您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

數位發展部主管法規共用系統

列印時間:113.10.09 15:51

法規內容

法規名稱: 個人化資料自主運用平臺介接作業要點
公發布日: 民國 110 年 04 月 15 日
修正日期: 民國 112 年 06 月 01 日
發文字號: 院授數多元字第11230007161號 令
法規體系: 多元創新目
立法理由:
圖表附件:
法規功能按鈕區
一、為運作個人化資料自主運用(MyData)平臺,打造精準化個人服務,
    經民眾同意後,單次即時提供下載及運用其個人化資料,並保障資訊
    安全及個人隱私權益,特訂定本要點。

二、個人化資料自主運用(MyData)平臺由數位發展部(以下簡稱數位部
    )建置、運作及管理。

三、本要點用詞,定義如下:
(一)個人化資料自主運用(MyData)平臺(以下簡稱本平臺):指由數
      位部建置,經自然人或法人(以下簡稱當事人)完成身分驗證及同
      意後,單次即時提供該當事人個人化資料下載及介接應用之平臺。
(二)資料提供者:指符合第四點規定且存放或保有當事人個人化資料之
      組織,並介接本平臺,經當事人於本平臺或本平臺認可之第三方身
      分驗證機關(構)完成身分驗證及同意後,單次即時傳輸提供該個
      人化資料者。
(三)服務提供者:指符合第四點規定且提供當事人加值服務之組織,並
      介接本平臺,經當事人於本平臺或本平臺認可之第三方身分驗證機
      關(構)完成身分驗證及同意後,單次即時取得該當事人個人化資
      料並處理運用,對該當事人提供服務者。

四、下列組織得向數位部申請介接本平臺為資料提供者或服務提供者:
(一)行政院與其所屬機關(構)及所監督之行政法人。
(二)行政院以外之各院與其所屬機關(構)及所監督之行政法人。
(三)直轄市、縣(市)政府與其所屬機關(構)及所監督之行政法人。
(四)大專校院經教育部同意者。
(五)國營事業機構經其主管機關同意者。
(六)金融監督管理委員會(以下簡稱金管會)所轄管之金融機構及周邊
      單位,經該會同意者。
(七)其他非公務機關(構),參考或依據資通安全管理法與個人資料保護
      法規定,訂定資通安全維護計畫及個人資料檔案安全維護計畫,經
      其中央目的事業主管機關同意者。

五、依前點規定申請介接本平臺者,以逐項服務申請為原則,並依下列規
    定辦理:
(一)介接申請:
      1.前點第一款至第三款機關(構)及行政法人應填具申請表,並函送
        數位部。
      2.前點第四款之大專校院應填具申請表函報教育部,該部同意後,
        應函送數位部;該部不同意者,應逕行回復申請者。
      3.前點第五款國營事業機構應填具申請表函報其主管機關,該主管
        機關同意後,應函送數位部;該主管機關不同意者,應逕行回復
        申請者。
      4.前點第六款之金融機構及周邊單位應填具申請表函報金管會,該
        會同意後,應函送數位部;該會不同意者,應逕行回復申請者。
      5.前點第七款之非公務機關(構)應填具申請表,並檢具參考或依據
        資通安全管理法與個人資料保護法所訂定之資通安全維護計畫及
        個人資料檔案安全維護計畫函報其中央目的事業主管機關,該主
        管機關同意後,應函送數位部;該主管機關不同意者,應逕行回
        復申請者。
      6.依前點第一款至第三款規定申請介接之服務提供者,由數位部審
        核其服務目的及內容、告知當事人服務條款、介接資料等項目。
      7.依前點第四款至第七款規定申請介接之服務提供者,由教育部、
        國營事業機構主管機關、金管會或非公務機關(構)之中央目的事
        業主管機關審核其服務目的及內容、告知當事人服務條款、介接
        資料等項目。
(二)介接異動或終止,應於預定異動或終止七個工作日前,填具申請表
      並依前款程序辦理。
(三)已終止介接者得填具申請表,依第一款程序申請恢復介接。
(四)前三款申請表所需之書表格式,由數位部另行公告於本平臺。
    前項各機關函送數位部之申請表,由數位部通知申請之結果。

六、介接本平臺之組織應依下列規定辦理:
(一)資料提供者:
      1.選擇適當之當事人身分驗證等級,以符合當事人個人化資料使用
        之安全需求。
      2.提供正確之當事人個人化資料。
(二)服務提供者:
      1.對當事人個人化資料之蒐集以最小化為原則,且資料利用方式應
        與蒐集目的相符。
      2.於當事人同意提供其下載之個人化資料前,告知服務條款,以確
        保當事人知情瞭解。
      3.介接本平臺取得之當事人個人化資料,其權利仍歸屬於當事人。
(三)因故須暫停介接本平臺者,除有緊急情況外,應於預定暫停介接七
      個工作日前於該組織之服務平臺公告,並以電子郵件或書面通知本
      平臺公告之。

七、資訊安全管制及查核:
(一)服務提供者就當事人資料之蒐集、處理及利用之流程,應每年辦理
      內部查核工作,作成查核紀錄,且保存至少二年,並應配合數位部
      、教育部、國營事業機構主管機關、金管會或非公務機關(構)之中
      央目的事業主管機關查核。但服務提供者另定有較長保存期限者,
      從其規定。
(二)依第四點第四款至第六款規定申請介接之服務提供者,由教育部、
      國營事業機構主管機關、金管會或前開各該機關認可之第三方機構
      查核其介接本平臺之資訊安全及個人資料保護等相關法令遵循,並
      就查核結果追蹤考核其改善情形。
(三)依第四點第七款規定申請介接之服務提供者,須依其資通安全維護
      計畫與個人資料檔案安全維護計畫實施,並由其中央目的事業主管
      機關及該主管機關認可之第三方機構查核前開計畫實施情形、介接
      本平臺之資訊安全及個人資料保護等相關法令遵循,並就查核結果
      追蹤考核其改善情形。
(四)資料提供者及服務提供者應產製當事人資料傳輸相關紀錄且保存至
      少二年,並應配合數位部、教育部、國營事業機構主管機關、金管
      會或非公務機關(構)之中央目的事業主管機關查核;前開紀錄內容
      應至少包含傳輸資料名稱、傳輸時間、傳輸對象、當事人身分、資
      料傳輸成功與否等。但資料提供者或服務提供者另定有較長保存期
      限者,從其規定。
(五)資料提供者及服務提供者經查核後,有缺失或待改善事項者,應研
      擬改善或配套措施並持續追蹤改善完成。
(六)資料提供者如發生個人化資料錯誤或資訊安全事件等情事,應自行
      負責並依相關法令處理;數位部並得終止其介接服務。
(七)服務提供者如有個人化資料違法利用或發生資訊安全事件等情事,
      應自行負責並依相關法令處理;數位部並得終止其介接服務。

八、資料提供者與服務提供者辦理本平臺介接作業,涉及資訊安全維護及
    個人資料保護等有關事項,應依資通安全管理法、個人資料保護法及
    相關法令規定辦理;大專校院並應符合教育部之相關法令規定;國營
    事業機構並應符合其主管機關之相關法令規定;金管會所轄管之金融
    機構及周邊單位並應符合金管會之相關法令規定;其他非公務機關(
    構)並應符合其中央目的事業主管機關之相關法令規定。

九、違反本要點規定者,數位部得終止其介接服務;該違反規定者並應依
    相關法令規定負其責任。

十、本平臺因法令、技術、市場發展或政府政策等考量,得修改、暫停或
    終止本平臺服務;除有緊急情況外,應於預定修改、暫停或終止服務
    七個工作日前於本平臺公告。
資料來源:數位發展部主管法規共用系統