| 一、 |
彰化縣政府(以下簡稱本府)為規範本府社會處使用電子化政府服務平臺勞動部勞工保險局電子查驗服務系統(以下簡稱勞保WebIR),並確保妥適應用勞動部勞工保險局資料(以下簡稱勞保局資料),落實資訊安全,避免個人資料不當使用或外洩,以保障民眾個人隱私,特訂定本規定。 |
| 二、 |
勞保局資料之查詢法令依據及使用機關與業務應用範圍如下:依身心障礙者權益保障法第七十一之一條及身心障礙者參加社會保險保險費補助辦法第九條規定,供本府社會處辦理身心障礙者參加社會保險不列入媒體交換保險費補助。 |
| 三、 |
索取勞保局資料以取得最小化個人資料即能達成目的為原則,僅針對彰化縣身心障礙者參加社會保險不列入媒體交換者,索取勞保被保險人各月份自付額資料,禁止過度蒐集個人資料。 |
| 四、 |
使用人員之申請、異動程序及管理如下:
(一)管理者及使用者須具我的E政府公務機關會員帳號,並上傳其自然人憑證。
(二)本府社會處設管理者一名,負責勞保WebIR權限申請之受(管)理、資料安全維護及稽核作業,並接受資安教育訓練;管理者如有業務調動、離職情事,應填電子查驗(WebIR)機關管理者異動申請表(附表1),並報請電子化政府服務平臺處理,且新任管理者應保留旨揭異動申請表五年。
(三)管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日,由新任管理者承接業務新增其管理者帳號後,停止原管理者帳號。
(四)管理者職務異動時,應將所負責保管之相關使用者名冊及稽核紀錄文件資料列冊移交新管理者。
(五)使用者為本府社會處同仁數名,僅供辦理身心障礙者參加社會保險不列入媒體交換保險費補助業務,使用者新增或異動時,應填寫勞保WebIR使用者權限異動申請表(附表2),經所屬主管核可後,向管理者提出申請,經核准後設定權限;管理者應保留使用者權限異動申請表至少五年,以供稽核使用。
(六)使用者職務異動時,應於職務異動前辦理帳號異動程序,並於異動前或當日,由管理者調整權限、註銷原帳號。
(七)管理者及使用者應以本人之自然人憑證登入系統,不使用密碼登入系統,並對其自然人憑證及PIN碼負有保管及保密之責,不得使用非本人申請之帳號、帳號不得外借供他人使用或禁止洩露他人帳號。
(八)機關聯繫窗口、管理者及單位主管異動時,應於異動翌日起七日內通知勞動部勞工保險局。 |
| 五、 |
使用者查詢勞保局資料管制措施如下:
(一)使用者查詢勞保局資料時,應先填寫彰化縣政府使用勞動部勞工保險局電子查驗服務系統查調資料登記表(附表3),經所屬主管核可後始得查詢,並保留五年以供查核。
(二)使用者對經授權取得勞保局資料負有保密責任,僅供原申請目的使用,不得任意影印或複製,並應防止勞保局資料外洩;其所屬主管應負監督之責。
(三)查詢作業完畢或暫時離開座位時,應即關閉系統或鎖定電腦,防止他人未經授權使用電腦取得勞保局資料。
(四)查詢之勞保局資料應避免非業務權責人閱覽、擷取及破壞,並不得以電話、網路及傳真等方式輸送勞保局資料於非業務相關人員。
(五)查詢勞保資料皆以紙本列印資料,不另下載電子檔,如有附卷必要應併案歸檔,無附卷需求且確認無保存必要(查調日翌日起一年後),應於一個月內銷毀,銷毀應至無法辨識。
(六)每次查詢勞保資料完竣後,應自行列印查詢紀錄資料,至少保留五年以供查核。
|
| 六、 |
安全維護事項如下:
(一)管理者應每年辦理帳號權限清查並建立使用者名冊,檢視使用者權限,如重複、長期閒置、職務調整、離職之帳號,應即時報請調整、註銷該權限帳號,並留存清查紀錄,至少保留五年以供查核。
(二)管理者應每年辦理勞保局資料保存及銷毀查核,防止資料被竊取或洩漏並作成查核紀錄,至少保留五年以供查核。
|
| 七、 |
勞保局資料(勞保被保險人各月份自付額資料)之使用期限至本規定第二點相關法令依據廢止為止。
|
| 八、 |
稽核制度如下:
(一)管理者每半年抽查百分之十案件進行查核,抽查案件至多一百件、至少三十件,總數少於三十件應全數查核。
(二)前款查核結果,應作成查核紀錄,並保存至少五年,如查核結果有重大異常情形,應由管理者會同政風單位及資訊單位共同稽核,且作成稽核報告,並保存至少五年。
(三)管理者每年應辦理資料安全稽核工作,作成稽核紀錄,並保存至少五年。
(四)配合勞動部勞工保險局書面或實地稽核措施。
|
| 九、 |
本府已導入資訊安全管理系統(ISMS),並取得ISO27001證書。 |
| 十、 |
索取資料之單位人員(管理者、使用者)、單位主管或其他相關人員違反法令規定時,應負行政、民事及刑事責任,包括:
(一)機關違反個人資料保護法(下簡稱個資法)規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限(個資法第二十八條第一項參照)。
(二)依個資法第二十八條、第三十一條及國家賠償法規定,負損害賠償責任。被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分(個資法第二十八條第二項參照)。
(三)意圖為自己或第三人不法之利益或損害他人之利益,違反特種個資 (個資法第六條參照)、特定目的、特定情形(個資法第十五條參照)、目的外利用(個資法第十六條參照)或對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,依個資法第四十一條、第四十二條負刑事責任。
(四)公務員假借職務上之權力、機會或方法犯之者,加重其刑至二分之一(個資法第四十四條參照)。如有違反其他法律規定,並依規定追究責任。
(五)涉及違反法令者,應由所屬機關議處;其相關管理人員未盡善良管理人注意義務之責,亦同。
|
| 十一、 |
索取勞保局資料如發生個人資料安全事故、或疑似事故時,應依相關法令採取必要之緊急應變措施,如事故調查、責任釐清及避免損害擴大之防免措施。另應即時通報勞動部勞工保險局並提供前開相關資料。
|