彰化縣政府主管法規共用系統-法規內容-彰化縣政府社會福利業務使用戶政資料電腦檔案管理規定

法規內容

法規名稱：	彰化縣政府社會福利業務使用戶政資料電腦檔案管理規定
公發布日：	民國 112 年 02 月 16 日
發文字號：	府社長青字第1120050801號
法規體系：	社會類

	彰化縣政府（以下簡稱本府）及彰化縣各鄉（鎮、市）公所（以下簡稱各公所）因社會福利業務審查需要使用戶政資料，為落實資訊安全，避免個人資料不當被使用或外洩，並保障個人隱私，特訂定本規定。
	本規定適用之業務如下：（一）審查及發放有關社會福利之業務。（二）法律明定得請戶政單位提供必要資料者。
	本規定適用對象（使用者）如下：（一）本府社會處。（二）各公所。
	本規定所稱「戶政資料電腦檔案」，係指本府基於業務需要向戶政機關轉錄儲存之個人資料電腦檔案。前項資料依法應予保密，除供下列用途外，不得為其他用途，且不得再拷貝或列印供其他用途：（一）本府相關資訊系統介接、資料比對、資料維護、資料分析及資料管理等事項。（二）本府委託公所辦理禮金發放作業、資料維護、資料分析及資料管理等事項。
	戶政資料電腦檔案之使用者，應遵守下列事項（使用者管理）：（一）帳號新增或異動須經申請，申請時應列明戶政資料查詢權限，並由權責主管核可後，交由管理者配賦帳號及查詢權限，且保留紙本申請單。（二）帳號及密碼通知過程應具保密措施，防止被竊視及竊取。（三）管理者及使用者不得使用非本人申請之帳號，帳號不得交接予他人，且不得和他人共用。（四）密碼應規範適當長度及複雜度，系統應要求使用者每半年更改密碼，使用者密碼應妥善保管，避免他人知悉。（五）系統應可限制使用者連續登入密碼失敗的上限次數，需經申請核准後由管理人員解除帳號鎖碼。（六）使用者職務異動時，應於職務異動前辦理帳號異動程序，並於異動前或當日，由管理人員停止原帳號。（七）管理者職務異動時，應於職務異動前辦理帳號異動程序，並於異動前或當日，由承接之新任管理者於承接業務時停止原管理者帳號，並新增新管理者帳號，機關之系統無法變更管理者帳號時，新任管理者應立即變更管理者密碼。（八）受委託機構或廠商如具維護及存取戶政資料權限，視為機關使用者，應列明戶政資料維護及存取權限，並須遵循機關使用者之同等規範。（九）管理者應每半年辦理帳號清查，檢視使用者權限，並廢止重複、閒置、職務調整、離職及退休者帳號。（十）連結機關（本府社會處）申請戶政資訊連結作業單位主管及承辦人異動時，應函知資料提供機關（本府民政處）。
	戶政資料電腦檔案之安全維護規定如下（資料安全管制作業）：（一）檔案傳輸方式批次取得戶政資料及異動資料者，應由專人辦理，並檢核資料完整性。本項業務如由受委託機構或廠商辦理，受委託機構或廠商不得將戶政資料攜出機關辦公場所。（二）取得資料載入系統應用時，應設定使用該資料之存取權限及核准使用期限。欲使用資料者，須經申請核准後始得使用，並應於核准期限內使用及應用於核准業務範圍。（三）資料檔案儲存於可攜式儲存媒體者，應置放於安全場所，應上鎖或管制人員進出。（四）戶政資料不得任意複製，如有複製資料之業務需要，應經申請核准後，始得複製，資料傳送時應採取適當的保密措施。（五）資料檔案或資料庫應記錄並保存資料存取日誌，保存年限為五年，供後續稽核。（六）線上查詢或經由網路取得戶政資料檔，應指定專人或由系統定期清除，以防範資料被不當存取。（七）線上查詢戶政資料完竣後，如可銷毀，紙本文件應銷毀至無法辨識，電子檔如無保留必要性，應即刪除。（八）儲存於電腦設備或系統之資料檔案，使用完竣且確認無保存必要，應簽報單位主管核定後，刪除資料檔案，並確認其資料檔案無法復原。（九）儲存於可攜式媒體之資料檔案，使用完竣且確認無保存必要，應簽報單位主管核定後，辦理銷磁或銷毀作業。（十）每年應檢視已申請核准之戶政資訊連結作業之使用情形，如已無需求者，應函請資料提供機關終止該連結作業。
	定期查核及稽核：（一）本府社會處配合列印查詢紀錄單，供本府民政處稽核人員查核。（二）前款查核結果，應保留三年備查，遇有查詢異常現象，本府民政處會同政風單位及資訊單位共同調查，並作成稽核紀錄。（三）本府社會處應每半年辦理內部稽核工作、轄屬機關(單位)稽核工作及受委託機構或廠商維護及存取戶政資料之稽核工作，所有稽核工作均應作成稽核紀錄，如有線上查詢應抽查比率至少為百分之三，每年抽查筆數不得少於十筆，查詢總筆數少於十筆者，應全數查保留三年備查。對於資料提供機關實施稽核時，應備妥使用者清冊及稽核紀錄及提供相關稽核資料。
	相關法律責任：（一）對於取得資料之處理及利用，違反個人資料保護法（以下簡稱個資法）規定，致當事人權益受損者，由使用單位負完全責任，並應負同法第二十八條之損害賠償責任，與同法第三十一條國家賠償責任。（二）意圖營利或無故洩漏個人資料，或違法及重大不當行為，依法負民事及個資法之刑事責任，並由所屬之主管機關行政議處。（三）機關管理者或單位管理者未善盡管理之責，致未經授權之使用者，或因職務調整、離職或退休等原因已無使用戶政資料權限，而使用戶政資料且不當使用戶政資料，致當事人權益受損者，應由所屬之主管機關議處機關管理者或單位管理者之行政責任。（四）如違反其他法律規定，依其規定追究責任。（五）依個資法第四條規定，受委託機構或廠商視同委託機關，受委託機構或廠商違反個資法規定，致當事人權益受損者，或意圖營利或無故洩漏個人資料，或違法及重大不當行為，依個資法第二十九條規定負損害賠償責任。
	本規定未盡事宜，依各機關應用戶役政資訊連結作業及管理要點、應用戶役政資訊系統安全稽核要點、各機關申請提供戶籍資料及親等關聯資料辦法、個資法與相關法規辦理。

	彰化縣政府（以下簡稱本府）及彰化縣各鄉（鎮、市）公所（以下簡稱各公所）因社會福利業務審查需要使用戶政資料，為落實資訊安全，避免個人資料不當被使用或外洩，並保障個人隱私，特訂定本規定。
	本規定適用之業務如下：（一）審查及發放有關社會福利之業務。（二）法律明定得請戶政單位提供必要資料者。
	本規定適用對象（使用者）如下：（一）本府社會處。（二）各公所。
	本規定所稱「戶政資料電腦檔案」，係指本府基於業務需要向戶政機關轉錄儲存之個人資料電腦檔案。前項資料依法應予保密，除供下列用途外，不得為其他用途，且不得再拷貝或列印供其他用途：（一）本府相關資訊系統介接、資料比對、資料維護、資料分析及資料管理等事項。（二）本府委託公所辦理禮金發放作業、資料維護、資料分析及資料管理等事項。
	戶政資料電腦檔案之使用者，應遵守下列事項（使用者管理）：（一）帳號新增或異動須經申請，申請時應列明戶政資料查詢權限，並由權責主管核可後，交由管理者配賦帳號及查詢權限，且保留紙本申請單。（二）帳號及密碼通知過程應具保密措施，防止被竊視及竊取。（三）管理者及使用者不得使用非本人申請之帳號，帳號不得交接予他人，且不得和他人共用。（四）密碼應規範適當長度及複雜度，系統應要求使用者每半年更改密碼，使用者密碼應妥善保管，避免他人知悉。（五）系統應可限制使用者連續登入密碼失敗的上限次數，需經申請核准後由管理人員解除帳號鎖碼。（六）使用者職務異動時，應於職務異動前辦理帳號異動程序，並於異動前或當日，由管理人員停止原帳號。（七）管理者職務異動時，應於職務異動前辦理帳號異動程序，並於異動前或當日，由承接之新任管理者於承接業務時停止原管理者帳號，並新增新管理者帳號，機關之系統無法變更管理者帳號時，新任管理者應立即變更管理者密碼。（八）受委託機構或廠商如具維護及存取戶政資料權限，視為機關使用者，應列明戶政資料維護及存取權限，並須遵循機關使用者之同等規範。（九）管理者應每半年辦理帳號清查，檢視使用者權限，並廢止重複、閒置、職務調整、離職及退休者帳號。（十）連結機關（本府社會處）申請戶政資訊連結作業單位主管及承辦人異動時，應函知資料提供機關（本府民政處）。
	戶政資料電腦檔案之安全維護規定如下（資料安全管制作業）：（一）檔案傳輸方式批次取得戶政資料及異動資料者，應由專人辦理，並檢核資料完整性。本項業務如由受委託機構或廠商辦理，受委託機構或廠商不得將戶政資料攜出機關辦公場所。（二）取得資料載入系統應用時，應設定使用該資料之存取權限及核准使用期限。欲使用資料者，須經申請核准後始得使用，並應於核准期限內使用及應用於核准業務範圍。（三）資料檔案儲存於可攜式儲存媒體者，應置放於安全場所，應上鎖或管制人員進出。（四）戶政資料不得任意複製，如有複製資料之業務需要，應經申請核准後，始得複製，資料傳送時應採取適當的保密措施。（五）資料檔案或資料庫應記錄並保存資料存取日誌，保存年限為五年，供後續稽核。（六）線上查詢或經由網路取得戶政資料檔，應指定專人或由系統定期清除，以防範資料被不當存取。（七）線上查詢戶政資料完竣後，如可銷毀，紙本文件應銷毀至無法辨識，電子檔如無保留必要性，應即刪除。（八）儲存於電腦設備或系統之資料檔案，使用完竣且確認無保存必要，應簽報單位主管核定後，刪除資料檔案，並確認其資料檔案無法復原。（九）儲存於可攜式媒體之資料檔案，使用完竣且確認無保存必要，應簽報單位主管核定後，辦理銷磁或銷毀作業。（十）每年應檢視已申請核准之戶政資訊連結作業之使用情形，如已無需求者，應函請資料提供機關終止該連結作業。
	定期查核及稽核：（一）本府社會處配合列印查詢紀錄單，供本府民政處稽核人員查核。（二）前款查核結果，應保留三年備查，遇有查詢異常現象，本府民政處會同政風單位及資訊單位共同調查，並作成稽核紀錄。（三）本府社會處應每半年辦理內部稽核工作、轄屬機關(單位)稽核工作及受委託機構或廠商維護及存取戶政資料之稽核工作，所有稽核工作均應作成稽核紀錄，如有線上查詢應抽查比率至少為百分之三，每年抽查筆數不得少於十筆，查詢總筆數少於十筆者，應全數查保留三年備查。對於資料提供機關實施稽核時，應備妥使用者清冊及稽核紀錄及提供相關稽核資料。
	相關法律責任：（一）對於取得資料之處理及利用，違反個人資料保護法（以下簡稱個資法）規定，致當事人權益受損者，由使用單位負完全責任，並應負同法第二十八條之損害賠償責任，與同法第三十一條國家賠償責任。（二）意圖營利或無故洩漏個人資料，或違法及重大不當行為，依法負民事及個資法之刑事責任，並由所屬之主管機關行政議處。（三）機關管理者或單位管理者未善盡管理之責，致未經授權之使用者，或因職務調整、離職或退休等原因已無使用戶政資料權限，而使用戶政資料且不當使用戶政資料，致當事人權益受損者，應由所屬之主管機關議處機關管理者或單位管理者之行政責任。（四）如違反其他法律規定，依其規定追究責任。（五）依個資法第四條規定，受委託機構或廠商視同委託機關，受委託機構或廠商違反個資法規定，致當事人權益受損者，或意圖營利或無故洩漏個人資料，或違法及重大不當行為，依個資法第二十九條規定負損害賠償責任。
	本規定未盡事宜，依各機關應用戶役政資訊連結作業及管理要點、應用戶役政資訊系統安全稽核要點、各機關申請提供戶籍資料及親等關聯資料辦法、個資法與相關法規辦理。