一、為運作個人化資料自主運用（MyData）平臺，打造精準化個人服務，
    經民眾同意後，單次即時提供下載及運用其個人化資料，並保障資訊
    安全及個人隱私權益，特訂定本要點。

二、個人化資料自主運用（MyData）平臺由數位發展部（以下簡稱數位部
    ）建置、運作及管理。

三、本要點用詞，定義如下：
（一）個人化資料自主運用（MyData）平臺（以下簡稱本平臺）：指由數
      位部建置，經自然人或法人（以下簡稱當事人）完成身分驗證及同
      意後，單次即時提供該當事人個人化資料下載及介接應用之平臺。
（二）資料提供者：指符合第四點規定且存放或保有當事人個人化資料之
      組織，並介接本平臺，經當事人於本平臺或本平臺認可之第三方身
      分驗證機關（構）完成身分驗證及同意後，單次即時傳輸提供該個
      人化資料者。
（三）服務提供者：指符合第四點規定且提供當事人加值服務之組織，並
      介接本平臺，經當事人於本平臺或本平臺認可之第三方身分驗證機
      關（構）完成身分驗證及同意後，單次即時取得該當事人個人化資
      料並處理運用，對該當事人提供服務者。

四、下列組織得向數位部申請介接本平臺為資料提供者或服務提供者：
（一）行政院與其所屬機關（構）及所監督之行政法人。
（二）行政院以外之各院與其所屬機關(構)及所監督之行政法人。
（三）直轄市、縣（市）政府與其所屬機關（構）及所監督之行政法人。
（四）大專校院經教育部同意者。
（五）國營事業機構經其主管機關同意者。
（六）金融監督管理委員會（以下簡稱金管會）所轄管之金融機構及周邊
      單位，經該會同意者。
（七）其他非公務機關(構)，參考或依據資通安全管理法與個人資料保護
      法規定，訂定資通安全維護計畫及個人資料檔案安全維護計畫，經
      其中央目的事業主管機關同意者。

五、依前點規定申請介接本平臺者，以逐項服務申請為原則，並依下列規
    定辦理：
（一）介接申請：
      1.前點第一款至第三款機關(構)及行政法人應填具申請表，並函送
        數位部。
      2.前點第四款之大專校院應填具申請表函報教育部，該部同意後，
        應函送數位部；該部不同意者，應逕行回復申請者。
      3.前點第五款國營事業機構應填具申請表函報其主管機關，該主管
        機關同意後，應函送數位部；該主管機關不同意者，應逕行回復
        申請者。
      4.前點第六款之金融機構及周邊單位應填具申請表函報金管會，該
        會同意後，應函送數位部；該會不同意者，應逕行回復申請者。
      5.前點第七款之非公務機關(構)應填具申請表，並檢具參考或依據
        資通安全管理法與個人資料保護法所訂定之資通安全維護計畫及
        個人資料檔案安全維護計畫函報其中央目的事業主管機關，該主
        管機關同意後，應函送數位部；該主管機關不同意者，應逕行回
        復申請者。
      6.依前點第一款至第三款規定申請介接之服務提供者，由數位部審
        核其服務目的及內容、告知當事人服務條款、介接資料等項目。
      7.依前點第四款至第七款規定申請介接之服務提供者，由教育部、
        國營事業機構主管機關、金管會或非公務機關(構)之中央目的事
        業主管機關審核其服務目的及內容、告知當事人服務條款、介接
        資料等項目。
（二）介接異動或終止，應於預定異動或終止七個工作日前，填具申請表
      並依前款程序辦理。
（三）已終止介接者得填具申請表，依第一款程序申請恢復介接。
（四）前三款申請表所需之書表格式，由數位部另行公告於本平臺。
    前項各機關函送數位部之申請表，由數位部通知申請之結果。

六、介接本平臺之組織應依下列規定辦理：
（一）資料提供者：
      1.選擇適當之當事人身分驗證等級，以符合當事人個人化資料使用
        之安全需求。
      2.提供正確之當事人個人化資料。
（二）服務提供者：
      1.對當事人個人化資料之蒐集以最小化為原則，且資料利用方式應
        與蒐集目的相符。
      2.於當事人同意提供其下載之個人化資料前，告知服務條款，以確
        保當事人知情瞭解。
      3.介接本平臺取得之當事人個人化資料，其權利仍歸屬於當事人。
（三）因故須暫停介接本平臺者，除有緊急情況外，應於預定暫停介接七
      個工作日前於該組織之服務平臺公告，並以電子郵件或書面通知本
      平臺公告之。

七、資訊安全管制及查核：
（一）服務提供者就當事人資料之蒐集、處理及利用之流程，應每年辦理
      內部查核工作，作成查核紀錄，且保存至少二年，並應配合數位部
      、教育部、國營事業機構主管機關、金管會或非公務機關(構)之中
      央目的事業主管機關查核。但服務提供者另定有較長保存期限者，
      從其規定。
（二）依第四點第四款至第六款規定申請介接之服務提供者，由教育部、
      國營事業機構主管機關、金管會或前開各該機關認可之第三方機構
      查核其介接本平臺之資訊安全及個人資料保護等相關法令遵循，並
      就查核結果追蹤考核其改善情形。
（三）依第四點第七款規定申請介接之服務提供者，須依其資通安全維護
      計畫與個人資料檔案安全維護計畫實施，並由其中央目的事業主管
      機關及該主管機關認可之第三方機構查核前開計畫實施情形、介接
      本平臺之資訊安全及個人資料保護等相關法令遵循，並就查核結果
      追蹤考核其改善情形。
（四）資料提供者及服務提供者應產製當事人資料傳輸相關紀錄且保存至
      少二年，並應配合數位部、教育部、國營事業機構主管機關、金管
      會或非公務機關(構)之中央目的事業主管機關查核；前開紀錄內容
      應至少包含傳輸資料名稱、傳輸時間、傳輸對象、當事人身分、資
      料傳輸成功與否等。但資料提供者或服務提供者另定有較長保存期
      限者，從其規定。
（五）資料提供者及服務提供者經查核後，有缺失或待改善事項者，應研
      擬改善或配套措施並持續追蹤改善完成。
（六）資料提供者如發生個人化資料錯誤或資訊安全事件等情事，應自行
      負責並依相關法令處理；數位部並得終止其介接服務。
（七）服務提供者如有個人化資料違法利用或發生資訊安全事件等情事，
      應自行負責並依相關法令處理；數位部並得終止其介接服務。

八、資料提供者與服務提供者辦理本平臺介接作業，涉及資訊安全維護及
    個人資料保護等有關事項，應依資通安全管理法、個人資料保護法及
    相關法令規定辦理；大專校院並應符合教育部之相關法令規定；國營
    事業機構並應符合其主管機關之相關法令規定；金管會所轄管之金融
    機構及周邊單位並應符合金管會之相關法令規定；其他非公務機關(
    構)並應符合其中央目的事業主管機關之相關法令規定。

九、違反本要點規定者，數位部得終止其介接服務；該違反規定者並應依
    相關法令規定負其責任。

十、本平臺因法令、技術、市場發展或政府政策等考量，得修改、暫停或
    終止本平臺服務；除有緊急情況外，應於預定修改、暫停或終止服務
    七個工作日前於本平臺公告。