壹、 目的 臺中市政府數位發展局 (以下簡稱本局)為落實個人資料保護法(以下簡稱個資法)及ISO/IEC 29100之隱私權原則規定,確保本局內所有活動均能合理的蒐集、處理及利用個人資料(以下簡稱個資),特訂定「個人資料保護政策」(以下簡稱本政策),作為個資保護工作之指導方針,藉以降低個資外洩風險。 貳、 適用範圍 本局日常作業與執行業務所接觸之個資相關活動。 參、 名詞定義 個資:為個資法定義之範疇,即指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 肆、 作業內容 一、 政策聲明(一) 本局各項安全管理規範必須遵守政府相關法規之規定。(二) 應於進行個資蒐集、處理與利用前以公開方式進行本政策或隱私權宣告,並留有相關核准或變更之紀錄。(三) 本局「資通安全與個資保護工作小組」負責個資保護制度之建立及推動事宜,以確認本政策能被實施並配置相當資源。(四) 應鑑別出內部與外部的關注方,以及這些關注方參與本局個資安全保護程度,並辨識本局同仁的職責及權責。(五) 本局由網路資安科指派專人擔任個資保護總窗口。(六) 應定期清查本局保有之個資,鑑別特定目的及適法性,並予以分類分級,運用系統化的風險評估方法,評估風險及施以適當控制措施。(七) 應維持個資之正確性、完整性及確保其安全,並主動或依當事人之請求更正或補充之。(八) 應建立資訊安全管理、人員管理規範及個資事件之預防、通報與應變機制。(九) 以合於時下之技術措施及管理制度,建立個資稽核紀錄、軌跡資料及證據之保存機制,以為後續舉證或證明已盡善良管理人之用。(十) 定期對同仁實施個人資料安全認知宣導,並針對本局各單位業務承辦人施以適當之教育訓練,以宣導本政策及相關實施規定。(十一) 定期訂定個資保護內部稽核計畫,檢視本局個資保護之情形,依稽核報告擬定及執行矯正措施。(十二) 本局在合法之組織營運、業務下,對個資之蒐集、處理或利用,應尊重當事人之權益,並依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理關聯。(十三) 除依個資法第8條或第9條規定免告知情形外,本局於蒐集、處理或利用前應清楚告知當事人,並且尊重當事人行使以下權利:1. 查詢或請求閱覽。2. 請求製給複製本。3. 請求補充或更正。4. 請求停止蒐集、處理或利用。5. 請求刪除。(十四) 本局於委託蒐集、處理及利用個資時,應於契約明定受委託單位之個資保護責任及保密規定,並善盡監督及查核受委託單位責任。(十五) 本局保有之個資僅限於臺灣、澎湖、金門及馬祖地區使用,若有轉移到國(境)外之必要須於使用前取得當事人同意後並在有適當且充分保護下為之。二、 目標(一) 保護本局業務相關個資之安全,免於因外在之威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。(二) 提高個資保護暨管理能力,降低本局個資外洩風險,並創造可信賴之個資保護及隱私環境。(三) 為提升本局同仁個資保護安全意識,每年定期辦理個資保護宣導教育訓練。三、 溝通或傳達為使本局之政策及目標能有效地傳達到與業務相關之關注方,將利用媒體、函文、會議、網頁、電子郵件或文宣等途徑,進行彼此關注議題討論及溝通,於必要時得邀請相關人員參與,並留存相關紀錄。四、 政策修訂本政策應依業務變動、技術發展及風險評鑑之結果,每年至少評估一次作成審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及本局營運要求。本政策評估審查結果應經管理審查會議審議通過後實施。 伍、 參考文件 一、 ISO/IEC 29100 二、 個人資料保護法及其細則