內政部公告
中華民國102320


內授中辦地字第1026650485


主  旨:預告訂定「不動產經紀業個人資料檔案安全維護管理辦法」。


依  據:行政程序法154條第1項。


公告事項:


一、訂定機關:內政部。


二、訂定依據:個人資料保護法27條第3項。


三、「不動產經紀業個人資料檔案安全維護管理辦法」草案全文。本案另載於本部地政司全球資訊網站(網址:http://www.land.moi.gov.tw)。


四、對於公告內容有任何意見或修正建議者,請於本公告刊登公報之日起10日內陳述意見或洽詢:


() 承辦單位:內政部地政司(中)


() 地址:台中市黎明路2503


() 電話:04-22502306


() 傳真:04-22502372


() 電子信箱:hlwu@land.moi.gov.tw


部  長 李鴻源


 


不動產經紀業個人資料檔案安全維護管理辦法草案總說明


「個人資料保護法」(以下簡稱本法),於一百零一年十月一日施行,其中第二十七條第一項及第二項明定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。有鑑於不動產經紀業(以下簡稱經紀業)為經營業務需要,蒐集持有大量個人資料,實有必要指定該業訂定個人資料檔案安全維護計畫,為建立管理規範及利該業於訂定計畫時有所依循,爰依據本法第二十七條第三項規定,並參酌本法施行細則第十二條規定之內涵,擬具不動產經紀業個人資料檔案安全維護管理辦法草案(以下簡稱本辦法),共二十五條,其要點如下:


一、本辦法之訂定依據及主管機關。(草案第一條及第二條)


二、指定經紀業應訂定個人資料檔案安全維護計畫,及界定經紀業適用本辦法之範圍。(草案第三條)


三、經紀業訂定個人資料檔案安全維護計畫之內容項目。(草案第四條)


四、經紀業所定計畫應報請直轄市或縣(市)主管機關備查、報請備查之時機,及未送備查之處理方式。(草案第五條)


五、經紀業應配置適當管理人員及提供相當之資源,以執行相關個人資料檔案安全維護計畫,及公告個人資料保護管理政策等事項。(草案第六條)


六、個人資料特定目的之界定及清查處理、業務流程之風險分析與管控、事故之應變等事項。(草案第七條至第九條)


七、經紀人員蒐集持有個人資料主體性之界定、資料傳遞安全及盡告知義務等事項。(草案第十條及第十一條)


八、經紀業應定期或不定期對所屬人員進行教育宣導。(草案第十二條)


九、經紀業進行行銷時應遵守之事項,及應尊重當事人拒絕接受行銷之權利。(草案第十三條)


十、經紀業應遵循中央主管機關限制國際傳輸個人資料之命令或處分。(草案第十四條)


十一、經紀業對於特定目的外利用個人資料應循特定程序辦理。(草案第十五條)


十二、經紀業對於當事人行使查詢、閱覽、補充或更正、停止蒐集利用及刪除其個人資料等權利時採取之措施。(草案第十六條)


十三、經紀業對所保管之個人資料檔案應採取必要適當之防護設施,並應對所屬人員有適度之管理措施。(草案第十七條及第十八條)


十四、經紀業委託他人蒐集、處理或利用個人資料時,應對受託者為適當之監督。(草案第十九條)


十五、當事人委託書之保存、刪除或銷毀及業務終止後所保有個人資料之處理方式。(草案第二十條及第二十一條)


十六、個人資料檔案安全維護計畫之稽核、使用紀錄留存及檢討改善等事項。(草案第二十二條至第二十四條)


十七、本辦法施行日期。(草案第二十五條)


 


不動產經紀業個人資料檔案安全維護管理辦法草案
































































條     文



說     明



第一條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。



本辦法訂定依據。



第二條 本辦法所稱主管機關,在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。



一、 明定本辦法之主管機關。


二、 依本法第二十二條規定,中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止後個人資料處理方法、國際傳輸限制或其他例行性業務事項等得進行檢查,發現有違法情事,得依據本法第四十七條至第五十條規定處以行政罰。



第三條 不動產經紀業(以下簡稱經紀業)應訂定個人資料檔案安全維護計畫以下簡稱計畫,以落實個人資料檔案之安全維護與管理,防止個人資料被竊取、竄改、毀損、滅失或洩漏。


前項所稱經紀業,指依不動產經紀業管理條例規定,經營不動產仲介或代銷業務之公司或商業。



一、 依據本法第二十七條第二項規定,指定不動產經紀業應訂定個人資料檔案安全維護計畫。


二、 界定不動產經紀業適用本辦法之範圍。



第四條 經紀業依前條第一項訂定計畫時,得視其規模、特性、保有個人資料之性質及數量等事項,參酌本辦法第六條至第二十四條規定訂定適當之安全措施。


前項計畫內容應包括下列項目;但必要時得整併第二款相關項目:


一、 經紀業之組織規模。


二、 個人資料檔案之安全管理機制:


() 配置管理之人員及相當資源。


() 界定個人資料之範圍


() 個人資料之風險評估及管理機制


() 個人資料蒐集、處理及利用之內部管理程序


() 事故之預防、通報及應變機制。


() 設備安全管理、資料安全管理及人員管理措施


() 資料安全稽核機制


() 使用紀錄、軌跡資料及證據保存。


() 認知宣導及教育訓練。


() 個人資料安全維護之整體持續改善。


(十一) 業務終止後之個人資料處理方法。



一、 由於經紀業大小規模不一,經營型態之法律關係不盡相同,尚難作統一規範,爰參照本法施行細則第十二條第二項規定意旨,所採行之安全措施與所欲達成之個人資料保護目的間,具有適當比例為原則。因此規定經紀業得參酌其規模、特性、保有個人資料之性質、方法及數量等事項,參考本辦法第六條至第二十四條規定之內容標準,訂定適宜並符合比例原則之安全措施,據以執行。


二、 考量國內經紀業為數眾多,倘未予訂定統一規範,業者於訂定本計畫時恐無所適從,爰明定經紀業訂定本計畫時應包括之內容項目,但保留彈性空間,經紀業得依個別情況自行斟酌整併第二款之相關項目。



第五條 經紀業應將訂定之計畫,報請所在地直轄市或縣(市)主管機關備查;計畫修正或業務終止時,亦同。


經紀業應於申請開業備查時一併將計畫報請直轄市或縣(市)主管機關備查;本辦法發布施行時,已完成開業備查者,應於本辦法發布施行日起個月內將計畫報請備查;已經許可經營經紀業,尚未完成開業備查者,由直轄市或縣(市)主管機關於輔導開業備查時一併輔導計畫備查。


經紀業未依前二項規定將計畫送請備查者,由直轄市或縣(市)主管機關依本法第四十八條規定,命其限期改正,屆期未改正者,按次處以新臺幣二萬元以上二十萬元以下罰鍰。



一、 為讓主管機關能明瞭各經紀業是否訂定個人資料檔案安全維護計畫,採行適當之安全措施,爰規定經紀業應將訂定之計畫,報請主管機關備查;如計畫有修正情形或業務終止後之處理方法,亦應報請備查。


二、 依不動產經紀業管理條例施行細則第五條規定,經紀業應於開始營業後十五日內向直轄市或縣主管機關申請備查,爰明定經紀業所訂計畫應配合報請備查之時間,以利業者遵循,及直轄市或縣(市)主管機關輔導管理之依據。


三、 本辦法係依本法第二十七條第三項之授權訂定,本條課予經紀業負有訂定計畫及送請備查之義務,經紀業自應遵照辦理;倘經紀業未依規定將計畫送請備查,涉有違反本法第四十八條第四款,未採行適當安全措施或未訂定計畫之情形。爰規定依本法第四十八條規定,先由直轄市或縣(市)主管機關命其限期改正,倘屆期仍不改正者,則按次處以罰鍰。



第六條 經紀業應配置適當管理人員及相當資源,負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項,並定期向負責人提出報告。


經紀業應訂定個人資料保護管理政策,將蒐集、處理及利用個人資料之特定目的、法律依據及其他相關保護事項,公告揭露於營業處所適當之處,使其所屬人員與資料當事人均能知悉。



一、 經紀業應指派配置適當管理人員,負責該計畫或業務終止後個人資料處理方法之規劃、訂定、修正與執行等事宜,為確保個人資料維護安全措施發生效能,並應提供適當之資源協助。另本法第五十條規定,對非公務機關之代表人得併同處罰,爰規定負責計畫之管理人員須定期向負責人提出報告,促使負責人能據以監督計畫之執行事項,落實對個人資料保護之工作。


二、 為能讓全體員工明瞭個人資料保護之重要性,經紀業應將個人資料保護管理政策及蒐集、處理及利用個人資料之特定目的、法律依據及其他相關保護事項,公告於營業處所適當之處,以供所屬人員遵循,更可使當事人知曉業者保護個人資料之規定與作法,俾保護自身權益。


三、 參照本法施行細則第十二條第二項第一款規定。



第七條 經紀業應確認蒐集個人資料之特定目的,依特定目的之必要性,界定所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料現況。


前項清查發現有非屬特定目的必要範圍內之個人資料或特定目的消失、期限屆滿而無保存必要者,應予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置。



一、 經紀業蒐集個人資料(包括所屬員工資料)均應明確界定其蒐集之特定目的為何,所蒐集之個人資料類別及範圍是否屬於必要。確認界定性質後,應定期清查所蒐集保有之個人資料是否符合所界定之範圍。


二、 經紀業在清查所蒐集之個人資料類別及範圍時,如發現有逾越特定目的必要範圍之個人資料或特定目的消失、期限屆滿而無保存必要者,應依本法第十一條規定予以刪除或其他停止蒐集、處理或利用等適當之處置。


三、 參照本法施行細則第十二條第二項第二款規定。



第八條 經紀業應依已界定個人資料之範圍與蒐集、處理及利用流程,分析可能發生之風險,訂定適當之管控措施。



一、 經紀業應參酌整體業務運作狀況,就已界定之個人資料之範圍與蒐集、處理及利用流程,分析評估可能發生之風險,並針對該可能發生之風險,採取必要之防範與管控措施,避免個人資料被竊取、竄改、洩漏、毀損、滅失或濫用。


二、 參照本法施行細則第十二條第二項第三款規定。



第九條 經紀業應訂定應變機制,在發生個人資料被竊取、洩漏、竄改或其他侵害事故時,迅速處理以保護當事人之權益。


前項應變機制,應包括下列事項:


一、 採取適當之措施以控制事故對當事人造成損害。


二、 查明事故發生原因及損害狀況,並以適當方式通知當事人。


三、 研議改進措施,避免類似事故再度發生。



一、 本法第十二條規定,非公務機關所持有之個人資料發生被竊取、洩漏、竄改或其他侵害事故者,應查明後以適當方式通知當事人。爰本條規定經紀業在計畫中應訂定應變機制及其必要作為之相關事項,在發生資料外洩等意外事故時,得迅速遵循處理,以保護當事人之權益。


二、 參照本法施行細則第十二條第二項第四款規定。



第十條 經紀業所屬人員所蒐集之個人資料應視為該經紀業者所蒐集持有,於蒐集時應檢視是否符合蒐集要件及特定目的之必要範圍,並接受監督。


前項個人資料有必要上傳直營總公司或加盟總部時,應採取必要保護措施,以防範發生個人資料洩漏事故。



一、 明定經紀業所屬人員與業者間不論是基於何種法律關係,其所蒐集之個人資料均應視為所屬公司或商號所蒐集持有,須納入該業者所訂定計畫之規範,接受監督。


二、 經紀業不論採直營方式或加盟方式經營,均有要求各直營店或加盟店傳輸個人資料之情事。在傳輸個人資料之過程中,應採取必要保護措施。例如:必須事先告知當事人,其個人資料將提供總公司(總部)建檔或處理、利用,於取得當事人之同意後,始得將其個人資料傳輸,並應避免在傳輸過程中發生洩漏事故。


三、 參照本法施行細則第十二條第二項第五款規定。



第十一條 經紀業於蒐集個人資料時應遵守本法第八條及第九條有關告知義務之規定,區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、內容與注意事項,要求所屬人員確實辦理。



一、 為尊重當事人能知曉其個人資料被蒐集、處理及利用之狀況,本法第八條及第九條特規定資料蒐集者有告知義務。爰規定經紀業,應區分個人資料蒐集方式為直接蒐集或間接蒐集,分別訂定告知之方法、內容及相關注意事項,以便所屬人員在辦理業務時能據以執行。


二、 參照本法施行細則第十二條第二項第五款規定。



第十二條 經紀業對於個人資料蒐集、處理及利用須符合本法第十九條及第二十條相關規定,並定期或不定期對於所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。



一、 經紀業應定期對所屬人員施以宣導或訓練講習,以使所屬人員能充分認知個人資料保護相關法令及責任範圍,避免發生違法情事。


二、 參照本法施行細則第十二條第二項第七款規定。



第十三條 經紀業所屬人員利用個人資料行銷時,應明確告知當事人其所屬公司或商業名稱;其屬加盟經營者,除告知加盟品牌名稱外,並需將公司或商業登記之名稱告知。


首次利用個人資料行銷時,應提供當事人免費表示拒絕接受行銷之方式。


利用個人資料進行行銷,當事人表示拒絕接受行銷後,應立即停止利用其個人資料繼續行銷。


前項當事人表示拒絕接受行銷之情形,直營店應通報總公司彙整後再周知所屬各部門;加盟店應通告內部其他業務人員。



一、 為讓當事人知曉對其進行行銷之經紀業者為何,經紀業應規定所屬人員於行銷時,須確實表明業者名稱,其屬加盟經營之業者,並須告知公司登記或商業名稱,以便讓當事人在行使拒絕接受行銷之權利時,知悉拒絕之對象為何,以免在日後追究其違法行銷責任時,發生爭議。


二、 依本法第二十條第三項規定,首次行銷當事人表示拒絕接受時,其意思表示如需費用,應由行銷者負擔,爰規定經紀業應提供當事人免費表示拒絕接受行銷之方式。


三、 本法第二十條第二項明定當事人有拒絕接受行銷之權利,爰規定經紀業應規範所屬人員於利用個人資料進行行銷時,確實遵循上開規定辦理。


四、 當事人明確表示拒絕接受行銷時,經紀業之直營店應將該拒絕情形通報總公司作統一處理,並應有機制通知其他各直營店知悉。採取加盟經營之業者,因彼此法人人格獨立,除經當事人同意外,資源無法共享,因此無法要求將拒絕接受行銷之資訊通知其他加盟業者。惟至少要做到將該拒絕接受行銷之情形,通告店內其他業務人員,以避免發生再度行銷之情事。


五、 參照本法施行細則第十二條第二項第五款規定。



第十四條 中央主管機關依本法第二十一條規定,為限制國際傳輸個人資料之命令或處分時,經紀業應通知所屬人員遵循辦理。



一、 本法第二十一條規定,有符合該條之法定情形者,中央主管機關為限制國際傳輸個人資料之命令或處分時,經紀業自應通知所屬人員知曉並遵照辦理。


二、 參照本法施行細則第十二條第二項第五款規定。



第十五條 經紀業所蒐集之個人資料如需作特定目的外利用,應檢視是否符合本法第二十條第一項但書規定,得為利用之情形。



一、 依本法第二十條第一項規定,個人資料應於蒐集之特定目的必要範圍內利用,但具備一定法定情形者,得為特定目的外之利用,爰規定經紀業如需作特定目的外利用時,應先行檢視是否符合規定。


二、 參照本法施行細則第十二條第二項第五款規定。



第十六條 經紀業為應個人資料當事人行使本法第三條規定之權利時,應採取下列方法為之:


一、 提供聯絡窗口及連絡方式。


二、 確認是否為資料當事人之本人,或經其委託授權。


三、 如認有本法第十條及第十一條得拒絕當事人行使權利之事由,應附理由通知當事人。


四、 告知是否酌收必要成本費用及收費標準,並遵守本法第十三條有關處理期限之規定。



一、 依本法第三條規定,當事人就其個人資料得行使查詢、閱覽、製給複製本、補充或更正、停止蒐集、處理或利用及刪除之權利,且非公務機關除有本法第十條但書及第十一條第二項但書、第三項但書規定之情形,應於本法第十三條規定期間內准駁當事人之請求,爰明定經紀業應採取之方式,以供資料當事人行使權利。


二、 參照本法施行細則第十二條第二項第五款規定。



第十七條 經紀業對所蒐集保管之個人資料檔案,應採取必要適當之安全設備或防護措施。


前項安全設備或防護措施包含下列事項:


一、 紙本資料檔案之安全保護設施。


二、 電子資料檔案存放之電腦或自動化機器相關設備,二配置安全防護系統或加密機制。


三、 電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,應採取適當之銷毀或防範措施,避免洩漏個人資料。



一、 為確保經紀業所保管之個人資料檔案不被竊取、竄改、毀損、滅失或洩漏,業者得視其規模、業務性質、資料儲存之媒介物及其數量等,在安全維護計畫中採取必要且適當之安全設備或防護措施。例如:對紙本資料之保護應採用堅固之保險箱或櫥櫃;電腦設備應設置防火牆及防毒程式、對複製或上傳檔案行為予以管控、制定紙本資料之銷毀程序、電腦或其相關設備需報廢汰換或轉作其他用途時,應確實刪除所存放之個人資料檔案等。


二、 參照本法施行細則第十二條第二項第六款及第八款規定



第十八條 經紀業為確實保護個人資料之安全,應對其所屬人員採取適度管理措施。


前項管理措施應包含下列事項:


一、 依據業務需求適度設定所屬人員不同之權限,以控管其接觸個人資料之情形。


二、 檢視各類業務之性質,規範個人資料蒐集、處理及利用流程。


三、 要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管與保密義務。


四、 所屬人員離職時,應將所持有之個人資料辦理交接,不得在外繼續使用,並應簽訂保密切結書。



一、 經紀業與所屬人員,不論是何種法律關係,業者都必須避免其在資料之保管與處理上發生弊端,導致侵害當事人權益情事,應於安全維護計畫中,採取必要且適當之管理措施。經紀業應根據業務性質,檢視容易發生問題之處,預先予以防範。例如:與業務無關人員不得任意接觸資料、授予必要利用個人資料人員不同等級之權限、所屬人員在個人資料蒐集、處理及利用流程中有無漏洞、約束規範嚴密保管個人資料檔案及所屬人員離職時,所持有之個人資料如何交接與保密切結等事項。


二、 參照本法施行細則第十二條第二項第六款規定。



第十九條 經紀業委託他人蒐集、處理或利用個人資料之全部或一部時,應依本法施行細則第八條規定為適當之監督。


前項之監督,經紀業應與受託者明確約定相關監督事項與方式。



依本法施行細則第八條之規定,委託他人蒐集、處理或利用個人資料時

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 land0827 的頭像
    land0827

    新北市土地利用學會

    land0827 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄

    歷史上的今天
    ▲top

    留言列表 留言列表

    發表留言