勞動部勞動法令查詢系統

<pre>本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之 。</pre>

<pre>本辦法適用對象，為行業統計分類規定之人力供應業。</pre>

<pre>人力供應業者為落實個人資料檔案之安全維護及管理，應訂定個人資料檔 案安全維護計畫（以下簡稱本計畫）。 本計畫內容，應包括下列事項： 一、個人資料保護規劃。 二、個人資料管理程序。 三、個人資料管理措施。 四、業務終止後個人資料處理方法。 五、紀錄機制。 人力供應業者訂定前項計畫時，其內容應具體明確，並定期檢視及配合相 關法令修正本計畫。</pre>

<pre>人力供應業者就個人資料檔案安全維護管理，應指定專人或建立專責組織 負責，並配置相當資源。 前項專人或專責組織之任務如下： 一、規劃、訂定、修正及執行本計畫。 二、訂定個人資料保護管理原則，將其所蒐集、處理及利用個人資料之依 據、特定目的及其他相關保護事項公告，使其所屬人員瞭解。</pre>

<pre>人力供應業者訂定前條第二項第二款之個人資料保護管理原則，應包括下 列事項： 一、個人資料保護相關法令規定之遵守。 二、於特定目的範圍內，蒐集、處理及利用個人資料之合理安全方法。 三、保護所蒐集、處理、利用之個人資料檔案之合理安全水準技術。 四、供當事人行使個人資料之相關權利、提出相關申訴及諮詢之聯絡窗口 。 五、處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故之緊急應變程 序。 六、委託蒐集、處理及利用個人資料者，監督受託者之機制。 七、確保個人資料檔案之安全，維持運作本計畫之機制。</pre>

<pre>人力供應業者應依據個人資料保護相關法令，定期清查所保有之個人資料 ，納入本計畫之範圍及建立檔案，並隨時確認法令有無變動。</pre>

<pre>人力供應業者應依據前條所界定之範圍，分析蒐集、處理及利用過程中可 能產生之風險，並依據分析結果，訂定適當管控措施。</pre>

<pre>人力供應業者為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏 等事故，應建立下列機制： 一、採取適當應變措施，以控制事故對當事人之損害。 二、查明事故狀況，並以適當方式通知當事人相關事故事實、因應措施及 諮詢服務專線等。 三、檢討預防機制，避免類似事故再次發生。 人力供應業者發現前項事故時，應於七十二小時內填具通報紀錄表（如附 表），通報所在地之直轄市、縣（市）政府，並副知中央目的事業主管機 關；中央目的事業主管機關或直轄市、縣（市）政府接獲通報後，得依本 法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。</pre>

<pre>人力供應業者應定期對所屬人員施以基礎認知宣導或專業教育訓練，使其 瞭解個人資料保護相關法令規定、責任範圍、管理措施或方法。</pre>

<pre>人力供應業者就本法第六條第一項所定之個人資料，應於蒐集、處理或利 用前，確認符合相關法令規定。</pre>

<pre>人力供應業者為履行本法第八條及第九條規定之告知義務，應建立下列作 業程序： 一、依據蒐集資料情況，採取適當之告知方式。 二、確認符合免告知當事人之事由。</pre>

<pre>人力供應業者對個人資料之蒐集、處理或利用，除本法第六條第一項所定 之資料外，應建立下列作業程序： 一、確認蒐集、處理個人資料符合特定目的及法定要件。 二、確認利用個人資料符合特定目的必要範圍；於特定目的外利用個人資 料時，應檢視是否具備法定特定目的外之利用要件。</pre>

<pre>人力供應業者委託他人蒐集、處理或利用個人資料之全部或一部時，應對 受託者建立下列監督作業程序： 一、確認所委託蒐集、處理或利用之個人資料之範圍、類別、特定目的及 期間。 二、確認受託者採取必要安全措施。 三、有複委託者，確認複委託之對象。 四、受託者或其受僱人違反個人資料保護法令或委託契約條款時，要求受 託者向委託人通知相關事項，及採行補救措施。 五、委託人對受託者有保留指示者，其保留指示之事項。 六、委託關係終止或解除時，要求受託者返還個人資料之載體，及銷毀或 刪除因委託事項儲存而持有之個人資料。 人力供應業者應定期確認受託者執行前項要求事項之情況，並將確認結果 記錄之。</pre>

<pre>人力供應業者利用個人資料行銷時，應建立下列作業程序： 一、首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費 用。 二、當事人表示拒絕接受行銷時，立即停止利用其個人資料行銷，並通知 所屬人員。</pre>

<pre>人力供應業者進行個人資料國際傳輸前，應檢視有無中央目的事業主管機 關依本法第二十一條規定所為之限制，並告知當事人其個人資料所欲國際 傳輸之區域。 前項個人資料國際傳輸，人力供應業者應對資料接收方為下列事項之監督 ： 一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對 象及方式。 二、當事人行使本法第三條所定權利之相關事項。</pre>

<pre>當事人就其個人資料行使本法第三條所定之權利者，人力供應業者應建立 下列作業程序： 一、確認當事人為個人資料之本人。 二、提供當事人行使權利之方式，並依本法第十三條所定處理期限辦理。 三、確認有無本法第十條及第十一條得拒絕當事人行使權利之事由；拒絕 時，並附理由通知當事人。 四、告知得收取之費用標準。</pre>

<pre>人力供應業者為維護其保有個人資料之正確性，應建立下列作業程序： 一、檢視個人資料於蒐集、處理或利用過程，有無錯誤。 二、定期檢查資料，發現錯誤者，適時更正或補充。未為更正或補充者， 於更正或補充後，通知曾提供利用之對象。 三、有爭議者，依本法第十一條第二項規定就爭議資料之處理或利用，建 立相關作業程序。</pre>

<pre>人力供應業者，應定期確認所保有個人資料之特定目的有無消失或期限屆 滿。 個人資料之特定目的消失或期限屆滿時，應依本法第十一條第三項規定辦 理。</pre>

<pre>人力供應業者就人員管理，應採取下列措施： 一、確認蒐集、處理及利用個人資料之各相關業務流程之負責人員。 二、依據作業之需要，建立管理機制，設定所屬人員不同權限，並定期確 認權限內容之適當及必要性。 三、與所屬人員約定保密義務。 四、所屬人員離職時取消其識別碼，並收繳其通行證（卡）及相關證件。 五、所屬人員持有個人資料者，於其離職時，應要求其返還個人資料之載 體，並銷毀或刪除因執行業務儲存而持有之個人資料。</pre>

<pre>人力供應業者蒐集、處理或利用個人資料，就資料安全管理，應採取下列 措施： 一、訂定作業注意事項。 二、運用電腦或自動化機器相關設備，訂定使用可攜式設備或儲存媒介物 之規範。 三、保有之個人資料內容，有加密或遮蔽之必要時，採取適當之加密或遮 蔽機制。 四、傳輸個人資料時，因應不同之傳輸方式，有加密必要時，採取適當加 密機制，並確認資料收受者之正確性。 五、依據保有資料之重要性，評估有備份必要時，予以備份，並比照原件 加密。儲存備份資料之媒介物，以適當方式保管，且定期進行備份資 料之還原測試，以確保有效性。 六、儲存個人資料之媒介物於報廢或轉作其他用途時，以物理或其他方式 確實破壞或刪除媒介物中所儲存之資料。 七、妥善保存管理機制及加密機制中所運用之密碼。</pre>

<pre>人力供應業者就設備安全管理，應採取下列措施： 一、依據作業內容不同，實施必要之進出管制方式。 二、妥善保管個人資料之儲存媒介物。 三、針對不同作業環境，加強天然災害及其他意外災害之防護，並建置必 要之防災設備。</pre>

<pre>人力供應業者就技術管理，應採取下列措施： 一、於電腦、自動化處理設備或系統上設定認證機制，對有存取個人資料 權限之人員進行識別及控管。 二、認證機制使用之帳號及密碼，具備一定之複雜度，並定期更換密碼。 三、於電腦、自動化處理設備或系統上設定警示與相關反應機制，以對不 正常之存取進行適當之反應及處理。 四、個人資料存取權限之數量及範圍，依作業必要予以設定，且不得共用 存取權限。 五、採用防火牆或入侵偵測等設備，避免儲存個人資料之系統遭受無權限 之存取。 六、使用能存取個人資料之應用程式時，確認使用者具備使用權限。 七、定期測試權限認證機制之有效性。 八、定期檢視個人資料之存取權限設定。 九、於處理個人資料之電腦系統中安裝防毒、防駭軟體，並定期更新病毒 碼。 十、對於電腦作業系統及相關應用程式之漏洞，定期安裝修補程式。 十一、對於具備存取權限之電腦或自動化處理設備，不得安裝檔案分享軟 體。 十二、測試處理個人資料之資訊系統時，不使用真實個人資料，有使用真 實個人資料之情形時，明確規定使用程序。 十三、處理個人資料之資訊系統有變更時，確認其安全性並未降低。 十四、定期檢查處理個人資料資訊系統之使用狀況，及個人資料存取情形 。</pre>

<pre>人力供應業者業務終止後之個人資料處理，應採取下列措施： 一、刪除或銷毀儲存個人資料之媒介物中所儲存之資料，記錄並留存刪除 或銷毀之方法、時間、地點及證明刪除或銷毀之方式。 二、受移轉之對象得合法保有該項個人資料，記錄並留存移轉原因、方法 、時間及地點。 前項紀錄、軌跡資料及相關證據，應保存五年。</pre>

<pre>人力供應業者執行本計畫各項程序及措施，應保存下列紀錄五年： 一、因應事故發生所採取之行為。 二、受託者執行委託人要求之事項。 三、提供當事人行使之權利。 四、個人資料之維護及修正。 五、所屬人員權限之異動。 六、所屬人員違反權限之行為。 七、備份及還原之測試。 八、個人資料之交付及傳輸。 九、個人資料之刪除、銷毀或移轉。 十、存取個人資料者之資訊。 十一、定期檢查處理個人資料之資訊。 十二、教育訓練。 十三、計畫稽核及改善措施之執行。</pre>

<pre>人力供應業者應定期檢查本計畫執行情形，並建立未落實執行之改善措施 。</pre>

<pre>本辦法自中華民國一百十一年六月一日施行。</pre>