運動彩券業個人資料檔案安全維護計畫實施辦法  ( 104 年 09 月 03 日)
第1條
本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之 。

第2條
本辦法之主管機關為教育部。

第3條
運動彩券業應訂定個人資料檔案安全維護計畫(以下簡稱計畫),落實個 人資料檔案之安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失 或洩漏。

前項所稱運動彩券業,指運動彩券發行條例第三條第二款、第三款所定發 行機構及受委託機構。

第一項計畫,應包括運動彩券發行條例第三條第四款所定經銷商所保有個 人資料檔案之安全維護事項;其訂定或修正,應經運動彩券業董事會決議 或經其授權之經理部門核定。

第4條
運動彩券業訂定計畫時,應就其保有個人資料之性質及數量等事項,訂定 適當之安全維護措施。

第5條
運動彩券業應於本辦法發布施行之日起六個月內,完成計畫之訂定,並報 主管機關備查。

第6條
運動彩券業應指定專責人員,負責規劃、訂定、修正、執行計畫及業務終 止後個人資料處理方法等相關事項,並定期向負責人提出報告。

第7條
運動彩券業應確認蒐集個人資料之特定目的,依特定目的之必要性,界定 所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資 料現況。

運動彩券業經定期檢視,發現有非屬特定目的必要範圍內之個人資料或特 定目的消失、期限屆滿而無保存必要者,應予刪除、銷毀或為其他停止蒐 集、處理或利用等適當之處置。

第8條
運動彩券業於蒐集個人資料時,應檢視是否符合前條第一項所定之類別及 範圍。

運動彩券業於傳輸個人資料時,應採取必要保護措施,避免洩漏。

第9條
運動彩券業應依已界定個人資料之範圍與蒐集、處理及利用流程,分析評 估可能發生之風險,訂定適當之管控措施。

第10條
運動彩券業於蒐集個人資料時,應遵守本法第八條及第九條有關告知義務 之規定,並區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、內 容及注意事項,要求所屬人員確實辦理。

第11條
運動彩券業利用個人資料行銷時,應明確告知當事人該運動彩券業之名稱 及個人資料來源。

運動彩券業於首次利用個人資料行銷時,應提供當事人表示拒絕接受行銷 之方式,並支付所需費用;當事人表示拒絕接受行銷者,應立即停止利用 個人資料,並周知所屬人員。

第12條
運動彩券業於當事人行使本法第三條規定之權利時,得採取下列方式辦理 :

一、提供聯絡窗口及聯絡方式。

二、確認是否為資料當事人之本人,或經其委託。

三、有本法第十條但書、第十一條第二項但書或第三項但書得拒絕當事人 行使權利之事由,一併附理由通知當事人。

四、告知是否酌收必要成本費用及其收費基準,並遵守本法第十三條處理 期限規定。

第13條
運動彩券業應訂定應變機制,在發生個人資料被竊取、洩漏、竄改或其他 侵害事件時,迅速處理,以保護當事人之權益。

前項應變機制,應包括下列事項:

一、採取適當之措施,控制事件對當事人造成之損害。

二、查明事件發生原因及損害狀況,並以適當方式通知當事人。

三、研議改進措施,避免事件再度發生。

運動彩券業應自第一項事件發生之日起三日內,通報主管機關;並自處理 結束之日起一個月內,將處理方式及結果,報主管機關備查。

第14條
運動彩券業對所保有之個人資料檔案,應設置必要之安全設備及採取必要 之防護措施。

前項安全設備或防護措施,應包括下列事項:

一、紙本資料檔案之安全保護設施及管理程序。

二、電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統 或加密機制。

三、訂定紙本資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需報 廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資料 。

第15條
運動彩券業為確實保護個人資料之安全,應對其所屬人員採取下列措施:

一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控 管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。

二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負 責人員。

三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義 務。

四、所屬人員離職時取消其識別碼,並應要求將執行業務所持有之個人資 料(包括紙本及儲存媒介物)辦理交接,不得攜離使用,並應簽訂保 密切結書。

第16條
運動彩券業提供電子商務服務系統時,應採取下列資訊安全措施:

一、使用者身分確認及保護機制。

二、個人資料顯示之隱碼機制。

三、網際網路傳輸之安全加密機制。

四、應用系統於開發、上線、維護等各階段軟體驗證及確認程序。

五、個人資料檔案與資料庫之存取控制及保護監控措施。

六、防止外部網路入侵對策。

七、非法或異常使用行為之監控及因應機制。

前項所稱電子商務,指透過網際網路進行有關商品或服務之廣告、行銷、 供應或訂購等各項商業交易活動。

第一項第六款及第七款所定措施,應定期演練及檢討改善。

第17條
運動彩券業應訂定個人資料檔案安全維護查核機制,定期或不定期檢查計 畫之執行情形,並將檢查結果向負責人提出報告。

執行前項查核之人員與第六條指定之專責人員,不得為同一人。

運動彩券業應將第一項查核機制,納入其內部控制及稽核項目中。

第18條
運動彩券業應採行適當措施,留存個人資料使用紀錄、自動化機器設備之 軌跡資料或其他相關之證據資料,以供必要時說明其所定計畫之執行情況 。

第19條
運動彩券業對於個人資料蒐集、處理及利用,應符合本法第十九條及第二 十條規定。

運動彩券業應定期或不定期對其所屬人員施以教育訓練或認知宣導,使其 明瞭個人資料保護相關法令規定、責任範圍、作業程序及應遵守之相關措 施。

第20條
運動彩券業業務終止後,其保有之個人資料,應依下列方式處理並留存紀 錄:

一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。

二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該 項個人資料之合法依據。

三、刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時 間或地點。

前項紀錄應至少留存十年。

第21條
運動彩券業應參酌計畫執行狀況、技術發展、法令依據修正等因素,檢視 所定計畫是否合宜,必要時應予以修正。

第22條
本辦法自發布日施行。