法規名稱: | 個人化資料自主運用平臺介接作業要點 |
---|---|
修正日期: | 民國 112 年 06 月 01 日 |
七、資訊安全管制及查核:
(一)服務提供者就當事人資料之蒐集、處理及利用之流程,應每年辦理
內部查核工作,作成查核紀錄,且保存至少二年,並應配合數位部
、教育部、國營事業機構主管機關、金管會或非公務機關(構)之
中央目的事業主管機關查核。但服務提供者另定有較長保存期限者
,從其規定。
(二)依第四點第四款至第六款規定申請介接之服務提供者,由教育部、
國營事業機構主管機關、金管會或前開各該機關認可之第三方機構
查核其介接本平臺之資訊安全及個人資料保護等相關法令遵循,並
就查核結果追蹤考核其改善情形。
(三)依第四點第七款規定申請介接之服務提供者,須依其資通安全維護
計畫與個人資料檔案安全維護計畫實施,並由其中央目的事業主管
機關及該主管機關認可之第三方機構查核前開計畫實施情形、介接
本平臺之資訊安全及個人資料保護等相關法令遵循,並就查核結果
追蹤考核其改善情形。
(四)資料提供者及服務提供者應產製當事人資料傳輸相關紀錄且保存至
少二年,並應配合數位部、教育部、國營事業機構主管機關、金管
會或非公務機關(構)之中央目的事業主管機關查核;前開紀錄內
容應至少包含傳輸資料名稱、傳輸時間、傳輸對象、當事人身分、
資料傳輸成功與否等。但資料提供者或服務提供者另定有較長保存
期限者,從其規定。
(五)資料提供者及服務提供者經查核後,有缺失或待改善事項者,應研
擬改善或配套措施並持續追蹤改善完成。
(六)資料提供者如發生個人化資料錯誤或資訊安全事件等情事,應自行
負責並依相關法令處理;數位部並得終止其介接服務。
(七)服務提供者如有個人化資料違法利用或發生資訊安全事件等情事,
應自行負責並依相關法令處理;數位部並得終止其介接服務。