移民業務機構個人資料檔案安全維護管理辦法部 分條文修正草案條文對照表
修 正 條 文 現 行 條 文 說 明 第十一條 移民業務機構
進行個人資料國際傳輸 前,應檢視有無內政部 依本法第二十一條規定 所為之限制,並應告知 當事人有關個人資料之 國際傳輸區域,且應對 資料接收方為下列事項 之監督:
一、預定處理或利用個 人資料之範圍、類 別、特定目的、期 間、地區、對象及 方式。
二、當事人行使本法第 三條所定權利之相 關事項。
第十一條 移民業務機構 進行個人資料國際傳輸 前,應檢視有無內政部 依本法第二十一條規定 所為之限制。
為落實個人資料保護,爰 強化移民業務機構進行消 費者個人資料國際傳輸之 具體措施,定明應告知當 事人有關個人資料之國際 傳輸區域,並應對資料接 收方為適當之監督。
第十三條 移民業務機構 應訂定應變機制,在發 生個人資料被竊取、洩 漏、竄改或其他侵害事 故時,迅速處理以保護 當事人之權益。
前項應變機制,應 包括下列事項:
一、採取適當之措施以 控制事故對當事人 造成損害。
二、查明事故發生原因 及損害狀況,並以 適當方式通知當事 人事故事實、因應 措施及諮詢服務專 線等。
第十三條 移民業務機構 應訂定應變機制,在發 生個人資料被竊取、洩 漏、竄改或其他侵害事 故時,迅速處理以保護 當事人之權益。
前項應變機制,應 包括下列事項:
一、採取適當之措施以 控制事故對當事人 造成損害。
二、查明事故發生原因 及損害狀況,並以 適當方式通知當事 人事故事實、因應 措施及諮詢服務專 線等。
一、行政院一百十年二月 三日「行政機關落實 個人資料保護執行聯 繫會議」第一次會議 決議,修正第二項第 四款,定明發生重大 個 人 資 料 安 全 事 故 者,移民業務機構應 填 具 附 表 通 報 內 政 部,內政部得依個人 資料保護法第二十二 條至第二十五條規定 所賦予之職權,為適 當之監督管理措施。
二、依入出國及移民法第 五 十 六 條 第 六 項 規 定,移民業務機構應
三、研議改進措施,避 免類似事故再度發 生。
四、發生重大個人資料 事故者,應於七十 二小時內依附表格 式通報內政部,內 政部得依本法第二 十二條至第二十五 條規定,為適當之 監督管理措施。
前項第四款所稱重 大個人資料事故,指個 人資料被竊取、洩漏、
竄改或其他侵害事故,
達一百五十筆以上之情 形。
三、研議改進措施,避 免類似事故再度發 生。
四、發生重大個人資料 事故者,應即以書 面通報內政部。
前項第四款所稱重 大個人資料事故,指個 人資料被竊取、洩漏、
竄改或其他侵害事故,
致危及大量當事人權益 之情形。
每年陳報營業狀況,
並 保 存 相 關 資 料 五 年。另考量每家移民 業務機構經營規模不 同,且實務上大多屬 小公司,營運規模較 小,人力成本有限,
每年度所辦理之移民 案件數相對較低,爰 將第三項後段致危及 大量當事人權益之情 形,修正為達一百五 十筆以上之情形,以 臻明確。
第十四條之一 移民業務 機構使用資通訊系統蒐 集、處理或利用消費者 個人資料達一千筆以上 者,應採取下列資訊安 全措施:
一、使用者身分確認及 保護機制。
二、個人資料顯示之隱 碼機制。
三、網際網路傳輸之安 全加密機制。
四、個人資料檔案及資 料庫之存取控制與 保護監控措施。
五、防止外部網路入侵 對策。
六、非法或異常使用行 為之監控與因應機 制。
前項第五款及第六
一、本條新增。
二、依行政院一百十年二 月三日「行政機關落 實個人資料保護執行 聯繫會議」第一次會 議決議,為強化資安 標準規範,應建立個 人 資 料 管 理 分 級 制 度。鑒於每家移民業 務機構成立時間及營 運規模不同,經統計 成立十年以上且現仍 存續中之移民業務機 構,約佔三十八家。
相對蒐集、處理或利 用之個人資料數亦累 計增加,爰為能加強 管理成立較久及較大 規 模 之 移 民 業 務 機 構,於第一項定明移 民業務機構使用資通
款所定措施,應定期演 練及檢討改善。
訊系統蒐集、處理或 利用個人資料達一千 筆以上者,應採行之 資訊安全措施。
三、參考資通安全責任等 級分級辦法附表十資 通系統防護基準,針 對第一項所列六款資 訊安全措施之實作說 明如下:
(一)系統應建立帳號管 理機制,包含帳號 申請、開通、停用 及刪除程序,並執 行身分驗證管理,
如身分驗證資訊不 以明文傳輸、密碼 複雜度或帳號鎖定 機制等。
(二)系統界面呈現個人 資料時,應以適當 且一致性之隱碼或 遮罩處理,以避免 過多且非必要之個 人資料揭露,可參 考 CNS 二九一九一
「資訊技術-安全 技術-部分匿名及 部分去連結鑑別之 要求事項」國家標 準。
(三)個人資料傳輸時,
應採用傳輸加密機 制,包含使用加密 傳輸管道、資料加 密傳輸等。
(四)儲存於電子媒體及 資料庫之個人資料
應適當加密保護,
並 提 供 使 用 者 識 別、鑑別及身分管 理,且採用最小權 限原則進行存取控 制管理。
(五)針對外部入侵之防 禦,應採用適當資 安控制措施建立防 禦縱深,包括防毒 軟體、防火牆、入 侵偵測與防禦系統 及應用程式防火牆 等。
(六)針對系統或個人資 料檔案之存取,應 留存系統相關日誌 紀 錄 , 並 定 期 檢 視,抑或設置適當 監控及異常行為預 警機制。
四、隨網路科技之進步,
個人資料遭外部網路 入侵或非法或異常使 用行為損害情形層出 不窮,爰第二項定明 第一項第五款及第六 款所定措施,應定期 進 行 演 練 及 檢 討 改 善。
第十六條 移民業務機構 應訂定個人資料檔案安 全維護查核機制,定期 或不定期檢查本計畫之 執行情形。
前項定期檢查本計 畫之執行,每年至少一 次,並作成書面紀錄,
第十六條 移民業務機構 應訂定個人資料檔案安 全維護查核機制,定期 或不定期檢查本計畫之 執行情形。
前項定期檢查本計 畫之執行,每二年至少 一 次 , 並 作 成 書 面 紀
為落實移民業務機構查核 機制,並強化其對消費者 之個人資料保護,爰修正 第二項,定明第一項移民 業務務機構定期檢查,由 每二年至少一次增加為每 年至少一次。
其保存期限至少五年。 錄,其保存期限至少五 年。
