驊宏集團(含本公司及子公司)依據個人資料保護法、個人資料保護法施行細則與本集團個人資料保護相關規定,以及主管機關個人資料檔案安全維護管理辦法等規範,制訂個人資料保護管理政策。
【個資保護政策】
(一)僅於合法、合規前提下蒐集、處理、利用個資
個人資料為本集團為了營運及業務行為所需而蒐集、處理、利用的資訊。本集團僅在合於我國個人資料保護相關法令、主管機關規定的前提下蒐集、處理及利用個人資料。任何違反法令或主管機關規定的活動應立即停止,有違反法令或主管機關規定風險的活動應於風險降低或消除後才得執行。
(二) 尊重隱私原則
所有集團的業務及活動均以保護、尊重客戶的隱私權為最高指導原則,合法及安全的進行個人資料保護是對客戶的權益保障及基本的尊重,任何侵犯客戶隱私的流程與業務方式必須立即改善。公司的業務及活動均須採對於隱私權衝擊最小的方式進行。
(三) 資料安全處理原則
1. 凡客戶資料與營運資訊,必須建立對應的安全處理環境,確保資料的安全後才得進行商業的運行及資料的利用。
2. 資訊系統及作業流程應確保個人資料之正確性,並符合資訊安全要求之機密性、完整性及可用性。
3. 持續維運個人資料安全維護計畫,確保個人資料檔案的安全。
(四)最小蒐集原則
所有對於個人資料的蒐集,均以最小蒐集為原則,非必要的個人資料,不予蒐集。業務流程設計以隱私保護為優先,應考慮不蒐集個資仍得以進行業務的方式,減少對個人資料的蒐集。
(五)去識別化與匿名化
系統設計及流程設計,應考慮盡可能進行資料的去識別化或匿名化處理,以降低資料的風險性。無須識別當事人之個資利用,應將個資去識別化。
(六) 最小保存原則
個人資料的留存,應訂定其保留之期限,超過法定或業務目的保存期限的個人資料,均應以去識別方式保存或予以刪除。
(七)資料存取管控原則
系統設計及服務流程設計,均需建立並留存足夠的資料存取的紀錄,確保對於資料利用的可歸責性,以及建立對於資料利用的監督與管理。 資料庫等大量資料存放設備,於接受其他系統介接時,開通前應審查該系統的資料使用目的、範圍及資料管控能力,確保符合本資料管控原則。
【適用範圍】
本集團個人資料保護政策適用於管理或使用本集團個人資料之所有人員,包括員工、委外人員、客戶及供應商、以及其他因本公司營運或合作關係得以接觸本公司個人資料或相關系統之人員。
【114年度實施情形】
針對個人資料安全之保護與管理,本公司114年度相關推動與實施成果如下:
一、114.04 針對各部門個資管理人員及高階主管進行「個人資料行為盤點暨風險評鑑」實體及線上教育訓練
二、114.05完成各部門個人資料使用行為盤點,依據盤點結果進行風險評估,據以訂定後續安全維護計畫
三、114.07.31訂定本集團「個人資料檔案安全維護計畫」並正式公告實施。
四、設置「個人資料保護及管理推動小組」,組織與執掌如下:
.png)
※ 核准、訂定及修正個人資料保護管理政策
※ 核准、訂定及修正個人資料檔案安全維護計畫及業務終止後個人資料處理方法
※ 依據個人資料保護管理政策執行安全維護。
※ 依據功能分組執掌進行個人資料保護管理業務
