內政部令 中華民國 110年11月30日 台內團字第 1100282042號

內政部令 中華民國 110年11月30日 台內團字第 1100282042號

訂定「內政部指定合作及人民團體類非公務機關個人資料檔案安全維護管理辦法」。

附「內政部指定合作及人民團體類非公務機關個人資料檔案安全維護管理辦法」

部　　長　徐國勇

內

內 政 部 指 定 合 作 及 人 民 團 體 類 非 公 務 機 關 個 人 資 料 檔 案 安 全 維 護 管 理 辦 法 政 部 指 定 合 作 及 人 民 團 體 類 非 公 務 機 關 個 人 資 料 檔 案 安 全 維 護 管 理 辦 法 第　一　條　　本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定

之。

第　二　條　　本辦法所稱主管機關：在中央為內政部；在直轄市為直轄市政府；在縣

（市）為縣（市）政府。

第　三　條　　本辦法所稱非公務機關，包括下列各款：

　　一、各級人民團體、合作社及儲蓄互助社。

　　二、其他經中央主管機關公告指定者。

第　四　條　　非公務機關保有會（社）員之個人資料達五千筆者，應訂定個人資料檔案 安全維護計畫及會（社）務終止後個人資料處理方法（以下簡稱本計畫及處理 方法），以落實個人資料檔案之安全維護及管理，防止個人資料被竊取、竄 改、毀損、滅失或洩漏。

　　非公務機關依前項規定訂定本計畫及處理方法時，應視其組織規模、特 性、保有個人資料之性質及數量等事項，參酌第五條至第二十一條規定，訂定 包含下列各款事項之適當安全維護管理措施；必要時，第二款各目事項得整併 之：

　　一、非公務機關之組織規模及特性。

　　二、個人資料檔案之安全管理措施：

　　（一）配置管理之人員及相當資源。

　　（二）界定蒐集、處理及利用個人資料之範圍。

　　（三）個人資料之風險評估及管理機制。

　　（四）事故之預防、通報及應變機制。

　　（五）個人資料蒐集、處理及利用之內部管理程序。

　　（六）設備安全管理、資料安全管理及人員管理措施。

　　（七）認知宣導及教育訓練。

　　（八）個人資料安全維護稽核機制。

　　（九）使用紀錄、軌跡資料及證據保存。

　　（十）個人資料安全維護之整體持續改善。

　　（十一）會（社）務終止後之個人資料處理方法。

　　第一項之本計畫及處理方法，應於完成立案或登記之日起六個月內報請主 管機關備查；中央主管機關依前條第二款公告指定前，已完成立案或登記者，

應於公告指定之日起六個月內報請主管機關備查。

　　非公務機關保有個人資料筆數未達五千筆，因直接或間接蒐集而達五千筆 以上者，應於保有筆數達五千筆之日起六個月內，將本計畫及處理方法報請主 管機關備查。

第　五　條　　非公務機關應配置適當管理人員及相當資源，負責規劃、訂定、修正及執 行本計畫及處理方法等相關事項，並定期向代表人提出報告。

　　非公務機關應訂定個人資料保護管理政策，將蒐集、處理及利用個人資料 之特定目的、法律依據及其他相關保護事項，公告於會（社）址所在地或其他 適當場所；如有網站者，並揭露於網站首頁，使其所屬人員及個人資料當事人 均能知悉。

第　六　條　　非公務機關應依個人資料保護相關法令，定期查核確認所保有之個人資料 現況，界定其納入本計畫及處理方法之範圍。

第　七　條　　非公務機關應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料 之流程，評估可能產生之個人資料風險，並根據風險評估之結果，訂定適當之 管控機制。

第　八　條　　非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故

（以下簡稱個人資料事故），應訂定下列應變、通報及預防機制：

　　一、個人資料事故發生後應採取之各類措施，包括：

　　（一）控制當事人損害之方式。

　　（二）查明個人資料事故後通知當事人之適當方式。

　　（三）應通知當事人個人資料事故事實、所為因應措施及諮詢服務專 線等內容。

　　二、個人資料事故發生後應受通報之對象及其通報方式。

　　三、個人資料事故發生後，其矯正預防措施之研議機制。

　　非公務機關遇有達一千筆以上之個人資料事故時，應於發現後七十二小時 內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人資料 侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是否於發現 個人資料外洩後立即通報等事項，以書面通報其主管機關。如為直轄市、縣

（市）主管機關接獲通報，並應副知中央主管機關（書面通報格式如附件）。

　　主管機關對於重大個人資料事故，得依本法第二十二條規定對非公務機關 之應變、通報及預防機制進行實地檢查，並視檢查結果為後續處置。中央主管 機關認有必要時，得督導直轄市、縣（市）主管機關對於非公務機關之相關機 制改善情形。

第　九　條　　非公務機關所屬人員為執行會（社）務而蒐集、處理一般個人資料時，應 檢視是否符合本法第十九條之要件；利用時，應檢視是否符合蒐集之特定目的 必要範圍；為特定目的外之利用時，應檢視是否符合本法第二十條第一項但書 情形。

第　十　條　　非公務機關蒐集個人資料，應遵守本法第八條及第九條有關告知義務之規 定，並區分個人資料屬直接蒐集或間接蒐集，分別訂定告知方式、內容及注意 事項，要求所屬人員確實辦理。

第 十一 條 　　中央主管機關依本法第二十一條規定，對非公務機關為限制國際傳輸個人 資料之命令或處分時，非公務機關應通知所屬人員遵循辦理。

　　非公務機關將個人資料作國際傳輸者，應檢視是否受中央主管機關限制，

並告知當事人其個人資料所欲國際傳輸之區域，且對資料接收方為下列事項之 監督：

　　一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對 象及方式。

　　二、當事人行使本法第三條所定權利之相關事項。

第 十二 條 　　非公務機關於個人資料當事人行使本法第三條規定之權利時，應依下列規 定辦理：

　　一、提供聯絡窗口及聯絡方式。

　　二、確認為個人資料當事人本人，或經其委託者。

　　三、認有本法第十條但書各款、第十一條第二項但書或第三項但書規定得 拒絕當事人行使權利之事由時，應附理由通知當事人。

　　四、有收取必要成本費用者，應告知當事人收費基準。

　　五、遵守本法第十三條有關處理期限之規定。

第 十三 條 　　非公務機關對所蒐集保管之個人資料檔案，應採取必要適當之安全設備或 防護措施。

　　前項安全設備或防護措施，應包含下列事項：

　　一、紙本資料檔案之安全保護設施。

　　二、電子資料檔案存放之電腦、自動化機器相關設備、可攜式設備或儲存

媒體，配置安全防護系統或加密機制。

　　三、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片 或其他存放媒介物報廢汰換或轉作其他用途時，應採取適當之銷毀或 防範措施，避免洩漏個人資料；委託他人執行者，非公務機關對受託 者之監督依第二十條規定辦理。

第 十四 條 　　非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措 施。

　　前項管理措施，應包含下列事項：

　　一、依據會（社）務需求，適度設定所屬人員不同之權限，控管其接觸個 人資料之情形，並定期檢視權限內容之適當性及必要性。

　　二、檢視各相關會（社）務之性質，規範個人資料蒐集、處理及利用等流 程之負責人員。

　　三、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保管及保密義 務。

　　四、所屬人員異動或離職時，應將執行會（社）務所持有之個人資料辦理 交接，不得在外繼續使用，並應簽訂保密切結書。

第 十五 條 　　非公務機關使用資通訊系統蒐集、處理或利用會（社）員個人資料達五千 筆以上者，應採取下列資訊安全措施：

　　一、使用者身分確認及保護機制。

　　二、個人資料顯示之隱碼機制。

　　三、網際網路傳輸之安全加密機制。

　　四、個人資料檔案與資料庫之存取控制及保護監控措施。

　　五、防止外部網路入侵對策。

　　六、非法或異常使用行為之監控及因應機制。

　　前項第五款及第六款所定措施，應定期演練及檢討改善。

第 十六 條 　　非公務機關應定期或不定期對於所屬人員施以基礎個人資料保護認知宣導 及教育訓練，使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人資料 保護事項之機制、程序及措施。

第 十七 條 　　非公務機關為確保本計畫及處理方法之落實，應依其組織規模及特性，衡 酌資源之合理分配，訂定個人資料安全維護稽核機制，並指定適當人員每半年 至少進行一次本計畫及處理方法執行情形之檢查。

　　前項檢查結果應向代表人提出報告，並留存相關紀錄，其保存期限至少五 年。

　　非公務機關依第一項檢查結果發現本計畫及處理方法不符法令或有不符法

令之虞者，應即改善。

本則命令之總說明及對照表請參閱行政院公報資訊網（ https://gazette.nat.gov.tw/）。

第 十八 條 　　非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措 施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。

　　非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個 人資料後，應留存下列紀錄：

　　一、刪除、停止處理或利用之方法、時間或地點。

　　二、將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原 因、對象、方法、時間、地點，及該對象蒐集、處理或利用之合法依 據。

　　前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定 或契約另有約定者，不在此限。

第 十九 條 　　非公務機關應隨時參酌會（社）務及本計畫及處理方法之執行狀況、社會 輿情、技術發展及相關法規訂修等因素，檢討所定本計畫及處理方法，必要時 予以修正；修正時，應於十五日內將修正後之本計畫及處理方法報請主管機關 備查。

第 二十 條 　　非公務機關委託他人蒐集、處理或利用個人資料之全部或一部時，應依本 法施行細則第八條規定為適當監督。

　　非公務機關為執行前項監督，應與受託者明確約定相關監督事項及方式。

第二十一條　　非公務機關會（社）務終止後，其保有之個人資料不得繼續使用，應依下 列方式處理，並留存相關紀錄，其保存期限至少五年：

　　一、銷毀：銷毀之方法、時間、地點及證明銷毀之方式。

　　二、移轉：移轉之原因、對象、方法、時間、地點及受移轉對象得保有該 項個人資料之合法依據。

　　三、其他刪除、停止處理或利用個人資料：刪除、停止處理或利用之方 法、時間或地點。

第二十二條　　本辦法發布施行前，非公務機關保有個人資料筆數達五千筆，未訂定本計 畫及處理方法者，應依本辦法規定訂定，並於本辦法發布施行日起六個月內，

將本計畫及處理方法報請主管機關備查。

第二十三條　　本辦法自發布日施行。

第八條附件

個人資料事故通報及紀錄表 非公務機關名稱

通報機關

通報時間： 年 月 日 時 分 通報人： 簽名（蓋章）

職稱：

電話：

Email：

地址：

發生時間

發生種類 □竊取

□竄改

□毀損

□滅失

□洩漏

□其他侵害情形

個人資料侵害之總筆數（大約）

─────────────

□一般個人資料 筆

□特種個人資料 筆

發生原因及摘要 損害狀況

個人資料侵害可 能結果

擬採取之因應措 施

擬通知當事人之 時間及方式 是否於發現個人 資料外洩後七十 二小時內通報

□是 □否，理由：

備註：特種個人資料，指有關病歷、醫療、基因、性生活、健康檢查及

犯罪前科之個人資料；一般個人資料，指特種個人資料以外之個

人資料。