您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊

經濟部logo:回主管法規查詢系統首頁

:::
    現在位置:
  1. 最新訊息
  2. 最新訊息內容
 友善列印

訂定「經濟部所屬各機關使用勞動部勞工保險局業務資料管理規範」,並自即日生效。

主管機關: 經濟部中小及新創企業署
發布機關: 經濟部
發布日期: 114.01.13
發布字號: 經授企字第11454800061號函
異動性質: 訂定
法規名稱: 經濟部所屬各機關使用勞動部勞工保險局業務資料管理規範
容:
一、經濟部(以下簡稱本部)為規範本部及所屬各機關使用勞動部勞工保險局
    (以下簡稱勞保局)資料,確保使用者妥善處理查詢之資料,落實資訊安
    全及個人資料保護,特訂定本規範。
二、本部及所屬各機關使用勞保局資料之適用機關、業務範圍、使用目的、法
    律依據或重大政策依據及計畫、查詢資料項目、資料使用目的,詳附表–
    本部所屬各機關需查詢勞動部勞工保險局業務資料–業務項目清冊。
三、申請勞保局資料時,僅限於前點法律依據或重大政策依據及計畫之範圍,
    並應遵循最小化原則,僅得蒐集執行業務所必需之個人資料。
四、資料安全管制作業:
    (一)相關機關之責任及權限如下:
        1.申請機關:本部依據勞保局「各機關使用勞動部勞工保險局業務資
          料管理規定」,彙整本部及所屬機關使用需求後,檢附相關文件向
          勞保局提出申請。
        2.連結介接機關:
          (1) 連線作業系統、設備與網路之安全管理。
          (2) 應每年重新審核已申請核准之勞保局資料連結介接必要性及系
              統使用權限審查,並保留檢視紀錄備查。如遇法令變更或已無
              資料連結介接作業需求,應函請勞保局終止該項作業,並依本
              規範第八點資料使用期限、刪除程序及期限辦理。
        3.使用機關:線上查詢勞保局資料,其權限申請及查詢應符合授權範
          圍,不得洩漏與業務無關者。
    (二)使用機關基於公務需要須查詢勞保局資料,應敘明業務項目所需查詢
        資料內容、範圍,以及與法律依據或重大政策依據及計畫之合理必要
        關聯性,經機關首長核准向連結介接機關申請授權。申請查詢應以取
        得最小化個人資料即能達成目的為原則,避免過度蒐集個人資料。
    (三)使用機關應向連結介接機關申請使用機關管理者權限,負責管理使用
        機關使用者帳號權限。
    (四)各層級單位管理者及使用者均應提出權限新增異動申請,並經權責主
        管核准,且應保留申請及簽核紀錄,至少保存五年。
五、處理資料保密措施
    (一)帳號密碼管理:
        1.帳號、密碼之通知應具保密措施,防止被竊取。
        2.帳號、密碼應妥善保管,避免他人知悉。
        3.不得使用非本人申請之帳號,且不得與他人共用。如遇人員調離職
          時,其所受配賦之帳號密碼不得交接予他人,應循程序註銷權限。
        4.登入密碼長度應設置十二碼以上並具有一定複雜度,複雜度設置原
          則須具有英文大小寫、數字,且不得與帳號或使用者之公務資料(
          如總機、分機號碼、電子郵件信箱、員工職位編號等)相同。
        5.系統每三個月要求管理者、使用者更改密碼,且不得與前三次密碼
          相同。
        6.系統限制使用者連續登入密碼失敗五次即鎖碼十五分鐘。後台管理
          者、使用者如同時具備前台使用者身分,不得自行利用後台權限為
          前台解除帳密鎖定。
    (二)職務異動:
        1.使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
          前或當日由管理人員調整權限、廢止或註銷原帳號。
        2.管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
          前或當日,由新任管理者於承接業務時停止原管理者帳號,並新增
          其管理者帳號。系統無法變更管理者帳號時,新任管理者應立即變
          更密碼。
        3.聯繫窗口、專責人員及單位主管異動時,應於異動後七日內通知勞
          保局。
六、使用資料管制措施:
    (一)使用者:
        1.使用者應依授權業務項目查詢資料,並逐筆輸入案號及事由,備供
          日後查考。
        2.查詢時應避免非業務權責人員閱覽、攝、錄影或以其他方式撷取資
          料。
        3.使用者不可於非辦公時間或非辦公場所查詢,且資料禁止攜出機關
          辦公場所。
        4.查詢資料後應妥善保管,如有併案或附卷必要,且未去識別化,紙
          本應以密件方式保存,電子檔應進行檔案加密。
    (二)系統:
        1.連線查詢資料逾時,系統應自動登出。
        2.取得資料載入系統應用時,應設定使用該資料之存取權限及核准使
          用期限。
        3.系統應記錄查詢者帳號、查詢日期時間、作業代號、被查詢者查詢
          條件、案號及事由、結果等之日誌與軌跡紀錄,至少保存五年。
    (三)批次取得資料管制措施:
        1.應由專人辦理檔案傳輸方式批次取得資料,並檢核資料完整性。
        2.應保存資料檔案、資料庫之存取、增刪異動紀錄,如日誌與軌跡紀
          錄,至少保存五年。
七、專責人員辦理安全維護事項:
    (一)使用機關、連結介接機關皆應指派專責人員辦理安全維護事項,防止
        個人資料被竊取、竄改、毀損、滅失或洩漏。
    (二)專責人員就系統連結介接資料應辦理本規範之安全維護事項,並造冊
        列管所有使用、查詢資料人員之相關管理措施。
    (三)專責人員應依資通安全管理法、資通安全責任等級分級辦法及其資通
        安全責任等級之公務機關應辦事項辦理,且接受並完成相應之資通安
        全教育訓練。
八、資料使用期限、刪除程序及期限:
    (一)資料使用期限:至第二點所列法律依據或重大政策依據及計畫廢止或
        所對應之業務使用資料目的達成為止。
    (二)資料刪除程序:
        1.線上查詢或經由網路取得資料檔,應指定專人或由系統設定排程定
          期清除以防範資料遭不當存取。
        2.線上查詢資料完竣,下載之電子檔或列印之文件如已無保留必要,
          應即刪除或銷毀。
        3.儲存於電腦設備或系統之資料檔案,使用完竣且確認無保存必要,
          應刪除資料檔案,並確認其無法被復原。
        4.資料刪除範圍,應包含暫存檔、備份檔及其他於機關內部所保有之
          衍生檔案。
        5.連結介接資料全數刪除時,於刪除程序完成後應留存佐證資料備查
          ,至少五年。
    (三)資料刪除期限:
        1.法令有規定資料保存期限時,應優先適用之。
        2.法令未規定資料保存期限時,於使用完竣且確認無保存必要後,應
          於一個月內刪除。
        3.批次取得之資料於使用完竣或已連結介接載入系統,於確認原有資
          料已無保存必要後,應於一個月內刪除。
        4.如遇法令變更或已無資料連結介接作業需求者,應於一個月內刪除
          。
九、委外管理措施:
    (一)受託者如於受託期間蒐集、處理、利用勞保局資料,例如連結介接機
        關委外進行系統維護管理,使用機關委外查詢資料或以所查資料辦理
        業務(如建檔、分析等),應明定委外業務事項及其處理方式,並落
        實監督管理(包括但不限於個人資料保護法施行細則第八條第二項所
        列事項)。
    (二)受託者應簽署保密切結書並履行保密義務,委託機關應對受託者相關
        人員進行適任性之查核。
    (三)受託者違反個人資料保護相關法令規定時,應通報委託機關並採行必
        要之緊急應變措施,並應配合進行後續事故調查、責任釐清及避免損
        害擴大之防免措施。
    (四)委託機關應每年辦理一次受託者查核,採書面或實地稽核方式辦理,
        確保資訊安全及個人資料保護,相關稽核紀錄至少保存五年。
    (五)受託者於委託關係終止或解除時,應返還勞保局資料之載體設備,並
        刪除因履行委託契約而持有之個人資料。
十、帳號清查:
    使用機關、連結介接機關應每半年辦理帳號權限清查,並檢視管理者、使
    用者權限是否符合權限最小化原則,如有重複、長期閒置、職務調整、離
    職或退休者帳號,應即時報請調整、廢止或註銷該權限帳號,並留存清查
    紀錄,至少保存五年。
十一、稽核作業:
      (一)使用機關:
          1.使用機關每月列印查詢紀錄單,查核人員每半年會同政風單位及
            資訊單位稽核機關內勞保局資料查詢情形,稽核範圍為前一個半
            年之查詢紀錄,抽查筆數之比率至少須占百分之五,且不得少於
            十筆,查詢總筆數少於十筆者應全數查核。
          2.查核結果如有異常情形(如使用者查詢原因不符合授權查詢之業
            務項目、非上班時間進行查詢),應於稽核報告說明異常原因、
            改善措施,並請相關人員立即改善缺失。
          3.相關稽核紀錄應保存至少五年。
      (二)連結介接機關:
          1.連結介接機關查核人員應確認投保資料查詢系統依資通安全責任
            等級分級辦法完成相關資通安全責任等級應辦事項。
          2.資料庫主機應使用網路安全設備阻擋非必要連結,關閉 USB、序
            列埠等介面裝置,且不允許存取網際網路,以避免資料外洩或電
            腦病毒傳入。
          3.應定期進行安全性檢測,包括網路安全弱點檢測、系統滲透測試
            及資通安全健診。
          4.連結介接機關應每年辦理資料安全稽核工作,並應包含使用勞保
            局資料之作業,作成稽核紀錄,至少保存五年。
          5.連結介接機關應每年稽核其所屬機關單位使用勞保局資料之作業
            情形,並作成稽核紀錄,至少保存五年。
          6.配合勞保局書面或實地稽核措施,如備妥使用者清冊、稽核紀錄
            及提供相關稽核資料,經發現有異常狀況者,應配合勞保局要求
            提出說明或進行矯正改善。
十二、管理制度之佐證:
      連結介接機關應導入資訊安全管理系統(ISMS)規範,使用勞保局業務
      資料應切實遵循 ISO27001 資訊安全標準及機關資訊安全管理系統相關
      規定,並應配合進行資訊安全檢測及資安稽核。
十三、個資安全事故通報及協力損害防免義務:
      (一)如發生個人資料安全事故,或疑似事故時,應依相關法令採取必要
          之緊急應變措施,如事故調查、責任釐清及避免損害擴大之防免措
          施,且應即時通報勞保局及提供前開相關資料,並副知本部及連結
          介接機關。
      (二)前項規定於受託者發生事故時,亦適用之。
十四、相關法律要求及責任:
      (一)相關人員應限於執行法定職務必要範圍內蒐集、處理或利用勞保局
          資料,並應符合個人資料特定目的之必要範圍,不得對外公開、複
          製、移轉、傳輸或揭露予第三人。
      (二)非依個人資料保護法之規定,不得進行資料之目的外利用(包括非
          依機關分案規定,查詢己身、親屬、主管、同僚或第三人之資料)
          ,且非依相關法令之規定,不得進行國際傳輸。
      (三)相關人員及受託者使用勞保局資料違反個人資料保護法規定,致個
          人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,應依法
          負相關行政、民事及刑事責任。
 
立法理由:
圖表附件: