按Enter到主內容區
:::

法務部行政執行署臺南分署:回首頁

:::

其他相關法規

  • 發布日期:
  • 最後更新日期:108-9-10
  • 資料點閱次數:45
其他相關法規
線上檔案故事展 常見問題 檔案申請書表 收費標準
線上展覽 本分署出版品 相關法規 作業流程

 

第 1 條

本辦法依檔案法 (以下簡稱本法) 第九條第一項規定訂定之。

 

第 2 條

本辦法用詞定義如下:

一、電子儲存:指檔案以電腦或自動化機具等電子設備處理,並予數位化儲存之程序。

二、原始檔案:指供電子儲存作業處理之檔案。

三、電子媒體:指電子儲存使用之媒介物,包括磁帶、磁碟 (片) 、光碟片等媒體。

四、電子影音檔案:指原始檔案數位化為影像或聲音資料,儲存於電子媒體者。

五、電子影音檔案正版:指直接由原始檔案進行數位化處理並儲存於電子媒體,而用以保存之影像或聲音資料。

六、電子影音檔案副版:指電子影音檔案正版經軟體處理後儲存於電子媒體,而用以調閱應用之影像或聲音資料。

七、確認:指檔案管理機關證明電子影音檔案及其複製品與原始檔案內容相同之程序。

八、加密:指利用數學演算法或其他方法,將電子影音檔案以亂碼方式處理。

九、備份:指在原有之技術環境下,複製檔案內容至另一儲存媒體。

十、轉置:指資訊系統之軟硬體過時或失效,需進行軟硬體格式轉換,以便日後可讀取之作業程序。

 

第 3 條

檔案之電子儲存作業,應由管理該檔案機關辦理;必要時,得委外為之。前項委外辦理檔案之電子儲存作業,應於管理該檔案機關內或其指定場所為之。

 

第 4 條

永久保存檔案與定期保存檔案宜分別儲存於不同之電子媒體。

 

第 5 條

辦理檔案電子儲存,應參照文書及檔案管理電腦化作業規範有關規定,採用適當之電子媒體及儲存格式,並宜採唯讀方式儲存之。

 

第 6 條

紙質類檔案進行電子儲存前,應整理原始檔案,必要時得予拆卷;有破損者,應即修補,並應注意其順序,且於儲存作業完成後恢復原狀。

辦理前項電子儲存時,應避免影像之歪斜及跳漏頁。

 

第 7 條

攝影類檔案進行電子儲存前,應檢查該照片、微縮片、正片、負片或影片

之保存現況;有損壞者,應即修復。

辦理攝影類檔案電子儲存時,應配戴棉質或尼龍手套,並避免留下指印或

刮痕。

 

第 8 條

錄影 (音) 帶類檔案進行電子儲存前,應進行檢查;有損壞者,應即修復

辦理前項電子儲存時,應將錄影 (音) 帶之防誤抹孔關閉並倒帶至起點,

以避免損及內容。

 

第 9 條

辦理檔案電子儲存,應注意下列事項:

一、維持影像及聲音之完整清晰。

二、避免重複作業造成原始檔案之損害。

三、有錯誤或缺漏者,應立即補正。

 

第 10 條

辦理檔案電子儲存時,管理該檔案機關應檢視並確定其內容與原始檔案完

全相同;必要時得採電子簽章方式處理,或加密儲存之。

 

第 11 條

檔案經電子儲存後,檔案管理人員應將電子媒體編號及原始檔案處理情形

等事項,註記於檔案目錄或提供檢索功能。

 

第 12 條

檔案經電子儲存後,應於電子媒體中製作電子說明檔,註記「同原檔案」

字樣,並記錄下列事項:

一、檔案管理機關。

二、電子媒體編號。

三、製作完成日期。

四、電子影音檔案清單。

電子影音檔案副版,應註記「推定其為真正」字樣。

 

第 13 條

電子媒體之外包裝應標示下列事項:

一、檔案管理機關。

二、電子媒體編號。

三、製作完成日期。

電子媒體儲存之內容屬機密檔案者,其外包裝並應依相關規定標示。

 

第 14 條

電子影音檔案正版應製作備份,並分置於不同地點保管之。

 

第 15 條

實施檔案電子儲存之機關應定期檢討相關軟硬體設施之有效性,必要時應

辦理轉置作業。

前項轉置作業應注意檔案內容之完整及安全,避免不當之增、刪及抽換。

 

第 16 條

各機關更換檔案電子儲存作業相關軟硬體設施時,應先製作備份,避免資

料流失。轉置時,亦同。

 

第 17 條

實施檔案電子儲存之機關應定期查驗電子媒體;有損壞者,應即修復;無

法修復時,應予作廢,重行製作;無法製作時,應於檔案目錄註記。

前項媒體之作廢方法,準用檔案中央主管機關訂定之機關檔案保存年限及

銷毀辦法第十三條規定。

 

第 18 條

電子媒體之保存場所,應有適當環境控制及安全管制措施,避免損壞或遺

失。

前項措施應參照檔案中央主管機關訂定之檔案庫房設施基準有關規定辦理

 

第 19 條

電子媒體應依媒體種類分別存放;存放時應依電子媒體編號排列,並製作

登錄簿,以備查考應用。

 

第 20 條

電子影音檔案及其複製品之確認,應由管理該檔案機關檢查並確定其內容

與原始檔案完全相同後,始得視同原檔案或推定其為真正。

 

第 21 條

電子影音檔案正版需重行製作者,應依本辦法相關規定辦理。

 

第 22 條

本辦法自本法施行之日施行。

本辦法修正條文自發布日施行。

 

第 一 章 總則

 

第 1 條

為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人

資料之合理利用,特制定本法。

 

第 2 條

本法用詞,定義如下:

一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護

照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因

、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及

其他得以直接或間接方式識別該個人之資料。

二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式

檢索、整理之個人資料之集合。

三、蒐集:指以任何方式取得個人資料。

四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、

編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

五、利用:指將蒐集之個人資料為處理以外之使用。

六、國際傳輸:指將個人資料作跨國(境)之處理或利用。

七、公務機關:指依法行使公權力之中央或地方機關或行政法人。

八、非公務機關:指前款以外之自然人、法人或其他團體。

九、當事人:指個人資料之本人。

 

第 3 條

當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約

限制之:

一、查詢或請求閱覽。

二、請求製給複製本。

三、請求補充或更正。

四、請求停止蒐集、處理或利用。

五、請求刪除。

 

第 4 條

受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用

範圍內,視同委託機關。

 

第 5 條

個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法

為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之

關聯。

 

第 6 條

有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、

處理或利用。但有下列情形之一者,不在此限:

一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當

安全維護措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計

或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資

料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之

辦法,由中央目的事業主管機關會同法務部定之。

 

第 7 條

第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知

本法所定應告知事項後,所為允許之書面意思表示。

第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集

者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響

後,單獨所為之書面意思表示。

 

第 8 條

公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料

時,應明確告知當事人下列事項:

一、公務機關或非公務機關名稱。

二、蒐集之目的。

三、個人資料之類別。

四、個人資料利用之期間、地區、對象及方式。

五、當事人依第三條規定得行使之權利及方式。

六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

有下列情形之一者,得免為前項之告知:

一、依法律規定得免告知。

二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務

所必要。

三、告知將妨害公務機關執行法定職務。

四、告知將妨害第三人之重大利益。

五、當事人明知應告知之內容。

 

第 9 條

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之

個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項

第一款至第五款所列事項。

有下列情形之一者,得免為前項之告知:

一、有前條第二項所列各款情形之一。

二、當事人自行公開或其他已合法公開之個人資料。

三、不能向當事人或其法定代理人為告知。

四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供

者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。

五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

第一項之告知,得於首次對當事人為利用時併同為之。

 

第 10 條

公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查

詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:

一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益

二、妨害公務機關執行法定職務。

三、妨害該蒐集機關或第三人之重大利益。

 

第 11 條

公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請

求更正或補充之。

個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但

因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限

個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,

刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事

人書面同意者,不在此限。

違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,

刪除、停止蒐集、處理或利用該個人資料。

因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,

應於更正或補充後,通知曾提供利用之對象。

 

第 12 條

公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或

其他侵害者,應查明後以適當方式通知當事人。

 

第 13 條

公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,

為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其

原因以書面通知請求人。

公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內

,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將

其原因以書面通知請求人。

 

第 14 條

查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收

必要成本費用。

 

 

第 二 章 公務機關對個人資料之蒐集、處理及利用

 

第 15 條

公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有

特定目的,並符合下列情形之一者:

一、執行法定職務必要範圍內。

二、經當事人書面同意。

三、對當事人權益無侵害。

 

第 16 條

公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法

定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者

,得為特定目的外之利用:

一、法律明文規定。

二、為維護國家安全或增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,

且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事

人。

六、有利於當事人權益。

七、經當事人書面同意。

 

第 17 條

公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;

其有變更者,亦同:

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

 

第 18 條

公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人

資料被竊取、竄改、毀損、滅失或洩漏。

 

 

第 三 章 非公務機關對個人資料之蒐集、處理及利用

 

第 19 條

非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應

有特定目的,並符合下列情形之一者:

一、法律明文規定。

二、與當事人有契約或類似契約之關係。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過

提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人書面同意。

六、與公共利益有關。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利

用,顯有更值得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之

處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人

資料。

 

第 20 條

非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集

之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利

用:

一、法律明文規定。

二、為增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,

且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事

人。

六、經當事人書面同意。

非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時

,應即停止利用其個人資料行銷。

非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支

付所需費用。

 

第 21 條

非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主

管機關得限制之:

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞

四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。

 

第 22 條

中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護

、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必

要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,

並得命相關人員為必要之說明、配合措施或提供相關證明資料。

中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒

入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製

之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提

出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方

法強制為之。

中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同

資訊、電信或法律等專業人員共同為之。

對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得

規避、妨礙或拒絕。

參與檢查之人員,因檢查而知悉他人資料者,負保密義務。

 

第 23 條

對於前條第二項扣留物或複製物,應加封緘或其他標識,並為適當之處置

;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,

應發還之。但應沒入或為調查他案應留存者,不在此限。

 

第 24 條

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求

、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、

縣(市)政府聲明異議。

前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理

由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明

異議之人請求時,應將聲明異議之理由製作紀錄交付之。

對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅

得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得

對該案件之實體決定聲明不服時,得單獨對第一項之行為逕行提起行政訴

訟。

 

第 25 條

非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、

縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或命銷燬違法蒐集之個人資料。

四、公布非公務機關之違法情形,及其姓名或名稱與負責人。

中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制

違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方

法為之。

 

第 26 條

中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後

,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查

結果。

 

第 27 條

非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料

被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫

或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關

定之。

 

 

第 四 章 損害賠償及團體訴訟

 

第 28 條

公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害

當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所

致者,不在此限。

被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,

並得請求為回復名譽之適當處分。

依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依

侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。

對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害

賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益

超過新臺幣二億元者,以該所涉利益為限。

同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受

第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或

已起訴者,不在此限。

 

第 29 條

非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵

害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此

限。

依前項規定請求賠償者,適用前條第二項至第六項規定。

 

第 30 條

損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行

使而消滅;自損害發生時起,逾五年者,亦同。

 

第 31 條

損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機

關適用民法之規定。

 

第 32 條

依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:

一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達

一百人。

二、保護個人資料事項於其章程所定目的範圍內。

三、許可設立三年以上。

 

第 33 條

依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方

法院管轄。對於非公務機關提起者,專屬其主事務所、主營業所或住所地

之地方法院管轄。

前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其

在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國

最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法

院管轄。

第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無

主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地

之地方法院管轄。

 

第 34 條

對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社

團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自

己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴

訟實施權之授與,並通知法院。

前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害

之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴

訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張

應受判決事項之聲明。

其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,

亦得於法院公告曉示之一定期間內起訴,由法院併案審理。

其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。

前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為

必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國

庫墊付。

依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺

幣六十萬元者,超過部分暫免徵裁判費。

 

第 35 條

當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然

停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟

財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施

權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。

 

第 36 條

各當事人於第三十四條第一項及第二項之損害賠償請求權,其時效應分別

計算。

 

第 37 條

財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟

行為之權。但當事人得限制其為捨棄、撤回或和解。

前項當事人中一人所為之限制,其效力不及於其他當事人。

第一項之限制,應於第三十四條第一項之文書內表明,或以書狀提出於法

院。

 

第 38 條

當事人對於第三十四條訴訟之判決不服者,得於財團法人或公益社團法人

上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。

財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人

,並應於七日內將是否提起上訴之意旨以書面通知當事人。

 

第 39 條

財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償,扣除訴訟

必要費用後,分別交付授與訴訟實施權之當事人。

提起第三十四條第一項訴訟之財團法人或公益社團法人,均不得請求報酬

 

第 40 條

依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。

 

 

第 五 章 罰則

 

第 41 條

違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規

定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,

足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬

元以下罰金。

意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以

下罰金。

 

第 42 條

意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案

為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生

損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以

下罰金。

 

第 43 條

中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用

之。

 

第 44 條

公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分

之一。

 

第 45 條

本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯

第四十二條之罪者,不在此限。

 

第 46 條

犯本章之罪,其他法律有較重處罰規定者,從其規定。

 

第 47 條

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(

市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未

改正者,按次處罰之:

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或

處分。

 

第 48 條

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(

市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以

下罰鍰:

一、違反第八條或第九條規定。

二、違反第十條、第十一條、第十二條或第十三條規定。

三、違反第二十條第二項或第三項規定。

四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫

或業務終止後個人資料處理方法。

 

第 49 條

非公務機關無正當理由違反第二十二條第四項規定者,由中央目的事業主

管機關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬元以下罰鍰。

 

第 50 條

非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三

條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰

之處罰。

 

 

第 六 章 附則

 

第 51 條

有下列情形之一者,不適用本法規定:

一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料

二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結

合之影音資料。

公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集

、處理或利用者,亦適用本法。

 

第 52 條

第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣(市

)政府執行之權限,得委任所屬機關、委託其他機關或公益團體辦理;其

成員因執行委任或委託事務所知悉之資訊,負保密義務。

前項之公益團體,不得依第三十四條第一項規定接受當事人授與訴訟實施

權,以自己之名義提起損害賠償訴訟。

 

第 53 條

本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關

指定之。

 

第 54 條

本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利

用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期

未告知而處理或利用者,以違反第九條規定論處。

 

第 55 條

本法施行細則,由法務部定之。

 

第 56 條

本法施行日期,由行政院定之。

現行條文第十九條至第二十二條及第四十三條之刪除,自公布日施行。

前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指

定之日起六個月內辦理登記或許可之期間內者,該指定之事業、團體或個

人得申請終止辦理,目的事業主管機關於終止辦理時,應退還已繳規費。

已辦理完成者,亦得申請退費。

前項退費,應自繳費義務人繳納之日起,至目的事業主管機關終止辦理之

日止,按退費額,依繳費之日郵政儲金之一年期定期存款利率,按日加計

利息,一併退還。已辦理完成者,其退費,應自繳費義務人繳納之日起,

至目的事業主管機關核准申請之日止,亦同。

 

壹、目 的

一、政院為推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本要點。

 

貳、通 則

 

二、本要點所稱各機關,指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣省諮議會及其所屬機關(構

三、各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存流通之安全。

四、本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術 等安全措施。

五、各機關應就下列事訂定資訊安全計畫實施,並定期評估實施成

(一)資訊安全政策訂定。

(二)資訊安全權責分工。

(三)人員管理及資訊安全教育訓練。

(四)電腦系統安全管理。

(五)網路安全管理。

(六)系統存取控制管理。

(七)系統發展及維護安全管理。

(八)資訊資產安全管理。

(九)實體及環境安全管理。

(十)業務永續運作計畫管理。

(十一)其他資訊安全管理事項。

六、本要點所稱資訊安全政策,指機關為達成資訊安全目標訂定之資訊安 全管理作業規定、措施、標準、規範及行為準則等。

 

參、資訊安全政策擬訂

 

七、各機關應依實際業務需求,訂定機關資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。


八、各機關訂定之資訊安全政策,應至少每年評一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

 

肆、組織及權責

 

九、 各機關應依下列分工原則,配賦有關單位及人員之權責:

(一) 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊單位負責辦理。

(二) 資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。

(三) 資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。

各機關未設置資訊及政風單位者,由機關首長指定適當單位及人員負責辦理。

機關業務性質特殊者,得由機關首長調整第一項分工原則。

十、各機關對所屬機關(構)資訊作業,應進行定期或不定期之資訊安全稽核。各機關對所屬機關(構)進行外部稽核作業,由資訊單位會同政風單位或稽核單位辦理。

十一、各機關應指定副首長或高層主管人員負責資訊安全管理事項之協調及推動。各機關得視需要,成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度等事項之協調研議。前項資訊安全小組之幕僚作業,由資訊單位或首長指定之單位負責。

十二、各機關應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。

 

伍、人員管理及資訊安全教育訓練

 

十三、各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。

十四、各機關應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊安全水準。

十五、各機關應加強資訊安全管理人力之培訓,提升資訊安全管理能力。各機關資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。

十六、各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。

十七、各機關首長及各級業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。

 

陸、電腦系統安全管理

 

十八、各機關辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定 期考核。

十九、各機關對系統變更作業,應建立控管制度,並建立紀錄,以備查考。

二十、各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。

二十一、各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。

 

柒、網路安全管理

 

二十二、各機關利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認 性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、 接外連接介面及路由器等事項,研擬妥適的安全控管措施。

二十三、各機關開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏 洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。

二十四、各機關與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸與資源存取。

二十五、各機關開放外界連線作業之資訊系統,必要時應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存 取資料。

二十六、各機關利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資 料及文件,不得上網公布。 機關網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。

二十七、各機關應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各 機關應視需要以適當的加密或電子簽章等安全技術處理。機關業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。

二十八、各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定 之政府資訊安全規範,研提資訊安全需求,並列入採購規格。各機關發展及應用加密技術,應採用權責主管機關認可之密碼模 組產品。各機關採購外國產製之密碼模組產品,應請廠商提出輸出許可或 相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產品。

 

捌、系統存取控制

 

二十九、各機關應訂定系統存取政策及授權規定,並以書面、電子或其他 方式告知員工及使用者之相關權限及責任。

三十、各機關應依資訊安全政策,賦予各級人員必要的系統存取權限;機關員工之系統存取權限,應以執行法定任務所必要者為限。對 被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特 定人員,應經審慎之授權評估。

三十一、各機關離(休)職人員,應立即取消使用機關內各項資訊資源之 所有權限,並列入機關人員離(休)職之必要手續。機關人員職務調整及調動,應依系統存取授權規定,限期調整其權限。

三十二、各機關應建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,由機關視作業系統及安全管理需求決定,最長以不超過六月個為原則。對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。

三十三、各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。

三十四、各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。

三十五、各機關之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

三十六、各機關應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁止任意刪除及修改。

 

玖、系統發展及維護安全管理

 

三十七、各機關自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。

三十八、各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可 接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。各機關基於實際作業需要,得核發短期性及臨時性之系統辨識及 通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。

三十九、各機關委託廠商建置及維護重要之軟硬體設施,應在機關相關人員監督及陪同下始得為之。

 

拾、業務永續運作之規劃

 

四十、各機關應訂定業務永續運作計畫,評估各種人為及天然災害對機關正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。

四十一、各機關應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。

四十二、各機關應依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。

 

拾壹、其他

 

四十三、各機關應就設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。

 

拾貳、附則

 

四十四、機關業務性質特殊者,得參照本要點另定有關規定。

四十五、直轄市或縣(市)政府未訂定資訊安全管理規定者,得準用本要點。

 

回頁首