽核作業,依資料敏感程度及雙方資通安全責任
等級約定稽核次數,如有查調異常事項,得不定期進行稽核作業
。
(二)內部稽核作業應由業務單位會同政風單位及業務系統管理單位辦
理,並作成稽核紀錄,稽核紀錄應至少留存五年。
二十六、第二類及第三類使用單位應定期將前二點所定查核報告及稽核紀錄提
供本處,本處應於每年彙整後,函送介接機關備查。
二十七、介接資料使用單位如有違法或未依本規範進行查調之情事,本處將立
即終止該單位使用本平台之一切權利,倘有侵害第三人權利致受有損
害時,應自負相關法律責任及損害賠償。