個資法教戰守則 您不可不知的內稽內控.pptVIP

課程大綱 課程大綱 何謂個人資料保護法 民國84年 公告 電腦處理個人資料保護法 民國99年4月27日三讀通過 個人資料保護法 目的： 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。 法規面(一) 第二十七條　非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 法規面(二) 第二十八條 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 法規面(三) 第二十九條 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。 法規面及個資生命週期保護需求 技術面 防竊取 防竄改 防內文刪除 防洩漏 防檔案刪除 檔案銷毀機制 稽核 TrustView DRM 提供的保護 功能面 防竊取 (加密 + ACL) 防竄改 (DRM權限管控) 防內文刪除 (DRM權限管控) 防洩漏 (DRM權限管控) 防檔案刪除 (Backup) 檔案銷毀機制 (動態回收文件權限、有效時間) 稽核 (人、事、時、地、物) 個資保護需求情境分析 Internal Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect) 個資保護需求情境分析 Internal Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect) 個資保護需求情境分析 Internal Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect) File Exchange Protect 帳號與硬體雙認證 ------ 確保機密文件不外洩。 延長離線授權 離線式安全防護 ------ 真正適用於網路實體隔絕的環境。 列印浮水印------ 保護文件紙本。 七道鎖防護加倍 ------ 鎖修改、鎖複製、鎖時間、鎖列印、鎖次數、鎖時段、鎖抓圖 離線外發 – 權限設定 離線外發 – 延展離線授權 * * * * * * 本個人資料保護生命週期（草案），係參考行政院研考會「電子資料安全參考指引」內容中之「電子資料保護生命週期」，加以修訂！ 係提出一個可供各方討論之框架，以明確表達組織作業需求，廠商亦可根據此一框架，提供符合特定流程需求之解決方案，以利雙方溝通。 以上純係個人之淺見，提供業界先進討論，最終亦應以行政院研考會修訂之版本為準。 個資法第七條第十五條第二款及第十九條第五款所稱書面同意，指當事人經蒐集者告知本法所定應告知事項後， 所為允許之書面意思表示。 惟此舉將會增加作業成本，不利於電子商務之發展，故建議應鼓勵採行自然人憑證及工商憑證等PKI機制，使符合電子簽章法之規定， 則電子化處理將可視同書面意思表示！ 識別與鑑別、存取控制、系統及通信保護及稽核機制，係參考NIST 800-53之技術性控制措施，以強化安全機制，之原本法所稱「蒐集」、「處理」 「利用」及「國際傳輸」各階段之要求。 本生 命週期由「蒐集」開始，依法進行蒐集而產生個人資料，個人資料依其內容之不同，又可區分為屬性資料（指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、基因）及行為資料（婚姻、家庭、教育、職業、病歷、醫療、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動等） 個人經過處理，包含記錄、輸入、編輯、更正、檢索、輸出、連結、複製等程序，將會產生個人資料檔案。 經處理後之個人資料檔案將以四種型態加以儲存（資料庫、電子檔案、紙本文件、磁帶），始得加以利用。 利用過程將涉及傳輸或流通之安全。 國際傳輸：