【誠遠商務法律事務所移民業務機構個人資料檔案安全維護計畫】
壹、移民業務機構之組織規模
一、組織型態:律師(法律)事務所
二、經營業務:
☑ 代辦居留、定居、永久居留或歸化業務
☑ 代辦非觀光旅遊之停留簽證業務
☑ 與投資移民有關之移民基金諮詢、仲介業務,並以保護移民者權益所必須者為限
☑ 其他與移民有關之諮詢業務
☑ 代辦居留、定居、永久居留或歸化業務
☑ 代辦非觀光旅遊之停留簽證業務
☑ 與投資移民有關之移民基金諮詢、仲介業務,並以保護移民者權益所必須者為限
☑ 其他與移民有關之諮詢業務
三、資本額: 不適用
四、員工人數:12人
貳、個人資料檔案之安全維護管理措施
一、配置管理之人員及相當資源
(一)管理人員:
1.配置人數:1人。(建議至少配置1名管理人員)
2.職責:負責規劃、訂定、修正及執行計畫相關事項,並定期向負責人提出報告。
(二)相當資源:紙本資料將存放於本所卷宗;電磁記錄存放於本所架設之私人雲(Synology NAS,並設有二階段驗證登入程序)
二、界定蒐集、處理及利用個人資料之範圍
(一)特定目的:
(003)入出國及移民
(069)契約、類似契約或其他法律關係事務
(090)消費者、客戶管理與服務
(168)護照、簽證及文件證明處理
(181)其他經營合於營業登記項目或組織章程所訂之業務
(182)其他諮詢與顧問服務
(二)資料類別:
可依實際情況就下列類別勾選
☑識別類(C001~C003)
☑特徵類(C011~C014)
☑家庭情形(C021~C024)
☑社會情況(C031~C041)
☑教育、考選、技術或其他專業(C051~C058)
☑受僱情形(C061~C073)
☑財務細節(C081~C094)
☑商業資訊(C101~C103)
☑健康與其他(C111~C121)
☑其他各類資訊(C131~C134)
(三)個人資料:本計畫所稱自然人之個人資料,係指客戶姓名、出生年月日、國 民身分證統一編號、護照號碼、聯絡方式、信用卡號碼及其他得以直接或間接方式識別該個人之資料。
三、風險評估及管理機制
(一)風險評估:
1.經由本律師事務所電腦下載或外部網路入侵而外洩。
2.經由接觸書面資料而外洩。
3.員工及第三人故意竊取、竄改、毁損、滅失或洩漏。
(二)管理機制:
1.藉由使用者代碼、識別密碼設定及文件妥適保管。
2.定期進行網路資訊安全維護及控管。
3.加強對員工之管制及設備之強化管理。
四、個人資料蒐集、處理及利用之內部管理程序
(一)直接向當事人蒐集個人資料時,應明確告知以下事項:
1.公司名稱。
2.蒐集目的。
3.個人資料之類別。
4.個人資料利用之期間、地區、對象及方式。
5.當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
7.為辦理申請業務之必要,依情形可能將當事人資料的全部或一部提供給國外政府或本律師事務所委託當地移民機關。
(二)所蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前款應告知之事項。
(三)本律師事務所得為辦理本計畫之特定目的內,進行個人資料蒐集、處理、利用,於蒐集目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用個人資料。但因有下列情形者,不在此限:
1.執行職務或業務所必須:
(1)有法令規定或契約約定之保存期限。
(2)有理由足認刪除將侵害當事人值得保護之利益。
(3)其他不能刪除之正當理由。
2.經當事人書面同意者。
(四)首次利用個人資料為行銷時,應提供當事人免費表示拒絕接受行銷之方式。 利用個人資料為行銷時,當事人表示拒絕接受行銷後,應立即停止利用其個人資料行銷,並通知所屬人員。
(五)當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時,連絡窗口為:王維康律師 (全名);電話為:02-2518-0110,並將聯絡窗口及電話等資料,揭示於本律師事務所營業處所或公司網頁。如認有拒絕當事人行使上述權利之事由,應附理由通知當事人。
(六)負責保管及處理個人資料檔案之人員,其職務有異動時,應將所保管之儲存媒體及有關資料檔案移交,以利管理。
(七)本律師事務所員工如因其工作執掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
(八)本律師事務所如有委託他人(或他公司)蒐集、處理或利用個人資料時,當對受託者為適當之監督並與其明確約定相關監督事項。
(九)所蒐集之個人資料如需作特定目的外利用,必須先行檢視是否符合個人資料保護法第二十條第一項但書規定。
(十)本律師事務所因故終止業務時,原保有之個人資料,即依規定不再使用,並採銷毁、移轉或其他妥適方式處理。
(十一)進行個人資料國際傳輸
1.進行個人資料國際傳輸前,應檢視有無內政部依個人資料保護法第二十一條規定所為之限制。
2.內政部對移民業務機構為限制國際傳輸個人資料之命令或處分時,本律師事務所應通知所屬人員遵循辦理。
3.本律師事務所應告知當事人其個人資料所欲國際傳輸之區域且對資料接收方為下列資料之監督:
(1)預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
(2)當事人行使個人資料保護法第三條所定權利之相關事項。
五、事故之預防、通報及應變機制
(一)預防:
1.本律師事務所員工如因其工作職掌而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之。
2.非承辦之人員參閱當事人文件時應得本律師事務所合夥人或經指定之管理人員之同意。
3.加強員工教育宣導,並嚴加管制。
(二)通報及應變:
發現個人資料遭竊取、洩漏、竄改、毀損、滅失或其他侵害事故時,應
1.採取適當之措施以控制事故對當事人造成損害。
2.查明事故發生原因及損害狀況,並以適當方式通知當事人事故事實、因應措施及諮詢服務專線等。
3.研議改進措施,避免類似事故再度發生。
4.發生重大事故*者,應於發現後七十二小時內以書面通報內政部(書面通報格式如附件),內政部得依個人資料保護法第二十二條至第二十五條規定,為適當之監督管理措施。
*重大事故係指個人資料被竊取、洩漏、竄改、毀損、滅失或其他侵害情形,達一百五十筆以上。
六、設備安全管理、資料安全管理及人員管理措施
(一)設備安全管理
1.建置個人資料之有關電腦、自動化機器相關設備、可攜式設備 (或儲存媒體),資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。
2.建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。
3.本律師事務所所屬員工應妥善保管個人電腦存取資料之硬體,並設定登入及螢幕保護程式密碼。個人資料使用完畢,應即退出電腦使用檔案,不得留置於電腦上。
4.電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,本律師事務所負責人或(各營業處所)主管應檢視該設備所儲存之個人資料是否確實刪除。
(二)資料安全管理
1.紙本資料之保管:
(1)本律師事務所所保有之個人資料存在於紙本者,應儲存於上鎖之保管箱或檔案櫃內,僅業務主管有開啟調閱權限。
(2) 本律師事務所所保有之個人資料存在於紙本者,於保存期限屆滿時,應以碎紙或委外焚化等方式銷毀。
2.電腦存取個人資料之管控:
(1)個人資料檔案儲存在電腦硬式磁碟機上者,應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。
(2)個人資料檔案使用完畢應即退出,不得任其停留於電腦上。
(3)定期進行電腦系統防毒、掃毒之必要措施。
(4)重要個人資料應設管控密碼,非經陳報負責人或指定之管理人員核可,並取得密碼者,不得存取。
3.如使用資通訊系統蒐集、處理或利用個人資料達一千筆以上之安全措施:
(1)使用者身分確認及保護機制。
(2)個人資料顯示之隱碼機制。
(3)網際網路傳輸之安全加密機制。
(4)個人資料檔案與資料庫之存取控制 及保護監控措施。
(5)防止外部網路入侵對策,並定期演練及檢討改善。
(6)非法或異常使用行為之監控及因應機制,並定期演練及檢討改善。
(三)人員管理
1.依據業務作業需求適度設定所屬人員不同之權限,以控管其接觸個人資料之情形。
2.檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負責人員。
3.要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。
4.所屬人員離職時,應要求將執行業務所持有之個人資料辦理交接,不得在外繼續使用,並應簽訂保密切結書。
5.本律師事務所所屬人員使用電腦設備蒐集、處理、利用個人資料,應以專屬帳號密碼登入電腦系統,存取個人資料檔案權限應與所職掌業務相符。專屬帳號密碼均應保密,不得洩漏或與他人共用。
七、資料安全稽核機制
(一)本律師事務所定期(每年至少一次)辦理個人資料檔案安全維護稽核,查察本律師事務所是否落實本計畫規範事項,針對查察結果不符合事項及潛在不符合之風險,應規劃改善措施,並確保相關措施之執行。執行改善與預防措施時,應依下項事項辦理:
1.確認不符合事項之內容及發生原因。
2.提出改善及預防措施方案。
3.紀錄查察情形及結果。
(二)前項查察情形及結果應作成書面稽核報告,由本律師事務所或指定管理人簽名確認,並留存相關紀錄,稽核報告至少保存五年。
八、使用記錄、軌跡資料及證據保存
(一)本律師事務所執行本計畫所定各種個人資料保護機制、程序及措施,應記錄其使用情況,留存軌跡資料或相關證據。
(二)本律師事務所依個人資料保護法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄。
1.刪除、停止處理或利用之方法、時間或地點。
2.將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原因、對象、方法、時間、地點,及該對象蒐集、處理或利用之合法依據。
(三)前二項之軌跡資料、相關證據及紀錄,除法令另有規定或契約另有約定者,應至少留存五年。
九、認知宣導及教育訓練
(一)本律師事務所不定期進行個人資料保護法基礎認知宣導及教育訓練或派遣相關人員參與移民公會或相關機構舉辦之教育訓練。 前述教育宣導及訓練應留存紀錄。
(二)對於新進人員應特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。
十、個人資料安全維護之整體持續改善
本律師事務所將隨時依據計畫執行狀況,注意相關法令修正事項,檢討本計畫是否合宜,必要時應予以修正,並於一個月內報內政部備查。
十一、業務終止後之個人資料處理方法
本律師事務所業務終止後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理,並留存相關紀錄,其保存期限至少五年:
(一)銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
(二)移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
(三)其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
附件:
|
個人資料事故通報及記錄表 |
||
|
移民業務機構名稱
通報機關
|
通報時間: 年 月 日 時 分 通報人: 簽名(蓋章) 職稱: 電話: Email: 地址: |
|
|
發生時間: 年 月 日 時 分 |
||
|
發生種類 |
□竊取 □竄改 □毀損 □滅失 □洩漏 □其他侵害情形 |
個人資料侵害之總筆數(大約)
|
|
□一般個人資料 筆 □特種個人資料 筆 |
||
|
發生原因及摘要 |
|
|
|
損害狀況 |
|
|
|
個人資料侵害可能結果 |
|
|
|
擬採取知因應措施 |
|
|
|
擬通知當事人之時間及方式 |
|
|
|
是否於發現個人資料外洩後72小時內通報 |
□是 □否,理由: |
|
備註:
1.特種個人資料,指有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料。
2.一般個人資料,指特種個人資料以外之個人資料。
【個人資訊保護措施】
誠遠商務法律事務所(下稱「本事務所」)蒐集、處理及利用個人資料,除遵循中華民國(臺灣)之個人資料保護法規定外,亦將依據下列個人資料保護方針執行:
1. 個人資料之範圍及取得
個人資料之範圍悉依本政策資訊點取時之個人資料保護法規定定之。
本事務所,於執行業務之必要範圍內,以適法之方式取得當事人之個人資料。此外,本所經委任後,為依據委任案件相關之國家及地區之洗錢防制相關法令規定,以確認本人身份,將要求當事人提供例如委任人、股東及實質經營者等個人資料。
2. 個人資料之蒐集、處理與利用目的
2.1 本事務所,將基於2.2.所列特定目的蒐集、處理使用客戶的下述個人資料:
依受委任事務或案件實際需求而蒐集、處理及使用之個人資料為準。
2.2 特定目的:
2.2.1 本事務所提供之法律服務。
2.2.2 本事務所提供之契約、類似契約或其他法律關係事務相關處理服務。
2.2.3 本事務所提供之中小企業及其他產業之輔導服務。
2.2.4 本事務所提供之消費者、客戶管理與服務。
2.2.5 本事務所之廣告或商業行為管理
3. 個人資料利用之期間、地區、對象及方式:
3.1 期間:如2.2所列特定目的之存續期間或依相關法令所要求之應保存年限。
3.2 地區:除法令另有規定外,利用地區為中華民國境內、委任人及當事人同意之地區。
3.3 對象:除法令另有規定外,利用對象為本事務所、本事務所策略合作對象、委任人同意之對象。
3.4 方式:符合法令規定之利用方式。
4. 個人資料之安全管理
為防止個人資料洩漏、竊取、滅失、竄改與毀損,本事務所採取必要措施、對個人資料進行妥適管理。
5. 向第三人提供個人資料
請注意,本事務所為處理案件及進行報價,可能向台灣以外之國家或地區之聯盟所揭露或提供委任人與當事人之個人資料。對於台灣以外之國家或地區進行個人資料之揭露或提供時,將於個人資料保護法之限制內進行。此外,除法令特別規定或行政、司法機關有察查之必要外,本事務所非經當事人同意,不會對第三人提供當事人個人資料。
6. 對於個人資料行之相關權利行使事項
委任人得針對本事務所保有之個人資料,依據個人資料保護法請求、閱覽、提供複製本、補充、更正或停止蒐集、處理、使用或刪除。本事務所於確認請求者確實為本人後,將依據個人資料保護法為妥適回應。
7. 本事務所聯絡方式
關於個人資料保護方針之內容及其他本事務所對於個人資料之處理,如有諮詢或請求之需求時,請以電子郵件通知本事務所。
8. 其他
本事務所保有變更個人資料保護方針內容之權限。