原住民族委員會使用勞動部勞工保險局業務資料管理要點

一、原住民族委員會（以下簡稱本會）為規範所屬單位人員連結介接（除採Web IR傳輸者外）勞動部勞工保險局（以下簡稱勞保局）業務資料，符合個人資料保護法（以下簡稱個資法）及相關法令規定，落實資訊安全管理及個人資料保護，特訂定本要點。

二、本會使用勞保局業務資料之法律依據、業務應用範圍及使用目的如下：

(一)依據原住民族工作權保障法第四條、第五條、第十二條、第十四條、第十七條、同法施行細則第三條、第十條規定及司法院釋字第八一〇號解釋，為辦理原住民族就業代金稽核及課徵業務，係以勞工保險（以下簡稱勞保）投保資料，核算各級政府機關、公立學校、公營事業機構及政府採購得標廠商，應僱用原住民族人數及實際僱用原住民人數，以促進原住民族就業，保障其工作權及經濟生活；並建置原住民族就業代金適當之調整機制，避免個案顯然過苛之情狀。

(二)依據原住民族基本法第二十六條及保險法第一百三十二條規定，為積極落實原住民族社會福利事項，規劃建立原住民族社會安全體系，辦理原住民團體意外保險相關業務，取得二十五歲至六十四歲投保國民年金之原住民名冊，期強化社會保險防護網，以提升原住民族保有意外保險之比率。

(三)依據原住民族基本法第十六條及第二十八條，為辦理原住民族住宅政策，輔導原住民建購或租用住宅、安居相關業務，係以勞保投保資料，分析原住民族地區及都會區原住民，勞動條件情形與自有房屋及承租房屋相關統計，以策訂本會原住民族住宅政策，以提升原住民族地區與都會區原住民族人自有住宅率及居住環境品質。

(四)依據原住民族教育法第五條規定及配合行政院核定重大政策之中長程計畫研究使用。

三、委外處理勞保局業務資料者，管理措施依下列規定辦理：

 (一)應於委外契約中載明受託者名稱、委外業務事項、處理方式及相關安全管理責任。

 (二)對受託者之監督管理事項：

1.使用單位委託受託者辦理者，受託者應依委案合約之保密規定辦理系統維護、分析及測試作業。

2.受託者使用勞保局業務資料者，須經申請核准後始得使用，並應於核准期限及業務範圍內使用。

3.受託者及其受僱人應簽署保密切結書，如有違反個人資料保護法令時，應向本會通知之事項及採行之補救措施。

4.委託關係終止或解除時，個人資料載體之返還，受託者履行委託契約以儲存方式而持有個人資料之刪除。

四、使用勞保（含就業保險、勞工職業災害保險）被保險人基本資料、異動明細及投保單位基本資料之業務項目如下：

(一)依原住民族工作權保障法第四條、第五條及第十二條規定辦理原住民族就業代金稽核、課徵業務及建置適當之調整機制為限。

(二)依原住民族基本法第十六條及第二十八條，辦理原住民族住宅政策，輔導原住民建購或租用住宅、安居相關業務料業務為限。

(三)依原住民族教育法第五條規定，配合行政院核定重大政策之中長程計畫研究使用為限。

(四)取得使用國民年金被保險人基本資料，以依保險法第一百三十二條規定辦理原住民團體意外保險為限。

五、勞保局業務資料安全管制作業：

(一) 本會綜合規劃處（以下簡稱綜規處）：

1.連線作業網路安全之管理。

2.連線作業申辦事宜。

3.每年定期檢查連結介接作業需求，並保留檢視紀錄備查，如遇法令變更或已無資料連結介接作業需求，應函請勞保局終止該項作業。

(二) 使用單位（本會社會福利處、公共建設處及綜合規劃處）：

1.使用單位應設立專責人員管理查詢及運用勞保局業務資料，防止資料被竊取、竄改、毀損、滅失、洩漏及不當使用。

2.專責人員應監督管理受託者處理勞保局業務資料之情形，並應定期製作線上查詢紀錄清冊。

3.使用者應向使用單位申請，經使用單位簽准後，授權使用系統取得勞保局業務資料，並限於其授權範圍使用。

4.使用者異動時，應通知使用單位調整權限、新增或註銷帳號。

5.如遇法令變更或已無資料連結介接作業需求，應通知綜規處函請勞保局終止該項作業，並依本要點第八點資料使用期限、刪除程序及刪除期限辦理。

(三) 受託者（得標廠商）：

1.作業系統、網路連線之安全防護及資訊設備之維護運作。

2.資料維護及存取權限以系統維運之資料範圍為限。

六、各作業階段之資料管理及審查機制：

(一)原住民族就業代金：使用者於系統連結介接勞保局業務資料，線上查詢勞保局業務資料，其申請及查詢應符合授權範圍使用，不得洩漏與業務無關之人。

(二)國民年金：原住民團體意外保險使用投保國民年金之原住民名冊，資料受託者為得標之保險公司，個人資料使用及管理說明如下：

1.資料轉交：本會以加密雲端連結轉交被保險人資料予受託者，該雲端連結具時效性，逾期則無法使用。

2.資料使用：被保險人資料交予受託者後，其應依個人資料保護相關法令，定期查核確保所保有之個人資料現況。並就個人資料範圍與其業務涉及個人資料蒐集、處理、利用之流程，評估可能產生之個人資料風險，依據風險評估結果，訂定適當管理機制。

3.資料管理：

（1）受託者為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故（以下簡稱個人資料事故），應訂定應變、通報及預防機制。如遇有重大個人資料事故，應於七十二小時內通報保險業之主管機關（即金融監督管理委員會）及本會。

（2）受託者應訂定各類設備或儲存媒體之使用規範，應採取防範資料洩漏之適當措施。針對所保有之個人資料內容，有加密需要者，於蒐集、處理或利用時，採取適當加密措施。

（3）受託者對於個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦、自動化機器設備或其他媒介物者，應實施適宜之存取管制、訂定妥善保管媒介物之方式，並依媒介物之特性及環境，建置適當之保護設備或技術。

（4）受託者應依執行業務之必要，設定相關人員接觸個人資料之權限及控管其接觸情形，並與所屬人員約定保密義務。

4.資料刪除：受託者應依個人資料保護法規定刪除、停止處理或利用所保有之個人資料，應留存下列紀錄：

（1）刪除、停止處理或利用之方式及時間。

（2）將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原因、對象、方法、時間及該對象蒐集、處理或利用之合法依據。

（3）前項之軌跡資料、相關證據及紀錄，應至少留存五年。

(三)原住民族住宅政策輔導原住民建購或租用住宅：線上查詢勞保局業務資料，其申請及查詢應符合授權範圍使用，不得洩漏與業務無關之人。

(四)配合行政院核定重大政策作中長程計畫研究使用之目的，其應符合授權範圍使用，不得洩漏與業務無關之人。

七、處理勞保局業務資料保密措施，依下列規定辦理：

(一) 使用者均應提出權限新增異動申請，並經權責主管核准，其申請及簽核紀錄，至少保存五年。

(二) 使用者帳號、密碼之通知應具保密措施，並應妥善保管，避免他人知悉。

(三) 不得使用非本人申請之帳號，使用者職務異動時，應於職務異動前或當日，調整其權限或註銷帳號。

(四) 密碼長度應至少八碼以上，並混合大小寫英文字母、數字及特殊符號。每九十日應更換新密碼，且不得與前三次密碼相同。

(五) 專責人員應每半年辦理帳號權限清查，如有重複、長期閒置、調整職務、離職或退休者帳號，應即時調整權限或註銷帳號。

八、勞保局業務資料使用期限、刪除程序及刪除期限，依下列規定辦理：

(一)原住民族就業代金：
1.使用期限：代金查核系統連結介接勞保局業務資料之使用期限，為達成原住民族就業代金稽核及課徵業務之目的。
2.資料刪除程序：線上查詢或經由網路取得資料檔，應由系統設定排程定期清除，以防範資料遭不當存取。線上查詢資料完竣後，電子檔如無保留必要性，應即刪除。資料刪除範圍，應包含暫存檔、備份檔及其他衍生檔案，完成刪除程序之佐證資料，至少保存五年。

3.資料刪除期限：於第一目預計使用期限前，於使用完竣且確認無保存必要，一個月內刪除。

(二)國民年金：

1.使用期限：依保險法第六十五條規定，由保險契約所生之權利，自得為請求之日起，經過二年不行使而消滅。

2.資料刪除程序：線上查詢或經由網路取得資料檔，應由系統設定排程定期清除，以防範資料遭不當存取。資料刪除範圍，應包含暫存檔、備份檔及其他衍生檔案，完成刪除程序之佐證資料，至少保存五年。

3.資料刪除期限：依保險法第六十五條規定，保險契約結束後二年，且確認無保存必要，一年內刪除。

(三)原住民族住宅政策輔導原住民建購或租用住宅：

1.使用期限：代金查核系統連結介接勞保局業務資料之使用期限，為達成原住民族就業代金稽核及課徵業務之目的。

2.資料刪除程序：線上查詢或經由網路取得資料檔，應由系統設定排程定期清除，以防範資料遭不當存取。線上查詢資料完竣後，電子檔如無保留必要性，應即刪除。資料刪除範圍，應包含暫存檔、備份檔及其他衍生檔案，完成刪除程序之佐證資料，至少保存五年。

3.資料刪除期限：於第一目預計使用期限前，於使用完竣且確認無保存必要，一個月內刪除。

(四)行政院核定重大政策之中長程計畫研究使用：

1.使用期限：配合代金查核系統連結介接勞保局業務資料之使用期限，為達決策支援之目的。

2.資料刪除程序：線上查詢或經由網路取得資料檔，應由系統設定排程定期清除，以防範資料遭不當存取。線上查詢資料完竣後，電子檔如無保留必要性，應即刪除。資料刪除範圍，應包含暫存檔、備份檔及其他衍生檔案，完成刪除程序之佐證資料，至少保存五年。

3.資料刪除期限：於第一目預計使用期限前，於使用完竣且確認無保存必要，一個月內刪除。

九、勞保局業務資料使用之內部稽核及督導查核，依下列規定辦理：

(一) 使用單位應按月製作線上查詢紀錄並自行抽查，抽查比率至少為百分之三，抽查筆數不得少於十筆，查核結果至少保存五年。發現異常查詢情形，使用單位應即會同政風單位及綜規處共同調查，並作成稽核紀錄。

(二) 綜規處應每半年辦理機關內部稽核工作，所有稽核工作均應作成稽核紀錄，至少保存五年。

(三) 使用單位應每年辦理受託者資料安全稽核工作，並作成稽核紀錄，至少保存五年。

(四) 勞保局實施稽核作業時，本會應配合提供相關查核資料，相關單位及使用人員須配合辦理。

十、本會已導入資訊安全管理系統（Information Security Management System,ISMS）規範，使用勞保局業務資料應切實遵ISO 27001資訊安全標準及本會資訊安全管理系統相關規定，並應配合進行資訊安全檢測及資安稽核。

十一、申請運用連結介接作業之專責人員、使用單位人員或受託者違反法令規定者，依下列規定辦理：

(一) 違反個資法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，依同法第二十八條、第三十一條及國家賠償法規定，負損害賠償責任。

(二) 意圖為自己或第三人不法利益或損害他人之利益，違反特種個資、特定目的、特定情形、目的外利用或對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，依個資法第四十一條及第四十二條規定負刑事責任。

(三) 如涉及行政責任，應由本會議處；其相關管理人員未盡善良管理人注意義務之責，亦同。

十二、如發生個人資料事故，或疑似事故時，應依相關法令採取必要之緊急應變措施。另應即時通報勞保局並提供事故調查、責任釐清及避免損害擴大之防免措施。

      前項規定於受託者發生事故時，亦適用之。

十三、本要點未規定者，依個資法、資通安全管理法、各機關使用勞動部勞工保險局業務資料管理規定及其他相關規定辦理。