申論題模擬─資訊安全防護技術（2024-01-28）

 申論題模擬─資訊安全防護技術（2024-01-28）

一、何謂程式碼靜態分析？

二、何謂程式碼動態分析？

三、名詞解釋：(1)反組譯(2)反編譯（3)高階程式語言（4)組合語言

申論題模擬─資訊安全管理（2024-01-26）

  申論題模擬─資訊安全管理（2024-01-26）

一、試論數位身份證與區塊鏈應如何結合，可以保障個資安全

二、數位皮夾應何吸引能接受創新的民眾使用

三、試論區塊鏈的特性，並說明如何使用python設計區塊鏈

手機就是證件數位部規劃明年推數位皮夾 Digital Wallet

作者 邱 倢芯 | 發布日期 2024 年 01 月 22 日 15:13 | 分類 區塊鏈 Blockchain , 科技政策 , 科技生活line share分享follow us in feedlyline share

 

許多手機大廠都已推行數位皮夾功能，像是蘋果的 Apple Wallet、三星的 Samsung Wallet，以及 Google 錢包等應用程式，除了可管理用戶的信用卡外，在部分國家也已開放新增身分證、學生證等證件。而現在數位發展部也有意要推動數位皮夾功能，但可能不與蘋果、Google 等大廠合作，而是會直接對外招標，發展屬於台灣的數位皮夾，最快今年底將會推出測試版。

 

數位部將此一功能敘述為「台灣的數位皮夾」，且認為「身分做為一種數位公共基礎建設」。數位部指出，該部會於去年 1 月就以機關名義加入了 W3C。做為 W3C 會員，從去年開始，數位部也開始在分散式身分上進行研究與初步驗證，並提出「數位皮夾」的概念。

 

而數位皮夾是數位部「數位創新關鍵基礎建設計畫」的一環。其主要目的是打造一個符合現代數位人權精神，用於日常數位生活的分散式身分系統，核心的兩項功能為認證（AuthN）與授權（AuthZ）。這個計畫不發行集中式的數位國民身分，而是藉由各界（事業、機關、團體及自然人）所發行的各式證件，來建構國人日常的事實身分（de facto identity），完成所須的基本數位身分服務，達到「個人身分自主，資料授權自決」目的。

 

據了解，數位部預計將在今年底前先完成數位皮夾的操作雛形，且測試通過後，將可能會與內政部合作，將行動自然人憑證整合於其中，未來也有計畫開放實體自然人憑證綁定。會有這樣的構想，是因為目前部分政府系統支援實體自然人憑證，但受限於限制僅能支援 Windows 系統，蘋果 macOS 因沒有驅動程式而無法使用實體自然人憑證，假若未來開放將實體自然人憑證整合至數位部所開發的數位皮夾中，即可解決此一問題。

 

但任何身份證件數位化，最讓大眾擔心的必定是個資問題。數位部也指出，未來數位皮夾的「分散式身分識別符標準」運用區塊鏈技術加密且去中心化的特性，讓數位身分的發行者與驗證者不用依賴於一個集中式、掌握在特定組織或人之下的註冊表，便可以驗證一個人或一個物件的身分。只要使用者之間基於共通的標準，彼此互相承認對方所使用的方法（method）、描述資訊與解析過程，便可以將數位身分進行流通。

 

不僅是數位部有一樣的想法，歐盟的歐洲身分自主權框架（eSSIF）也是潛在應用了區塊鏈科技、分散式身分（DID），且符合歐盟電子身分識別（eIDAS）架構，而第二代歐盟電子身分識別（eIDAS2.0），也加入了歐盟數位身分皮夾（EU Digital Identity Wallet）的概念，整合歐盟各國公私部門的身分憑證。

 

數位部指出，數位皮夾未來將會是一個操作介面，透過應用程式或網頁服務，讓使用者可以認證其任一身分。在取得認證身分後，使用者可以自行決定是否開啟這些身分的授權功能，應用於外連服務，如政府簽章、企業活動或一般娛樂目的。

 

申論題模擬─資訊安全防護技術（2024-01-26）

 申論題模擬─資訊安全防護技術（2024-01-26）

參考文章：https://money.udn.com/money/amp/story/5648/7733710

一、何謂資料遮罩

二、名詞解釋：請解釋加密與雜湊

三、請表列說明常見的加密技術

四、請說明對稱式加密與非對稱式加密，並各舉二個例子

申論題模擬─資訊安全防護技術（2024-01-24）

申論題模擬─資訊安全防護技術（2024-01-24）

一、OWASP top 10 2023，是業界公認的防護漏洞威脅度指標，請就下列Web Application Security Risks ，說明那些是新增的威脅，並概要介紹。

二、請任選三項威脅，說明其攻擊意涵，並說明如何防護

https://owasp.org/www-project-top-ten/

Companies should adopt this document and start the process of ensuring that their web applications minimize these risks. Using the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces more secure code.

Top 10 Web Application Security Risks

There are three new categories, four categories with naming and scoping changes, and some consolidation in the Top 10 for 2021.

• A01:2021-Broken Access Control moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 Common Weakness Enumerations (CWEs) mapped to Broken Access Control had more occurrences in applications than any other category.
• A02:2021-Cryptographic Failures shifts up one position to #2, previously known as Sensitive Data Exposure, which was broad symptom rather than a root cause. The renewed focus here is on failures related to cryptography which often leads to sensitive data exposure or system compromise.
• A03:2021-Injection slides down to the third position. 94% of the applications were tested for some form of injection, and the 33 CWEs mapped into this category have the second most occurrences in applications. Cross-site Scripting is now part of this category in this edition.
• A04:2021-Insecure Design is a new category for 2021, with a focus on risks related to design flaws. If we genuinely want to “move left” as an industry, it calls for more use of threat modeling, secure design patterns and principles, and reference architectures.
• A05:2021-Security Misconfiguration moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Entities (XXE) is now part of this category.
• A06:2021-Vulnerable and Outdated Components was previously titled Using Components with Known Vulnerabilities and is #2 in the Top 10 community survey, but also had enough data to make the Top 10 via data analysis. This category moves up from #9 in 2017 and is a known issue that we struggle to test and assess risk. It is the only category not to have any Common Vulnerability and Exposures (CVEs) mapped to the included CWEs, so a default exploit and impact weights of 5.0 are factored into their scores.
• A07:2021-Identification and Authentication Failures was previously Broken Authentication and is sliding down from the second position, and now includes CWEs that are more related to identification failures. This category is still an integral part of the Top 10, but the increased availability of standardized frameworks seems to be helping.
• A08:2021-Software and Data Integrity Failures is a new category for 2021, focusing on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. One of the highest weighted impacts from Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) data mapped to the 10 CWEs in this category. Insecure Deserialization from 2017 is now a part of this larger category.
• A09:2021-Security Logging and Monitoring Failures was previously Insufficient Logging & Monitoring and is added from the industry survey (#3), moving up from #10 previously. This category is expanded to include more types of failures, is challenging to test for, and isn’t well represented in the CVE/CVSS data. However, failures in this category can directly impact visibility, incident alerting, and forensics.
• A10:2021-Server-Side Request Forgery is added from the Top 10 community survey (#1). The data shows a relatively low incidence rate with above average testing coverage, along with above-average ratings for Exploit and Impact potential. This category represents the scenario where the security community members are telling us this is important, even though it’s not illustrated in the data at this time.

申論題模擬─資訊安全法令與規範（2024-01-24）

 申論題模擬─資訊安全法令與規範（2024-01-24）

一、試說明ISO27001：2022轉版，和2013年版相比，有那些重要差異？

二、適用性聲明書是用來界定組織彊界，而在零信任架構下，會產生什麼問題，資安人員如何因應

三、風險評估階段，企業對於風險的選擇，有那些（Hint：保留、移轉etc）

申論題模擬─資訊安全管理（2024-01-23）

 申論題模擬─資訊安全管理20240123

1. 雲端安全挑戰： 如何確保企業能夠在2024年做好萬全準備，以應對雲端安全挑戰，特別是針對雲端組態設定錯誤可能帶來的攻擊？
2. AI生成的社交工程詐騙： 在生成式AI的應用快速發展的情況下，企業應該如何應對更多精密的社交工程詐騙，以保護用戶和組織的資訊安全？
3. 資料下毒手法： 在2024年，企業應該如何加強對機器學習模型訓練資料的保護，以防止資料下毒手法對企業營運造成潛在災難性後果？
4. CI/CD軟體供應鏈攻擊： 鑑於軟體供應鏈成為駭客目標的趨勢，開發人員應該如何小心謹慎地管理第三方程式碼，以確保CI/CD流程的安全性和永續性？
5. 區塊鏈勒索： 對於可能在2024年興起的基於區塊鏈的勒索行動，企業應該採取什麼樣的防禦措施，以保護其資產和數據安全？
6. 數位轉型與安全挑戰： 隨著數位轉型浪潮的興起，企業應該如何平衡引領新興技術整合的同時，確保安全措施跟上技術發展的步伐？
7. AI應用的社會風險： 在生成式AI的應用不斷擴大的情況下，社會應該如何應對更多精密的社交工程詐騙所帶來的風險，並保護個人隱私？
8. 機器學習模型的資安風險： 在企業推進機器學習模型的應用時，應該如何預防和應對可能的資料下毒手法，以確保模型的正確性和可信度？
9. 軟體供應鏈管理： 鑑於軟體供應鏈可能受到攻擊，企業應該在CI/CD流程中加強哪些管理措施，以減少第三方程式碼帶來的風險？
10. 私有區塊鏈的安全性： 對於私有區塊鏈可能成為駭客目標的情況，企業應該如何加強私有區塊鏈的安全性，以防止勒索和其他攻擊行動？

參考文章：

https://www.trendmicro.com/zh_tw/research/23/l/forward-momentum--key-learnings-from-trend-micro-s-security-pred.html

申論題模擬─資訊安全概論（2024-1-23）

 查詢網域名稱與IP位置對應的通訊協定為：

（1）TCP

（2）UDP

（3）DNS

（4）SMTP

答案3

延伸閱讀：

請查詢本題中各個通訊協定的意義，並整理常用的通訊協定

ARP通訊協定和DNS通訊協定的異同點為何

全台首次駭客竊資料後挾持半導體大廠京鼎網站

 全台首次駭客竊資料後挾持半導體大廠京鼎網站

2024-01-16 14:53 聯合報／ 記者

馬瑞璿

／台北即時報導

 

鴻海集團旗下半導體設備大廠京鼎遭駭客入侵，不只如此，駭客集團更直接在網站上威脅京鼎客戶與員工，如果京鼎置之不理，客戶資料將會被公開，員工也將因此失去工作。駭客集團駭進上市櫃公司竊取資料時有所聞，但是，第一次有駭客集團在竊取資料之後，直接挾持上市櫃公司網站，召告天下該公司內部資料被竊，這是全台灣第一次。

 

京鼎是鴻海集團旗下子公司，主要經營半導體前段製程設備關鍵模組、半導體自動化設備研發，是台灣重要的半導體上市櫃公司。

 

然而，今日竹科園區企業議論紛紛，因為他們今日進入京鼎公司網站時，赫然發現京鼎網站已然被駭客集團挾持，而且駭客還直接在網頁上留下兩大段訊息，第一段訊息是告知客戶，駭客集團已拿下京鼎的客戶資料，如果京鼎不付錢，那麼，客戶的所有個人資料都將被公開在網路上，第二段訊息則是告知員工，如果京鼎管理階層不與駭客集團聯繫，那麼，駭客將會摧毀京鼎所有的資料，而且這些資料將不能恢復，這恐怕會讓員工失去工作。

 

台灣過去已有許多上市櫃企業遭駭客入侵，大部分企業選擇私下解決，並未對外公開，但也有些企業選擇置之不理，任由駭客將客戶資訊免費公開在暗網，造成許多企業或者個人客戶資訊外流。

 

針對已被勒索軟體攻擊成功的企業，竣盟科技創辦人鄭加海表示，企業不應與犯罪者妥協、不應支付贖金，因為即使支付了，仍有相當大比例的受駭者無法復原資料。

 

另外，攻擊者也不會透露攻擊手段與滲透進入點，這表示被駭者仍有弱點把持在犯罪者手中。針對勒索軟體的橫行，鄭加海建議，企業的應對方式為備份、備份、再備份，也就是落實備份的 3-2-1 法則，才能處變不驚，臨危不亂。

申論題模擬─資通安全法令與規範（2024/1/11）

 申論題模擬─資通安全法令與規範

一、試從個人資料保護法的角度，談談生成式AI對個人資料保護的衝擊與影響

二、AI PC最近很風行，試論何謂AI PC以及其對資通安全管理法、刑法電磁紀錄專章法令規定的衝擊與影響

申論題模擬─資通安全法令與規範（2024/1/10）

 申論題模擬─資通安全法令與規範

一、 特定非公務機關的定義為何？試述我國的關鍵基礎設施的定義與選定

二、 資通安全管理法的子法有那些？試概要論述

三、 對於資通系統和資通服務的定義，你認為有哪些關鍵特徵需要特別注意？

四、 資通安全的目的是保障國家安全和維護社會公共利益，你覺得在這方面最大的挑戰是什麼？

五、 什麼是資通安全事件？你覺得這些事件可能對資通系統造成什麼樣的影響？

六、 對於公務機關和特定非公務機關的資通安全管理責任等級，你認為該考慮哪些因素？

七、 在推動全民資通安全意識的過程中，你認為政府可以採取哪些具體行動來提升公眾對資通安全的了解？

八、 資通安全的維護計畫應該包含哪些要素，以確保資訊的機密性、完整性和可用性？

九、 對於資通安全事件的通報及應變機制，你認為應該設定怎樣的標準和程序？

十、 在委外資通系統建置、維運或服務提供的情況下，應該如何確保受託者具有足夠的專業能力和經驗？

十一、 對於特定非公務機關的資通安全稽核，你認為主管機關在頻率、內容和方法上應該如何設定標準？

十二、 在資通安全情資分享機制的建立過程中，有哪些關鍵因素需要考慮，以確保有效的資訊分享和合作？

3個原因 生成式AI還沒辦法成為大規模賺錢機器

 3個原因　生成式AI還沒辦法成為大規模賺錢機器

許多人稱2023是AI革命的元年，但「AI革命」可能沒這麼快。為什麼生成式AI還沒辦法成為主流應用？

編譯 田孟心   天下Web only

發布時間：2024-01-04

剛過去的2023年，對世界上的許多人來說，是AI改變一切的一年。Open AI的ChatGPT以及隨之而來的其他文字與圖像機器人，讓人激起了當初網路、iPhone問世的強烈希望。

Google執行長皮蔡（Sundar Pichai）甚至宣稱，AI對人類文明來說，將比火或電的出現更加重要。

然而，即使有這些樂觀情緒，AI實際應用卻可能不如狂熱者期待的那樣快。

「殺手級應用」還沒出現

雖然去年有AI熱潮帶動輝達等公司股票大躍升，但其實對AI公司的投資規模，無法與先前的科技熱潮相提並論。

根據PitchBook的數據，270億美元流入Open AI等私人AI公司，資深科技投資人詹韋（Bill Janeway）分析，「生成式AI投資潮是一次短暫的繁榮，但在融資方面不是多大的一回事。」

他並提醒，這樣的投資匱乏，可能會阻礙AI技術的發展，因為資本更多代表「試錯」更多。

在應用方面，一些有望引領新浪潮的科技公司的表現，降低了人們的預期。例如軟體公司Adobe，股價自去年初以來已經上漲近90%，但年底營收預期卻未達華爾街期望

將AI嵌入軟體產品最徹底的微軟，也在降低預期，稱「Copilot」功能的銷量要到下半年才可能回升。

Salesforce策略長史瓦茲（Peter Schwartz）表示，主要原因有二，第一是大型語言模型仍經常犯錯，最終總還是要一個人類來查證；再來是許多公司缺乏成熟的數據力，那麼就無法好好享受AI的好處。談到數據，有些企業則是怕資料外洩，不願意用AI公司的服務。

此外，價格太高，也是一個限制。舉例來說，微軟應用AI的Office生產力軟體每月30美元，這幾乎使某些人的軟體成本增加了一倍。

綜合這些原因，麥肯錫最近一份報告預估，如果AI技術只是穩定改進而非突破，大規模應用的時間是8到27年。

艾倫人工智慧研究所前所長埃齊奧尼（Oren Etzioni）總結，對於消費者來說，目前還沒有一款高度貨幣化的「殺手級應用」，能將生成式AI變成一個巨大的賺錢機器，「這使得AI類似早期的網際網路，當時免費服務占主導地位，數位廣告很少。」

今年，華爾街將密切關注誰只是盲目打AI牌，誰又真正掌握了商業模式。

仍然是強勢科技

不過，即使AI應用短時間尚不成氣候，但專家強調，這項科技只是起步慢，最終它還是會帶來典範轉移。

高盛分析師預估，AI投資目前緩慢，徘徊在GDP的0.5%以下，但在本十年的後半段，支出將暴增，並在2032年達到GDP的2.5%以上。

而且AI對於一些工作者的衝擊已經來襲。

去年9月的一份研究發現，一家大型顧問公司的高技術白領使用ChatGPT後，員工的績效提高約40%。

目前，幾家科技公司都計劃利用生成式AI來提高員工生產力，這可能會終結多年來這些公司員工數高速成長的局面。

另外一項研究發現，ChatGPT發布後的短短幾個月內，就已經對文案撰稿人和圖像設計師等線上自由工作者的就業機會和收入，產生了負面影響。

事實上，在過去這一年，許多員工已經體會到這種可以幫忙撰寫報告、分析數據的技術有多便利。微軟副總裁斯帕塔羅（Jared Spataro）指出，一旦員工在自己的工作中嘗試生成式AI，他們就不想停下來。

因此，雖然生成式AI還沒有廣泛融入所有企業，投資也不溫不火，但2024年依舊會是更多人改變工作方式的一年。

（資料來源：FT, NYT, Fortune, McKinsey & Company）

製造業不只缺人，圈內人未來還缺 2 技能 調查揭未來工作 3 大洞察

 製造業不只缺人，圈內人未來還缺 2 技能 調查揭未來工作 3 大洞察

TO 編輯精選快訊

2024-01-09

能源管理及自動化大廠施耐德電機（Schneider Electric）發布《製造業未來工作型態報告》，提出 3 大關鍵洞察。這份報告為委託全球科技產業調研機構 Omdia，針對來自西歐（英國、德國、法國、義大利、西班牙、丹麥、瑞典）、美國、中國、印度、南亞（越南、泰國、菲律賓）的中小型至大型企業進行調查，共計 407 家。

洞察 1：數位化將創造更多 OT 新工作，同時緩解人才荒

施耐德電機表示，報告顯示，近半數製造業者認為未來三年將出現大量營運技術（OT）全新工作職位，而數位化則是主要推動因素。另外，數位化不僅有利於生產力和整體效率的提升，更重要的是能解決製造業面臨的一些以人為中心的課題。

施耐德電機觀察，全球製造業正面臨著技能危機及人才短缺困境，台灣也不例外，例如如低生育率與少子化，讓製造業者憂心找不到員工的情況將加速。報告中，有超過半數受訪者（52%），認為人才招募與留任已成為一項關鍵挑戰。

不過，報告顯示人才短缺的問題仍然可以克服，而解決方式就是數位化。報告顯示製造業者在克服人力挑戰方面抱持著樂觀的態度── 7 成受訪者認為數位化除了能夠產生出更多全新工作職位之外，也能夠協助緩解人才短缺困境，而有效運用數位工具也將為企業帶來生產力與工作效率的提升。業者可藉此縮減花在管理事務上的時間，讓營運技術人才能更好地發揮潛力。

洞察 2：工作模式轉變關鍵字──永續、OT、品質控制

製造業者除了要面對技能危機之外，隨著企業永續發展目標及先進技術（如人工智慧、數位分身）的逐步推進，日常工作場域也正在快速變革。研究發現，分別有 45%、47% 的受訪者認為製造業者為因應環境與社會永續目標的規範，勢必需要大幅擴展工廠現有的工作角色。

6 成受訪者相信營運技術工作角色，在未來 3 年將出現適度（41%）或顯著（19%）的變化。此外，超過 7 成受訪者也認為數位化將在未來 3 年顯著改變工作的性質。約 3 成受訪者表示，品質控制工作角色將大幅受益於數位化的推進。

報告指出，這是因為數位化改變了營運⼯作⾓⾊的性質和範圍，例如，新技術採⽤將推動了技能提升和再培訓⼯作，⼀些常規任務和流程可能會從⼯作流程中刪除。而數位化也將為某些職務提供遠端和更靈活的⼯作機會，並提⾼⼯作場所的安全性。

洞察 3：製造業者缺 2 大關鍵技能──機器人控制、資料處理

此次調查亦發現，在未來 3 年製造業者將需要更多元化的關鍵技能，其中包括「機器人控制程式編寫與整合」以及「資料處理、視覺化、分析」，而分別有約 5 成與 3 成受訪者表示自己沒有或缺少這方面的技能，也指出會優先在資料處理、視覺化、分析等領域上進行投資。

資料處理技能，被受訪者認為是 OT 勞動力最重要的投資領域，該技能可協助有效處理⼤量數據以⽀援營運策略和決策。資料分析方面，隨著工業物聯網和智慧工廠每天產生大量資料，越來越多產業轉向 AI 智慧解決方案來更好地分析資料，並做出決策。機器人控制程式編寫與整合，可將單調和手動任務自動化，人類的工作，則可以提升至扮演控制機器人的角色。

施耐德電機建議，製造業者應透過工業生態系與合作夥伴關係，充分運用產業間解決方案、教育訓練等，提前讓人才做好準備，以應對未來企業挑戰。

Omdia 表示，為了紓解人才短缺困境與增進企業創新能力，製造業者迫切需要在組織內進行數位化投資，藉以培育現有員工提升技能，並提高企業生產力與效率。

＊本文由 施耐德電機 提供，內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供，可寄至：pr@fusionmedium.com，經編輯檯審核並評估合宜性後再行刊登。圖片來源：施耐德電機提供。

（責任編輯：廖紹伶）

公務機關所屬人員資通安全事項獎懲辦法

公務機關所屬人員資通安全事項獎懲辦法

第 1 條

本辦法依資通安全管理法（以下簡稱本法）第十五條第二項及第十九條第二項規定訂定之。

第 2 條

公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲，得依本辦法之規定自行訂定獎懲基準。

第 3 條

有下列情形之一者，予以獎勵：

一、依本法、本法授權訂定之法規或機關內部規範，訂定、修正及實施資通安全維護計畫，績效優良。

二、稽核所屬或監督機關之資通安全維護計畫實施情形，或辦理資通安全演練作業，績效優良。

三、配合主管機關、上級或監督機關辦理資通安全維護計畫實施情形之稽核或資通安全演練作業，經評定績效優良。

四、辦理資通安全業務切合機宜，防止資通安全事件之發生，避免本機關、其他機關或人民遭受損害。

五、主動發現新型態之資通安全弱點或入侵威脅，並進行資通安全情資分享，防止資通安全事件之發生或降低其損害。

六、積極查察資通安全維護之異狀，即時發現重大資通安全事件，並辦理通報及應變，防止其損害擴大。

七、對資通安全業務提出具體建議或革新方案，並經採行。

八、辦理資通安全人才培育事務，有具體貢獻。

九、辦理資通安全科技之研發、整合、應用、產學合作或產業發展事務，有具體貢獻。

十、辦理資通安全軟硬體技術規範、相關服務及審驗機制發展等事務，有具體貢獻。

十一、辦理資通安全政策、法制研析或國際合作事務，有具體貢獻。

十二、辦理其他資通安全業務有具體功績。

第 4 條

有下列情形之一者，予以懲處：

一、未依本法、本法授權訂定之法規或機關內部規範辦理下列事項，情節重大：

（一）資通安全情資分享作業。

（二）訂定、修正及實施資通安全維護計畫。

（三）提出資通安全維護計畫實施情形。

（四）辦理資通安全維護計畫實施情形之稽核。

（五）配合上級或監督機關資通安全維護計畫實施情形稽核結果，提出改善報告。

（六）訂定資通安全事件通報及應變機制。

（七）資通安全事件之通報或應變作業。

（八）提出資通安全事件調查、處理及改善報告。

二、辦理資通安全業務經主管機關、上級或監督機關評定績效不良，經疏導無效，情節重大。

三、其他違反本法、本法授權訂定之法規或機關內部規範之行為，情節重大。

四、對業務督導不力，致其屬員、所屬或所監督機關之人員有前三款情形之一。

第 5 條

公務機關辦理其所屬人員之平時考核，應審酌前二條所定獎勵及懲處情形，依事實發生之原因、經過、行為之動機、目的、手段、表現、所生之影響等因素為之；其所屬人員為聘用人員、約僱人員或其他與機關有僱傭關係之人員者，其獎勵及懲處之情形並應納入續聘之參考。

第 6 條

公務機關對所屬人員作成第四條各款情形之懲處前，應給予當事人申辯之機會；必要時，得就所涉資通安全專業事項，徵詢相關專家學者之意見。

第 7 條

本辦法之施行日期，由主管機關定之。

本辦法修正條文自發布日施行。

資通安全情資分享辦法

資通安全情資分享辦法

第 1 條

本辦法依資通安全管理法（以下簡稱本法）第八條第二項規定訂定之。

第 2 條

本辦法所稱資通安全情資（以下簡稱情資），指包括下列任一款內容之資訊：

一、資通系統之惡意偵察或情蒐活動。

二、資通系統之安全漏洞。

三、使資通系統安全控制措施無效或利用安全漏洞之方法。

四、與惡意程式相關之資訊。

五、資通安全事件造成之實際損害或可能產生之負面影響。

六、用以偵測、預防或因應前五款情形，或降低其損害之相關措施。

七、其他與資通安全事件相關之技術性資訊。

第 3 條

主管機關應就情資分享事宜進行國際合作。

主管機關應適時與公務機關進行情資分享。

公務機關應適時與主管機關進行情資分享。但情資已依前項規定分享或已經公開者，不在此限。

中央目的事業主管機關應適時與其所管之特定非公務機關進行情資分享。

特定非公務機關得與中央目的事業主管機關進行情資分享。

前項分享之情資，經中央目的事業主管機關認定足以防止其他機關資通安全事件之發生或降低其損害者，中央目的事業主管機關得予以獎勵。

第 4 條

情資有下列情形之一者，不得分享：

一、涉及個人、法人或團體營業上秘密或經營事業有關之資訊，其公開或提供有侵害公務機關、個人、法人或團體之權利或其他正當利益。但法規另有規定，或對公益有必要，或為保護人民生命、身體、健康有必要，或經當事人同意者，不在此限。

二、其他依法規規定應秘密或應限制、禁止公開之情形。

情資含有前項不得分享之內容者，得僅就其他部分分享之。

第 5 條

公務機關或特定非公務機關（以下簡稱各機關）進行情資分享，應就情資進行分析及整合，並規劃適當之安全維護措施，避免情資內容、個人資料或依法規規定不得分享之資訊外洩，或遭未經授權之存取或竄改。

第 6 條

各機關應就所接受之情資，辨識其來源之可靠性及時效性，及時進行威脅與弱點分析及研判潛在風險，並採取對應之預防或應變措施。

第 7 條

各機關進行情資整合時，得依情資之來源、接收日期、可用期間、類別、威脅指標特性及其他適當項目與內部情資進行關聯分析。

公務機關應就整合後發現之新型威脅情資進行分享。

第 8 條

各機關應就所接收之情資，採取適當之安全維護措施，避免情資內容、個人資料或依法規規定不得分享之資訊外洩，或遭未經授權之存取或竄改。

第 9 條

各機關進行情資分享，應分別依主管機關或中央目的事業主管機關指定之方式為之。

各機關因故無法依前項規定方式進行情資分享者，分別經主管機關或中央目的事業主管機關同意後，得以下列方式之一為之：

一、書面。

二、傳真。

三、電子郵件。

四、資訊系統。

五、其他適當方式。

第 10 條

未適用本法之個人、法人或團體，經主管機關或中央目的事業主管機關同意後，得與其進行情資分享。

主管機關或中央目的事業主管機關同意前項個人、法人或團體進行情資分享，應以書面與其約定應遵守第四條至前條之規定。

第 11 條

本辦法施行日期，由主管機關定之。

本辦法修正條文自發布日施行。

特定非公務機關資通安全維護計畫實施情形稽核辦法

特定非公務機關資通安全維護計畫實施情形稽核辦法

第 1 條

本辦法依資通安全管理法（以下簡稱本法）第七條第二項規定訂定之。

第 2 條

本辦法所定書面，依電子簽章法之規定，得以電子文件為之。

第 3 條

主管機關除因不可抗力因素外，應每年擇定受稽核之特定非公務機關（以下簡稱受稽核機關），並以現場實地稽核之方式，稽核其資通安全維護計畫實施情形。

主管機關擇定前項受稽核機關時，應綜合考量其業務之重要性與機敏性、資通系統之規模與性質、資通安全事件發生之頻率與程度、資通安全演練之成果、歷年受主管機關或中央目的事業主管機關稽核之頻率與結果或其他與資通安全相關之因素。

主管機關為辦理第一項稽核，應訂定稽核計畫，其內容包括稽核之依據與目的、期間、重點領域、稽核小組組成方式、保密義務、稽核方式、基準與項目及中央目的事業主管機關協助事項。

主管機關決定前項稽核之重點領域與基準及項目時，應綜合考量我國資通安全政策、國內外資通安全趨勢、過往稽核計畫之內容與稽核結果，及其他與稽核資源之適當分配或稽核成效相關之因素。

第 4 條

主管機關辦理前條第一項之稽核，應將稽核計畫於一個月前以書面通知受稽核機關。

受稽核機關如因業務因素或有其他正當理由，得於收受前項通知後五日內，以書面敘明理由向主管機關申請調整稽核日期。

前項申請，除有不可抗力之事由外，以一次為限。

第 5 條

主管機關辦理第三條第一項之稽核，得要求受稽核機關為資通安全維護計畫實施情形之說明、協力或提出相關之文件、證明資料供現場查閱，並執行下列事項，受稽核機關及其所屬人員應予配合：

一、稽核前訪談。

二、現場實地稽核。

受稽核機關依法律有正當理由，未能為前項說明、協力或提出資料供現場查閱者，應以書面敘明理由，向主管機關提出。

主管機關收受前項書面後，應進行審核，依下列規定辦理，並得停止稽核作業之全部或一部：

一、認有理由者，應將審核之依據及相關資訊記載於稽核結果報告。

二、認無理由者，應要求受稽核機關依第一項規定辦理；已停止稽核作業者，得擇期續行辦理，並於十日前以書面通知受稽核機關。

第 6 條

主管機關辦理第三條第一項之稽核，應依同條第二項所定考量因素，就各受稽核機關分別組成三人以上之稽核小組。

主管機關組成前項稽核小組時，應考量稽核之需求，邀請具備資通安全政策或該次稽核所需之技術、管理、法律或實務專業知識之公務機關代表或專家學者擔任小組成員，其中公務機關代表不得少於全體成員人數之四分之一。

主管機關應以書面與稽核小組成員約定利益衝突之迴避及保密義務。

第二項之公務機關代表或專家學者，有下列情形之一者，應主動迴避擔任該次稽核之稽核小組成員：

一、本人、其配偶、三親等內親屬、家屬或上開人員財產信託之受託人，與受稽核機關或其負責人間有財產上或非財產上之利害關係。

二、本人、其配偶、三親等內親屬或家屬，與受稽核機關或其負責人間，目前或過去二年內有僱傭、承攬、委任、代理或其他類似之關係。

三、本人目前或過去二年內任職之機關（構）或單位，曾為受稽核機關之顧問，其輔導項目與受稽核項目相關。

四、其他情形足認擔任稽核小組成員，將對稽核結果之公正性造成影響。

第 7 條

主管機關應於每季所定受稽核機關之稽核作業完成後一個月內，將稽核結果報告交付該季受稽核機關。

前項稽核結果報告之內容，應包括稽核之範圍、缺失或待改善事項、第五條第二項所定受稽核機關未能為說明、協力或提出資料供現場查閱之情形、理由與同條第三項所定主管機關審核結果，及其他與稽核相關之必要內容。

第 8 條

受稽核機關經發現其資通安全維護計畫實施情形有缺失或待改善者，應於主管機關交付稽核結果報告後一個月內，依主管機關指定之方式提出改善報告，並送交中央目的事業主管機關；主管機關及中央目的事業主管機關認有必要時，得要求該受稽核機關進行說明或調整。

前項受稽核機關提出改善報告後，應依主管機關指定之方式及時間，提出改善報告之執行情形，並送交中央目的事業主管機關；主管機關認有必要時，得要求該受稽核機關進行說明或調整。

第 9 條

主管機關辦理第三條第一項之稽核，得要求受稽核機關之中央目的事業主管機關派員為必要協助。

第 10 條

本辦法之施行日期，由主管機關定之。

本辦法修正條文自發布日施行。

資通安全事件通報及應變辦法

資通安全事件通報及應變辦法

第 一 章 總則

第 1 條

本辦法依資通安全管理法（以下簡稱本法）第十四條第四項及第十八條第四項規定訂定之。

第 2 條

資通安全事件分為四級。

公務機關或特定非公務機關（以下簡稱各機關）發生資通安全事件，有下列情形之一者，為第一級資通安全事件：

一、非核心業務資訊遭輕微洩漏。

二、非核心業務資訊或非核心資通系統遭輕微竄改。

三、非核心業務之運作受影響或停頓，於可容忍中斷時間內回復正常運作，造成機關日常作業影響。

各機關發生資通安全事件，有下列情形之一者，為第二級資通安全事件：

一、非核心業務資訊遭嚴重洩漏，或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。

二、非核心業務資訊或非核心資通系統遭嚴重竄改，或未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。

三、非核心業務之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

各機關發生資通安全事件，有下列情形之一者，為第三級資通安全事件：

一、未涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏。

二、未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。

三、未涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作，或涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，於可容忍中斷時間內回復正常運作。

各機關發生資通安全事件，有下列情形之一者，為第四級資通安全事件：

一、一般公務機密、敏感資訊或涉及關鍵基礎設施維運之核心業務資訊遭嚴重洩漏，或國家機密遭洩漏。

二、一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改，或國家機密遭竄改。

三、涉及關鍵基礎設施維運之核心業務或核心資通系統之運作受影響或停頓，無法於可容忍中斷時間內回復正常運作。

第 3 條

資通安全事件之通報內容，應包括下列項目：

一、發生機關。

二、發生或知悉時間。

三、狀況之描述。

四、等級之評估。

五、因應事件所採取之措施。

六、外部支援需求評估。

七、其他相關事項。

第 二 章 公務機關資通安全事件之通報及應變

第 4 條

公務機關知悉資通安全事件後，應於一小時內依主管機關指定之方式及對象，進行資通安全事件之通報。

前項資通安全事件等級變更時，公務機關應依前項規定，續行通報。

公務機關因故無法依第一項規定方式通報者，應於同項規定之時間內依其他適當方式通報，並註記無法依規定方式通報之事由。

公務機關於無法依第一項規定方式通報之事由解除後，應依該方式補行通報。

第 5 條

主管機關應於其自身完成資通安全事件之通報後，依下列規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級：

一、通報為第一級或第二級資通安全事件者，於接獲後八小時內。

二、通報為第三級或第四級資通安全事件者，於接獲後二小時內。

總統府與中央一級機關之直屬機關及直轄市、縣（市）政府，應於其自身、所屬、監督之公務機關、所轄鄉（鎮、市）、直轄市山地原住民區公所與其所屬或監督之公務機關，及前開鄉（鎮、市）、直轄市山地原住民區民代表會，完成資通安全事件之通報後，依前項規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級。

前項機關依規定完成資通安全事件等級之審核後，應於一小時內將審核結果通知主管機關，並提供審核依據之相關資訊。

總統府、國家安全會議、立法院、司法院、考試院、監察院及直轄市、縣（市）議會，應於其自身完成資通安全事件之通報後，依第一項規定時間完成該資通安全事件等級之審核，並依前項規定通知主管機關及提供相關資訊。

主管機關接獲前二項之通知後，應依相關資訊，就資通安全事件之等級進行覆核，並得依覆核結果變更其等級。但主管機關認有必要，或第二項及前項之機關未依規定通知審核結果時，得就該資通安全事件逕為審核，並得為等級之變更。

第 6 條

公務機關知悉資通安全事件後，應依下列規定時間完成損害控制或復原作業，並依主管機關指定之方式及對象辦理通知事宜：

一、第一級或第二級資通安全事件，於知悉該事件後七十二小時內。

二、第三級或第四級資通安全事件，於知悉該事件後三十六小時內。

公務機關依前項規定完成損害控制或復原作業後，應持續進行資通安全事件之調查及處理，並於一個月內依主管機關指定之方式，送交調查、處理及改善報告。

前項調查、處理及改善報告送交之時限，得經上級或監督機關及主管機關同意後延長之。

上級、監督機關或主管機關就第一項之損害控制或復原作業及第二項送交之報告，認有必要，或認有違反法令、不適當或其他須改善之情事者，得要求公務機關提出說明及調整。

第 7 條

總統府與中央一級機關之直屬機關及直轄市、縣（市）政府，就所屬、監督、所轄或業務相關之公務機關執行資通安全事件之通報及應變作業，應視情形提供必要支援或協助。

主管機關就公務機關執行資通安全事件之應變作業，得視情形提供必要支援或協助。

公務機關知悉第三級或第四級資通安全事件後，其資通安全長應召開會議研商相關事宜，並得請相關機關提供協助。

第 8 條

總統府與中央一級機關之直屬機關及直轄市、縣（市）政府，對於其自身、所屬或監督之公務機關、所轄鄉（鎮、市）、直轄市山地原住民區公所與其所屬或監督之公務機關及前開鄉（鎮、市）、直轄市山地原住民區民代表會，應規劃及辦理資通安全演練作業，並於完成後一個月內，將執行情形及成果報告送交主管機關。

前項演練作業之內容，應至少包括下列項目：

一、每半年辦理一次社交工程演練。

二、每年辦理一次資通安全事件通報及應變演練。

總統府與中央一級機關及直轄市、縣（市）議會，應依前項規定規劃及辦理資通安全演練作業。

第 9 條

公務機關應就資通安全事件之通報訂定作業規範，其內容應包括下列事項：

一、判定事件等級之流程及權責。

二、事件之影響範圍、損害程度及機關因應能力之評估。

三、資通安全事件之內部通報流程。

四、通知受資通安全事件影響之其他機關之方式。

五、前四款事項之演練。

六、資通安全事件通報窗口及聯繫方式。

七、其他資通安全事件通報相關事項。

第 10 條

公務機關應就資通安全事件之應變訂定作業規範，其內容應包括下列事項：

一、應變小組之組織。

二、事件發生前之演練作業。

三、事件發生時之損害控制機制。

四、事件發生後之復原、鑑識、調查及改善機制。

五、事件相關紀錄之保全。

六、其他資通安全事件應變相關事項。

第 三 章 特定非公務機關資通安全事件之通報及應變

第 11 條

特定非公務機關知悉資通安全事件後，應於一小時內依中央目的事業主管機關指定之方式，進行資通安全事件之通報。

前項資通安全事件等級變更時，特定非公務機關應依前項規定，續行通報。

特定非公務機關因故無法依第一項規定方式通報者，應於同項規定之時間內依其他適當方式通報，並註記無法依規定方式通報之事由。

特定非公務機關於無法依第一項規定方式通報之事由解除後，應依該方式補行通報。

第 12 條

中央目的事業主管機關應於特定非公務機關完成資通安全事件之通報後，依下列規定時間完成該資通安全事件等級之審核，並得依審核結果變更其等級：

一、通報為第一級或第二級資通安全事件者，於接獲後八小時內。

二、通報為第三級或第四級資通安全事件者，於接獲後二小時內。

中央目的事業主管機關依前項規定完成資通安全事件之審核後，應依下列規定辦理：

一、審核結果為第一級或第二級資通安全事件者，應定期彙整審核結果、依據及其他必要資訊，依主管機關指定之方式送交主管機關。

二、審核結果為第三級或第四級資通安全事件者，應於審核完成後一小時內，將審核結果、依據及其他必要資訊，依主管機關指定之方式送交主管機關。

主管機關接獲前項資料後，得就資通安全事件之等級進行覆核，並得為等級之變更。

第 13 條

特定非公務機關知悉資通安全事件後，應依下列規定時間完成損害控制或復原作業，並依中央目的事業主管機關指定之方式辦理通知事宜：

一、第一級或第二級資通安全事件，於知悉該事件後七十二小時內。

二、第三級或第四級資通安全事件，於知悉該事件後三十六小時內。

特定非公務機關依前項規定完成損害控制或復原作業後，應持續進行事件之調查及處理，並於一個月內依中央目的事業主管機關指定之方式，送交調查、處理及改善報告。

前項調查、處理及改善報告送交之時限，得經中央目的事業主管機關同意後延長之。

中央目的事業主管機關就第一項之損害控制或復原作業及第二項送交之報告，認有必要，或認有違反法令、不適當或其他須改善之情事者，得要求特定非公務機關提出說明及調整。

特定非公務機關就第三級或第四級資通安全事件送交之調查、處理及改善報告，中央目的事業主管機關應於審查後送交主管機關；主管機關就該報告認有必要，或認有違反法令、不適當或其他須改善之情事者，得要求特定非公務機關提出說明及調整。

第 14 條

中央目的事業主管機關就所管特定非公務機關執行資通安全事件之通報及應變作業，應視情形提供必要支援或協助。

主管機關就特定非公務機關執行資通安全事件應變作業，得視情形提供必要支援或協助。

特定非公務機關知悉第三級或第四級資通安全事件後，應召開會議研商相關事宜。

第 15 條

特定非公務機關應就資通安全事件之通報訂定作業規範，其內容應包括下列事項：

一、判定事件等級之流程及權責。

二、事件之影響範圍、損害程度及機關因應能力之評估。

三、資通安全事件之內部通報流程。

四、通知受資通安全事件影響之其他機關之時機及方式。

五、前四款事項之演練。

六、資通安全事件通報窗口及聯繫方式。

七、其他資通安全事件通報相關事項。

第 16 條

特定非公務機關應就資通安全事件之應變訂定作業規範，其內容應包括下列事項：

一、應變小組之組織。

二、事件發生前之演練作業。

三、事件發生時之損害控制，及向中央目的事業主管機關請求技術支援或其他必要協助之機制。

四、事件發生後之復原、鑑識、調查及改善機制。

五、事件相關紀錄之保全。

六、其他資通安全事件應變相關事項。

第 四 章 附則

第 17 條

主管機關就各機關之第三級或第四級資通安全事件，得召開會議，邀請相關機關研商該事件之損害控制、復原及其他相關事宜。

第 18 條

公務機關應配合主管機關規劃、辦理之資通安全演練作業，其內容得包括下列項目：

一、社交工程演練。

二、資通安全事件通報及應變演練。

三、網路攻防演練。

四、情境演練。

五、其他必要之演練。

第 19 條

特定非公務機關應配合主管機關規劃、辦理之資通安全演練作業，其內容得包括下列項目：

一、網路攻防演練。

二、情境演練。

三、其他必要之演練。

主管機關規劃、辦理之資通安全演練作業，有侵害特定非公務機關之權利或正當利益之虞者，應先經其書面同意，始得為之。

前項書面同意之方式，依電子簽章法之規定，得以電子文件為之。

第 20 條

公務機關於本辦法施行前，已針對其自身、所屬或監督之公務機關或所管之特定非公務機關，自行或與其他機關共同訂定資通安全事件通報及應變機制，並實施一年以上者，得經主管機關核定後，與其所屬或監督之公務機關或所管之特定非公務機關繼續依該機制辦理資通安全事件之通報及應變。

前項通報及應變機制如有變更，應送主管機關重為核定。

第 21 條

本辦法之施行日期，由主管機關定之。

本辦法修正條文自發布日施行。

資通安全責任等級分級辦法

資通安全責任等級分級辦法

第 1 條

本辦法依資通安全管理法（以下簡稱本法）第七條第一項規定訂定之。

第 2 條

公務機關及特定非公務機關（以下簡稱各機關）之資通安全責任等級，由高至低，分為 A 級、B 級、C 級、D 級及 E 級。

第 3 條

主管機關應每二年核定自身資通安全責任等級。

行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級，報主管機關核定。

直轄市、縣（市）政府應每二年提交自身、所屬或監督之公務機關，與所轄鄉（鎮、市）、直轄市山地原住民區公所及其所屬或監督之公務機關之資通安全責任等級，報主管機關核定。

直轄市及縣（市）議會、鄉（鎮、市）民代表會及直轄市山地原住民區民代表會應每二年提交自身資通安全責任等級，由其所在區域之直轄市、縣（市）政府彙送主管機關核定。

總統府、國家安全會議、立法院、司法院、考試院及監察院應每二年核定自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級，送主管機關備查。

各機關因組織或業務調整，致須變更原資通安全責任等級時，應即依前五項規定程序辦理等級變更；有新設機關時，亦同。

第一項至第五項公務機關辦理資通安全責任等級之提交或核定，就公務機關或特定非公務機關內之單位，認有另列與該機關不同等級之必要者，得考量其業務性質，依第四條至第十條規定認定之。

第 4 條

各機關有下列情形之一者，其資通安全責任等級為A級：

一、業務涉及國家機密。

二、業務涉及外交、國防或國土安全事項。

三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。

四、業務涉及全國性民眾或公務員個人資料檔案之持有。

五、屬公務機關，且業務涉及全國性之關鍵基礎設施事項。

六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。

七、屬公立醫學中心。

第 5 條

各機關有下列情形之一者，其資通安全責任等級為 B 級：

一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。

二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。

三、業務涉及區域性或地區性民眾個人資料檔案之持有。

四、業務涉及中央二級機關及所屬各級機關（構）共用性資通系統之維運。

五、屬公務機關，且業務涉及區域性或地區性之關鍵基礎設施事項。

六、屬關鍵基礎設施提供者，且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性，認其資通系統失效或受影響，對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。

七、屬公立區域醫院或地區醫院。

第 6 條

各機關維運自行或委外設置、開發之資通系統者，其資通安全責任等級為 C 級。

前項所定自行或委外設置之資通系統，指具權限區分及管理功能之資通系統。

第 7 條

各機關自行辦理資通業務，未維運自行或委外設置、開發之資通系統者，其資通安全責任等級為 D 級。

第 8 條

各機關有下列情形之一者，其資通安全責任等級為E級：

一、無資通系統且未提供資通服務。

二、屬公務機關，且其全部資通業務由其上級機關、監督機關或上開機關指定之公務機關兼辦或代管。

三、屬特定非公務機關，且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特定非公務機關或出資之公務機關兼辦或代管。

第 9 條

各機關依第四條至前條規定，符合二個以上之資通安全責任等級者，其資通安全責任等級列為其符合之最高等級。

第 10 條

各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第五項之公務機關提交或核定資通安全責任等級時，得考量下列事項對國家安全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程度，調整各機關之等級：

一、業務涉及外交、國防、國土安全、全國性、區域性或地區性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院業務者，其中斷或受妨礙。

二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者，其資料、公務機密或其他資訊之數量與性質，及遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。

三、各機關依層級之不同，其功能受影響、失效或中斷。

四、其他與資通系統之提供、維運、規模或性質相關之具體事項。

本條文有附件 第 11 條

各機關應依其資通安全責任等級，辦理附表一至附表八之事項。

各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級，並依附表十所定資通系統防護基準執行控制措施；特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基準認有另為規定之必要者，得自行擬訂防護基準，報請主管機關核定後，依其規定辦理。

各機關辦理附表一至附表八所定事項或執行附表十所定控制措施，因技術限制、個別資通系統之設計、結構或性質等因素，就特定事項或控制措施之辦理或執行顯有困難者，得經第三條第二項至第四項所定其等級提交機關或同條第五項所定其等級核定機關同意，並報請主管機關備查後，免執行該事項或控制措施；其為主管機關者，經其同意後，免予執行。

公務機關之資通安全責任等級為A級或B級者，應依主管機關指定之方式，提報第一項及第二項事項之辦理情形。

中央目的事業主管機關得要求所管特定非公務機關，依其指定之方式提報第一項及第二項事項之辦理情形。

第 12 條

本辦法之施行日期，由主管機關定之。

本辦法修正條文自發布日施行。

附檔：	附表一 資通安全責任等級A級之公務機關應辦事項.PDF 附表二 資通安全責任等級A級之特定非公務機關應辦事項.PDF 附表三 資通安全責任等級B級之公務機關應辦事項.PDF 附表四 資通安全責任等級B級之特定非公務機關應辦事項.PDF 附表五 資通安全責任等級C級之公務機關應辦事項.PDF 附表六 資通安全責任等級C級之特定非公務機關應辦事項.PDF 附表七 資通安全責任等級D級之各機關應辦事項.PDF 附表八 資通安全責任等級E級之各機關應辦事項.PDF 附表九 資通系統防護需求分級原則.PDF 附表十 資通系統防護基準.PDF

個人資料保護法施行細則

 個人資料保護法施行細則

第 1 條

本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。

第 2 條

本法所稱個人，指現生存之自然人。

第 3 條

本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

第 4 條

本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列之各款資料。

本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。

本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。

本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。

本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。

本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。

第 5 條

本法第二條第二款所定個人資料檔案，包括備份檔案。

第 6 條

本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。

本法第二條第四款所稱內部傳送，指公務機關或非公務機關本身內部之資料傳送。

第 7 條

受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

第 8 條

委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。

前項監督至少應包含下列事項：

一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

二、受託者就第十二條第二項採取之措施。

三、有複委託者，其約定之受託者。

四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。

五、委託機關如對受託者有保留指示者，其保留指示之事項。

六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。

第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。

受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

第 9 條

本法第六條第一項但書第一款、第八條第二項第一款、第十六條但書第一款、第十九條第一項第一款、第二十條第一項但書第一款所稱法律，指法律或法律具體明確授權之法規命令。

第 10 條

本法第六條第一項但書第二款及第五款、第八條第二項第二款及第三款、第十條但書第二款、第十五條第一款、第十六條所稱法定職務，指於下列法規中所定公務機關之職務：

一、法律、法律授權之命令。

二、自治條例。

三、法律或自治條例授權之自治規則。

四、法律或中央法規授權之委辦規則。

第 11 條

本法第六條第一項但書第二款及第五款、第八條第二項第二款所稱法定義務，指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第 12 條

本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。

前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：

一、配置管理之人員及相當資源。

二、界定個人資料之範圍。

三、個人資料之風險評估及管理機制。

四、事故之預防、通報及應變機制。

五、個人資料蒐集、處理及利用之內部管理程序。

六、資料安全管理及人員管理。

七、認知宣導及教育訓練。

八、設備安全管理。

九、資料安全稽核機制。

十、使用紀錄、軌跡資料及證據保存。

十一、個人資料安全維護之整體持續改善。

第 13 條

本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料，指當事人自行對不特定人或特定多數人揭露其個人資料。

本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料，指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

第 14 條

本法第六條第一項但書第六款、第十一條第二項及第三項但書所定當事人書面同意之方式，依電子簽章法之規定，得以電子文件為之。

第 15 條

本法第七條第二項所定單獨所為之意思表示，如係與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

第 16 條

依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

第 17 條

本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特定當事人，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者。

第 18 條

本法第十條但書第三款所稱妨害第三人之重大利益，指有害於第三人個人之生命、身體、自由、財產或其他重大利益。

第 19 條

當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時，應為適當之釋明。

第 20 條

本法第十一條第三項所稱特定目的消失，指下列各款情形之一：

一、公務機關經裁撤或改組而無承受業務機關。

二、非公務機關歇業、解散而無承受機關，或所營事業營業項目變更而與原蒐集目的不符。

三、特定目的已達成而無繼續處理或利用之必要。

四、其他事由足認該特定目的已無法達成或不存在。

第 21 條

有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或業務所必須：

一、有法令規定或契約約定之保存期限。

二、有理由足認刪除將侵害當事人值得保護之利益。

三、其他不能刪除之正當事由。

第 22 條

本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。

依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

第 23 條

公務機關依本法第十七條規定為公開，應於建立個人資料檔案後一個月內為之；變更時，亦同。公開方式應予以特定，並避免任意變更。

本法第十七條所稱其他適當方式，指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。

第 24 條

公務機關保有個人資料檔案者，應訂定個人資料安全維護規定。

第 25 條

本法第十八條所稱專人，指具有管理及維護個人資料檔案之能力，且足以擔任機關之個人資料檔案安全維護經常性工作之人員。

公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。

第 26 條

本法第十九條第一項第二款所定契約或類似契約之關係，不以本法修正施行後成立者為限。

第 27 條

本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。

本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者：

一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交易之目的，所進行之接觸或磋商行為。

二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之連繫行為。

第 28 條

本法第十九條第一項第七款所稱一般可得之來源，指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

第 29 條

依本法第二十二條規定實施檢查時，應注意保守秘密及被檢查者之名譽。

第 30 條

依本法第二十二條第二項規定，扣留或複製得沒入或可為證據之個人資料或其檔案時，應掣給收據，載明其名稱、數量、所有人、地點及時間。

依本法第二十二條第一項及第二項規定實施檢查後，應作成紀錄。

前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副本交付被檢查者；其拒絕簽名者，應記明其事由。

紀錄於事後作成者，應送達被檢查者，並告知得於一定期限內陳述意見。

第 31 條

本法第五十二條第一項所稱之公益團體，指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第 32 條

本法修正施行前已蒐集或處理由當事人提供之個人資料，於修正施行後，得繼續為處理及特定目的內之利用；其為特定目的外之利用者，應依本法修正施行後之規定為之。

第 33 條

本細則施行日期，由法務部定之。

個人資料保護法

個人資料保護法

第 一 章 總則

第 1 條

為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

第 1-1 條

本法之主管機關為個人資料保護委員會。

自個人資料保護委員會成立之日起，本法所列屬中央目的事業主管機關、直轄市、縣（市）政府及第五十三條、第五十五條所列機關之權責事項，由該會管轄。

第 2 條

本法用詞，定義如下：

一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

三、蒐集：指以任何方式取得個人資料。

四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

五、利用：指將蒐集之個人資料為處理以外之使用。

六、國際傳輸：指將個人資料作跨國（境）之處理或利用。

七、公務機關：指依法行使公權力之中央或地方機關或行政法人。

八、非公務機關：指前款以外之自然人、法人或其他團體。

九、當事人：指個人資料之本人。

第 3 條

當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：

一、查詢或請求閱覽。

二、請求製給複製本。

三、請求補充或更正。

四、請求停止蒐集、處理或利用。

五、請求刪除。

第 4 條

受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。

第 5 條

個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

第 6 條

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。

六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。

依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。

第 7 條

第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。

第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之意思表示。

公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。

蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

第 8 條

公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：

一、公務機關或非公務機關名稱。

二、蒐集之目的。

三、個人資料之類別。

四、個人資料利用之期間、地區、對象及方式。

五、當事人依第三條規定得行使之權利及方式。

六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

有下列情形之一者，得免為前項之告知：

一、依法律規定得免告知。

二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。

三、告知將妨害公務機關執行法定職務。

四、告知將妨害公共利益。

五、當事人明知應告知之內容。

六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

第 9 條

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。

有下列情形之一者，得免為前項之告知：

一、有前條第二項所列各款情形之一。

二、當事人自行公開或其他已合法公開之個人資料。

三、不能向當事人或其法定代理人為告知。

四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。

五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

第一項之告知，得於首次對當事人為利用時併同為之。

第 10 條

公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限：

一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。

二、妨害公務機關執行法定職務。

三、妨害該蒐集機關或第三人之重大利益。

第 11 條

公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。

個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不在此限。

個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。

違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。

因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。

第 12 條

公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

第 13 條

公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內，為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其原因以書面通知請求人。

公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日內，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將其原因以書面通知請求人。

第 14 條

查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收必要成本費用。

第 二 章 公務機關對個人資料之蒐集、處理及利用

第 15 條

公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、執行法定職務必要範圍內。

二、經當事人同意。

三、對當事人權益無侵害。

第 16 條

公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：

一、法律明文規定。

二、為維護國家安全或增進公共利益所必要。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

六、有利於當事人權益。

七、經當事人同意。

第 17 條

公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

第 18 條

公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

第 三 章 非公務機關對個人資料之蒐集、處理及利用

第 19 條

非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：

一、法律明文規定。

二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人同意。

六、為增進公共利益所必要。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。

八、對當事人權益無侵害。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

第 20 條

非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：

一、法律明文規定。

二、為增進公共利益所必要。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

六、經當事人同意。

七、有利於當事人權益。

非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。

非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

第 21 條

非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之：

一、涉及國家重大利益。

二、國際條約或協定有特別規定。

三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。

四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

第 22 條

中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。

中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。

中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同資訊、電信或法律等專業人員共同為之。

對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得規避、妨礙或拒絕。

參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

第 23 條

對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。

扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

第 24 條

非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、縣（市）政府聲明異議。

前項聲明異議，中央目的事業主管機關或直轄市、縣（市）政府認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。

對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

第 25 條

非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分：

一、禁止蒐集、處理或利用個人資料。

二、命令刪除經處理之個人資料檔案。

三、沒入或命銷燬違法蒐集之個人資料。

四、公布非公務機關之違法情形，及其姓名或名稱與負責人。

中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

第 26 條

中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

第 27 條

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

第 四 章 損害賠償及團體訴訟

第 28 條

公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。

被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。

依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。

同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。

第 29 條

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

依前項規定請求賠償者，適用前條第二項至第六項規定。

第 30 條

損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。

第 31 條

損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。

第 32 條

依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：

一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。

二、保護個人資料事項於其章程所定目的範圍內。

三、許可設立三年以上。

第 33 條

依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地方法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住所地之地方法院管轄。

前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以其在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華民國最後之住所，視為其住所；無最後住所者，專屬中央政府所在地之地方法院管轄。

第一項非公務機關為自然人以外之法人或其他團體，而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者，專屬中央政府所在地之地方法院管轄。

第 34 條

對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自己之名義，提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與，並通知法院。

前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前，擴張應受判決事項之聲明。

其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者，亦得於法院公告曉示之一定期間內起訴，由法院併案審理。

其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。

前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認為必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用由國庫墊付。

依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新臺幣六十萬元者，超過部分暫免徵裁判費。

第 35 條

當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當然停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受訴訟。

財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實施權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟。

第 36 條

各當事人於第三十四條第一項及第二項之損害賠償請求權，其時效應分別計算。

第 37 條

財團法人或公益社團法人就當事人授與訴訟實施權之事件，有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。

前項當事人中一人所為之限制，其效力不及於其他當事人。

第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於法院。

第 38 條

當事人對於第三十四條訴訟之判決不服者，得於財團法人或公益社團法人上訴期間屆滿前，撤回訴訟實施權之授與，依法提起上訴。

財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事人，並應於七日內將是否提起上訴之意旨以書面通知當事人。

第 39 條

財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴訟必要費用後，分別交付授與訴訟實施權之當事人。

提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報酬。

第 40 條

依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟。

第 五 章 罰則

第 41 條

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

第 42 條

意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。

第 43 條

中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適用之。

第 44 條

公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一。

第 45 條

本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十二條之罪者，不在此限。

第 46 條

犯本章之罪，其他法律有較重處罰規定者，從其規定。

第 47 條

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。

第 48 條

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：

一、違反第八條或第九條規定。

二、違反第十條、第十一條、第十二條或第十三條規定。

三、違反第二十條第二項或第三項規定。

非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。

非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，其情節重大者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

第 49 條

非公務機關無正當理由違反第二十二條第四項規定者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二十萬元以下罰鍰。

第 50 條

非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。

第 六 章 附則

第 51 條

有下列情形之一者，不適用本法規定：

一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。

二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。

公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。

第 52 條

第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣（市）政府執行之權限，得委任所屬機關、委託其他機關或公益團體辦理；其成員因執行委任或委託事務所知悉之資訊，負保密義務。

前項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

第 53 條

法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

第 54 條

本法中華民國九十九年五月二十六日修正公布之條文施行前，非由當事人提供之個人資料，於本法一百零四年十二月十五日修正之條文施行後為處理或利用者，應於處理或利用前，依第九條規定向當事人告知。

前項之告知，得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。

未依前二項規定告知而利用者，以違反第九條規定論處。

第 55 條

本法施行細則，由法務部定之。

第 56 條

本法施行日期，由行政院定之。

本法中華民國九十九年五月二十六日修正公布之現行條文第十九條至第二十二條、第四十三條之刪除及一百十二年五月十六日修正之第四十八條，自公布日施行。

【時事】 幣圈首家！鴻翰創意違反洗錢防制法 金管會祭出50萬元罰單

 幣圈首家！鴻翰創意違反洗錢防制法　金管會祭出50萬元罰單

 

記者陳瑩欣／台北報導

 

首宗虛擬通貨平台裁罰案出現！金管會證期局今（3）日公告，從事虛擬通貨平台業務的鴻翰創意有限公司從事相關業務，卻沒有做好洗錢防制申報工作，在衡酌調查局與台南市政府警察局第二分局移送資料後，決定對該公司祭出50萬元罰鍰。

 

金管會指出，針對相關爭議案件，鴻翰創意坦承不諱，因此將裁罰定在50萬元。金管會同時要求鴻翰公司要在1～2個月內完成洗錢防制法令遵循聲明，不排除可以重複罰。

 

官員指出，2023年10月11日發函要求鴻翰創意於同年11月10日前完成申報洗錢防制法令遵循聲明，不過公司未補行申報，因此挨罰。

 

證期局表示，鴻翰創意有限公司是在經濟部註冊的公司，登記的從業項目中有包括虛擬通貨平台業務，依照虛擬通貨平台及交易業務事業防制洗錢及打擊資恐辦法規定，只要有從事到虛擬通貨平台業務就要向金管會完成洗錢防制聲明申報，但這家公司沒有依照規定申報，因此開罰50萬元。

 

 

 

原文網址: 幣圈首家！鴻翰創意違反洗錢防制法　金管會祭出50萬元罰單 | ETtoday3C家電新聞 | ETtoday新聞雲 https://www.ettoday.net/news/20240103/2656768.htm#ixzz8Nl5jhl9Z