1.為符合個人資料保護法(以下稱本法)與相關法令規範，就個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本作業。
 

  本公司由總管理處統籌相關個人資料保護與管理。
 

2.用詞定義如下：
 

  (1)個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
 

  (2)個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
 

  (3)蒐集：指以任何方式取得個人資料。
 

  (4)處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
 

  (5)利用：指將蒐集之個人資料為處理以外之使用。
 

  (6)國際傳輸：指將個人資料作跨國（境）之處理或利用。
 

  (7)公務機關：指依法行使公權力之中央或地方機關或行政法人。
 

  (8)非公務機關：指前款以外之自然人、法人或其他團體。
 

  (9)當事人：指個人資料之本人、與本公司有業務交易往來之廠商、財務金融機構等。
 

3.當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：
 

  (1)查詢或請求閱覽。
 

  (2)請求製給複製本。
 

  (3)請求補充或更正。
 

  (4)請求停止蒐集、處理或利用。
 

            (5)請求刪除。
 

4.本公司委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。
 

5.對於個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
 

6.對於有關個人醫療、基因、性生活、健康檢查及犯罪前科之資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
 

  (1)法律明文規定。
 

  (2)公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。
 

  (3)當事人自行公開或其他已合法公開之個人資料。
 

  (4)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。
 

7.所稱書面同意，指當事人經蒐集者明確告知利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。
 

8.本公司向當事人蒐集個人資料時，應明確告知當事人下列事項：
 

        (1)公務機關或非公務機關名稱。
 

            (2)蒐集之目的。
 

            (3)個人資料之類別。
 

            (4)個人資料利用之期間、地區、對象及方式。
 

            (5)當事人依第三條規定得行使之權利及方式。
 

  (6)當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
 

有下列情形之一者，得免為前項之告知：
 

           (1)依法律規定得免告知。
 

(2)個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
 

           (3)告知將妨害公務機關執行法定職務。
 

           (4)告知將妨害第三人之重大利益。
 

(5)當事人明知應告知之內容。
 

9.本公司蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及所應告知事項。
 

          有下列情形之一者，得免為前項之告知：
 

          (1)有免為告知情形。
 

          (2)當事人自行公開或其他已合法公開之個人資料。
 

          (3)不能向當事人或其法定代理人為告知。
 

(4)基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
 

(5)大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
 

10.依當事人之請求，應就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限：
 

(1)妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
 

(2)妨害公務機關執行法定職務。
 

            (3)妨害該蒐集機關或第三人之重大利益。
 

11.應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。
 

個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在此限。
 

個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。
 

如當事人認為有違反本法規定蒐集、處理或利用個人資料者，本公司應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。
 

因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。
 

12.如發生個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，並追究相關責任。
 

13.當事人對於其個人資料，得請求本公司答覆查詢、提供閱覽或製給複製本。受理單位應於十五日內，為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其原因以書面通知請求人。
 

14.對於查詢或請求閱覽個人資料或製給複製本者，受理單位得酌收必要成本費用。
 

15.對個人資料之蒐集或處理，應有特定目的，並符合下列情形之一者：
 

            (1)法律明文規定。
 

            (2)與當事人有契約或類似契約之關係。
 

            (3)當事人自行公開或其他已合法公開之個人資料。
 

(4)學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
 

            (5)經當事人書面同意。
 

            (6)與公共利益有關。
 

(7)個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。
 

蒐集或處理者知悉或經當事人通知，依前項第七款規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。
 

16.對個人資料之利用，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：
 

(1)法律明文規定。
 

              (2)為增進公共利益。
 

(3)為免除當事人之生命、身體、自由或財產上之危險。
 

(4)為防止他人權益之重大危害。
 

  (5)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
 

(6)經當事人書面同意。
 

    17.國際傳輸個人資料，而有下列情形之一者，應為禁止之：
 

(1)涉及國家重大利益。
 

(2)國際條約或協定有特別規定。
 

  (3)接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。
 

              (4)以迂迴方法向第三國（地區）傳輸個人資料規避本法。
 

18.本公司各單位人員應配合中央目的事業主管機關或直轄市、縣（市）政府，為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查。
 

        參與檢查之人員，因檢查而知悉他人資料者，負保密義務。
 

19.本公司各單位對於中央目的事業主管機關或直轄市、縣（市）政府之要求、強制、扣留或複製行為不服者，應即向總管理處提出請求，由其協助聲明異議或提起行政訴訟救濟，以維護本公司權益。
 

20.本公司保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
 

21.本公司為防止個人資料被竊取、竄改、毀損、滅失或洩漏，應採取技術上及組織上之適當安全維護措施措施。
 

前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：
 

(1)配置管理之人員及相當資源。
 

(2)界定個人資料之範圍。
 

(3)個人資料之風險評估及管理機制。
 

(4)事故之預防、通報及應變機制。
 

(5)個人資料蒐集、處理及利用之內部管理程序。
 

(6)資料安全管理及人員管理。
 

(7)認知宣導及教育訓練。
 

               (8)設備安全管理。
 

               (9)資料安全稽核機制。
 

(10)使用紀錄、軌跡資料及證據保存。
 

(11)個人資料安全維護之整體持續改善。
 

22.利害關係人對於本公司之個人資料管理辦法有任何疑議與建議者，皆可以書面向資料管理單位建議討論。

本作業依相關之中央目的事業主管機關所訂定個人資料檔案安全維護計畫，同步調整內容與更新。

如有與主管機關法令衝突之處，皆依主管機關法令為準。