一、國軍退除役官兵輔導委員會(以下簡稱本會)為規範本會與所屬機構
及委辦廠商(以下簡稱各使用單位)妥適使用內政部親等關聯資料(
以下簡稱親等關聯資料),落實資訊安全,使用者(即各使用單位查
詢親等關聯資料之人員)及管理者(即各使用單位主管或其授權人員
)均應遵守所有規範內容,以防止資料不當使用或洩漏,並保障個人
隱私權益,特定訂本規定。
二、本會各使用單位因法定職掌需要,辦理退除役官兵及其眷屬輔導業務
,須使用親等關聯資料,使用計畫詳如附件一,其法規依據、適用機
關、業務範圍及使用目的如附件二。
前點委辦廠商係指派駐於本會統計資訊處,負責新進退除役官兵
(眷)資料登鍵作業及一般異常資料校補之勞務承攬廠商,委辦廠商
辦理登鍵及校補作業,以內政部戶政資料電子閘門之線上查詢親等關
聯資料為限。
三、使用者管理:
(一)本規定所稱「查詢」,指線上查詢。
(二)帳號權限新增或異動須經申請,並由權責主管核可後配賦權限,且
保留申請紀錄。
(三)管理者及使用者不得使用非本人申請之帳號,帳號不得交接予他人
,並嚴禁多人共用帳號。
(四)密碼規範適當長度(至少八碼)及複雜度(須混合數字、大小寫英
文字及特殊符號),系統設定使用者須依相關規定或資訊安全與個
人資料保護需求,至少每三個月更改一次密碼,使用者密碼應妥善
保管,避免他人知悉,帳號及密碼通知過程應具保密措施,防止被
竊視及竊取。
(五)系統應可限制使用者連續登入密碼失敗的上限次數,並訂定解除該
帳號鎖碼機制(如經申請核准後,由管理人員解除帳號鎖碼)。
(六)使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
前或當日,由管理者停止原帳號。
(七)管理者應至少每三個月辦理帳號清查,檢視使用者權限,凡使用人
員離職、職務調整或帳號已閒置逾三個月,應即時調整、廢止或註
銷其使用權限,並留存清查紀錄。
(八)管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
前或當日,由承接之新任管理者於承接業務時停止原管理者帳號,
並新增新管理者帳號,機關之系統無法變更管理者帳號時,新任管
理者應立即變更管理者密碼。
(九)申請戶政資訊連結作業單位(即本會統計資訊處)之承辦人員、專
責人員及單位主管異動,應於異動後七日內通知內政部,前述人員
應限於執行特定職務必要範圍內始得蒐集、處理或利用介接資料,
並應符合特定目的,不得對外公開、移轉或轉讓他人,亦不得傳送
至國外。
(十)委辦廠商應依契約指派適任人員履行勞務承攬事項,委辦廠商人員
皆需簽訂保密切結書,並須遵循機關使用者同等規範。
四、資料使用:
(一)各使用單位查詢退除役官兵或其眷屬親等關聯資料,應填具申請表
,經單位主管(機構首長)或其授權人員審核同意後查詢。本會統
計資訊處(含勞務承攬廠商)使用人員線上查詢戶政親等關聯資料
亦將保留完整LOG紀錄,並每月簽請單位主管或其授權人員審核
同意,供後續查(稽)核作業。
(二)使用者查詢親等關聯資料時,應填寫輸入案號或查詢事由,作為日
後查核依據。
(三)各使用單位查詢親等關聯資料,應於執行法定職務必要範圍內為之
,負有保密責任,並應依原申請目的使用。
五、安全管理:
(一)系統應記錄使用者查詢之帳號、日期、時間、內容及事由等查詢日
誌,並保留五年。
(二)資料檔案或資料庫應記錄及保存資料存取日誌,並保留五年,供後
續稽核。
(三)取得資料載入系統應用時,應設定使用該資料之存取權限及核准使
用期限。欲使用資料者,須經申請核准後始得使用,並應於核准期
限內使用及應用於核准業務範圍。
(四)親等關聯資料不得任意複製,如有複製資料之業務需要,應經申請
核准後,始得複製,資料傳送時應採取適當的保密措施。
(五)親等關聯資料僅限各使用單位內部業務查證用,應避免非業務權責
人員閱覽、擷取、破壞,並禁止對外提供。
(六)列印辦理法定職務案件審核所需之親等關聯資料,應隨卷歸檔保存
,並於保存期限屆滿後一年內簽報單位主管(機構首長)或其授權
人員核定辦理銷毀作業。
(七)儲存於電腦設備或系統之資料檔案,使用完竣且確認無保存必要,
應於查詢後一年內簽報單位主管或其授權人員核定後,刪除資料檔
案,並確認其資料檔案無法復原。
(八)前兩款銷毀紀錄應留存五年備查。銷毀作業程序完成後,應函知內
政部,並檢附佐證資料。
(九)本會應指派專責人員辦理安全維護事項,並造冊列管所有使用、查
詢親等關聯資料之人員,防止個人資料被竊取、竄改、毀損、減失
或洩漏,並管理及維護查詢戶政資料之網路連線設備,以確保設備
功能正常。專責人員每年應至少接受三小時以上之資通安全專業課
程訓練或資通安全職能訓練。
(十)本會每年應檢視戶政資訊連結作業之使用情形,如已無使用需求者
,應函請內政部終止該連結作業。
六、定期查核與稽核作業:
(一)各使用單位應指派查(稽)核人員辦理查(稽)核作業,負責查核
作業之人員不得連續六個月查核同一受查人員,所有查核工作均應
做成紀錄留存五年備查。
(二)內部查(稽)核
1、所屬機構辦理內部查(稽)核作業:查核人員應每月就單位使用人
員之查詢紀錄進行查核,抽查比率以不低於百分之七十為原則,核
對前一個月申請表與查詢紀錄及審核原件是否相符,查詢總筆數倘
低於十筆,應全數查核,查核完畢將查核結果移送本會統計資訊處
進行複核。
2、本會統計資訊處辦理內部查(稽)核作業:
(1)查核人員應每月就所屬機構使用人員之查詢紀錄進行複核,抽
查比率以不低於百分之七十為原則,核對前一個月申請表與查
詢紀錄及審核原件是否相符,查詢總筆數倘低於十筆,應全數
查核。
(2)查核人員應每月就統計資訊處(含勞務承攬廠商)使用人員之
查詢紀錄進行查核,抽查比率以不低於百分之七十為原則,查
詢總筆數倘低於十筆,應全數查核。
(3)查核人員每月就所屬機構、統計資訊處(含勞務承攬廠商)作
成整體查核紀錄簽報單位主管或其授權人員核可。
3、統計資訊處應每半年辦理親等關聯資料之稽核工作,受檢委辦廠商
應填寫內部稽核表,留存五年備查。
4、如發現異常查詢案件,則由使用者填報說明表,陳核至單位主管(
機構首長)或其授權人員後,留存五年備查。所屬機構另須併同申
請表、審核影本送本會就養養護處留存五年備查。異常情形重大者
,單位主管(機構首長)或其授權人員應通報政風單位查明後,簽
報機關(構)權責長官議處。
(三)外部稽核
1、就養養護處應每半年辦理親等關聯資料之稽核工作,並抽檢所屬機
構個案查調佐證資料,受稽機構應檢附相關卷資備檢。抽查比率至
少為查詢件數百分之七十,並做成稽核紀錄,稽核結果應保存五年
備查。
2、內政部實施稽核作業時,各使用單位應配合辦理並備妥使用者清冊
、稽核紀錄及提供相關稽核資料,並依要求完成必要之改善。經稽
核後發現有異常狀況、阻擋戶政連結管理功能,或違反相關管理規
定者,應立即提出說明並改善。
(四)親等關聯資料自申請、持有、查詢、使用、保管與銷毀等相關各作
業階段,統計資訊處應定期檢視、檢討管理,並建立審查機制。
七、申請運用親等關聯資料連結作業之使用人員、專責人員、單位主管或
委辦廠商等相關人員應妥善保管及利用所取得之資料;其違反相關規
定者,應依下列規定追究:
(一)對於所取得資料之使用,違反個人資料保護法(以下簡稱個資法)
規定,致當事人權益受損者,應依個資法規定,負國家賠償責任。
(二)未妥善保管及利用查詢所得資料者,除負相關行政責任外,亦應依
個資法第二十八條之損害賠償責任,與第三十一條適用國家賠償法
之規定。
(三)無故洩漏因職務知悉或持有他人之工商秘密者,應負刑法第三百十
八條之責任。
(四)機關管理者或單位管理者未善盡管理之責,致未經授權之使用者,
或因職務調整、離職或退休等原因已無使用親等關聯資料權限者,
可使用親等關聯資料,且不當使用親等關聯資料,致當事人權益受
損者,應由本會及所屬機構共同負完全責任。
(五)如有違反其他法律規定,依其規定追究其責。