一、為運作個人化資料自主運用(MyData)平臺,打造精準化個人服務,
經民眾同意後,單次即時提供下載及運用其個人化資料,並保障資訊
安全及個人隱私權益,特訂定本要點。
二、個人化資料自主運用(MyData)平臺由數位發展部(以下簡稱數位部
)建置、運作及管理。
三、本要點用詞,定義如下:
(一)個人化資料自主運用(MyData)平臺(以下簡稱本平臺):指由數
位部建置,經自然人或法人(以下簡稱當事人)完成身分驗證及同
意後,單次即時提供該當事人個人化資料下載及介接應用之平臺。
(二)資料提供者:指符合第四點規定且存放或保有當事人個人化資料之
組織,並介接本平臺,經當事人於本平臺或本平臺認可之第三方身
分驗證機關(構)完成身分驗證及同意後,單次即時傳輸提供該個
人化資料者。
(三)服務提供者:指符合第四點規定且提供當事人加值服務之組織,並
介接本平臺,經當事人於本平臺或本平臺認可之第三方身分驗證機
關(構)完成身分驗證及同意後,單次即時取得該當事人個人化資
料並處理運用,對該當事人提供服務者。
四、下列組織得向數位部申請介接本平臺為資料提供者或服務提供者:
(一)行政院與其所屬機關(構)及所監督之行政法人。
(二)行政院以外之各院與其所屬機關(構)及所監督之行政法人。
(三)直轄市、縣(市)政府與其所屬機關(構)及所監督之行政法人。
(四)大專校院經教育部同意者。
(五)國營事業機構經其主管機關同意者。
(六)金融監督管理委員會(以下簡稱金管會)所轄管之金融機構及周邊
單位,經該會同意者。
(七)其他非公務機關(構),參考或依據資通安全管理法與個人資料保護
法規定,訂定資通安全維護計畫及個人資料檔案安全維護計畫,經
其中央目的事業主管機關同意者。
五、依前點規定申請介接本平臺者,以逐項服務申請為原則,並依下列規
定辦理:
(一)介接申請:
1.前點第一款至第三款機關(構)及行政法人應填具申請表,並函送
數位部。
2.前點第四款之大專校院應填具申請表函報教育部,該部同意後,
應函送數位部;該部不同意者,應逕行回復申請者。
3.前點第五款國營事業機構應填具申請表函報其主管機關,該主管
機關同意後,應函送數位部;該主管機關不同意者,應逕行回復
申請者。
4.前點第六款之金融機構及周邊單位應填具申請表函報金管會,該
會同意後,應函送數位部;該會不同意者,應逕行回復申請者。
5.前點第七款之非公務機關(構)應填具申請表,並檢具參考或依據
資通安全管理法與個人資料保護法所訂定之資通安全維護計畫及
個人資料檔案安全維護計畫函報其中央目的事業主管機關,該主
管機關同意後,應函送數位部;該主管機關不同意者,應逕行回
復申請者。
6.依前點第一款至第三款規定申請介接之服務提供者,由數位部審
核其服務目的及內容、告知當事人服務條款、介接資料等項目。
7.依前點第四款至第七款規定申請介接之服務提供者,由教育部、
國營事業機構主管機關、金管會或非公務機關(構)之中央目的事
業主管機關審核其服務目的及內容、告知當事人服務條款、介接
資料等項目。
(二)介接異動或終止,應於預定異動或終止七個工作日前,填具申請表
並依前款程序辦理。
(三)已終止介接者得填具申請表,依第一款程序申請恢復介接。
(四)前三款申請表所需之書表格式,由數位部另行公告於本平臺。
前項各機關函送數位部之申請表,由數位部通知申請之結果。
六、介接本平臺之組織應依下列規定辦理:
(一)資料提供者:
1.選擇適當之當事人身分驗證等級,以符合當事人個人化資料使用
之安全需求。
2.提供正確之當事人個人化資料。
(二)服務提供者:
1.對當事人個人化資料之蒐集以最小化為原則,且資料利用方式應
與蒐集目的相符。
2.於當事人同意提供其下載之個人化資料前,告知服務條款,以確
保當事人知情瞭解。
3.介接本平臺取得之當事人個人化資料,其權利仍歸屬於當事人。
(三)因故須暫停介接本平臺者,除有緊急情況外,應於預定暫停介接七
個工作日前於該組織之服務平臺公告,並以電子郵件或書面通知本
平臺公告之。
七、資訊安全管制及查核:
(一)服務提供者就當事人資料之蒐集、處理及利用之流程,應每年辦理
內部查核工作,作成查核紀錄,且保存至少二年,並應配合數位部
、教育部、國營事業機構主管機關、金管會或非公務機關(構)之中
央目的事業主管機關查核。但服務提供者另定有較長保存期限者,
從其規定。
(二)依第四點第四款至第六款規定申請介接之服務提供者,由教育部、
國營事業機構主管機關、金管會或前開各該機關認可之第三方機構
查核其介接本平臺之資訊安全及個人資料保護等相關法令遵循,並
就查核結果追蹤考核其改善情形。
(三)依第四點第七款規定申請介接之服務提供者,須依其資通安全維護
計畫與個人資料檔案安全維護計畫實施,並由其中央目的事業主管
機關及該主管機關認可之第三方機構查核前開計畫實施情形、介接
本平臺之資訊安全及個人資料保護等相關法令遵循,並就查核結果
追蹤考核其改善情形。
(四)資料提供者及服務提供者應產製當事人資料傳輸相關紀錄且保存至
少二年,並應配合數位部、教育部、國營事業機構主管機關、金管
會或非公務機關(構)之中央目的事業主管機關查核;前開紀錄內容
應至少包含傳輸資料名稱、傳輸時間、傳輸對象、當事人身分、資
料傳輸成功與否等。但資料提供者或服務提供者另定有較長保存期
限者,從其規定。
(五)資料提供者及服務提供者經查核後,有缺失或待改善事項者,應研
擬改善或配套措施並持續追蹤改善完成。
(六)資料提供者如發生個人化資料錯誤或資訊安全事件等情事,應自行
負責並依相關法令處理;數位部並得終止其介接服務。
(七)服務提供者如有個人化資料違法利用或發生資訊安全事件等情事,
應自行負責並依相關法令處理;數位部並得終止其介接服務。
八、資料提供者與服務提供者辦理本平臺介接作業,涉及資訊安全維護及
個人資料保護等有關事項,應依資通安全管理法、個人資料保護法及
相關法令規定辦理;大專校院並應符合教育部之相關法令規定;國營
事業機構並應符合其主管機關之相關法令規定;金管會所轄管之金融
機構及周邊單位並應符合金管會之相關法令規定;其他非公務機關(
構)並應符合其中央目的事業主管機關之相關法令規定。
九、違反本要點規定者,數位部得終止其介接服務;該違反規定者並應依
相關法令規定負其責任。
十、本平臺因法令、技術、市場發展或政府政策等考量,得修改、暫停或
終止本平臺服務;除有緊急情況外,應於預定修改、暫停或終止服務
七個工作日前於本平臺公告。