金控之個資保護架構研究

陳淑芬

Unknown Date

金控公司整併後，無不投入物力、人力，建置一個安全、有效率的資訊安全架構來保護客戶資料，但近年來仍頻傳客戶資料外洩，不但讓客戶失去信心，甚而影響公司業務營運。金控公司在個人資料保護管理上是否仍有疏失而未防範到? 目前立法院審議中的「個人資料保護法」草案內容，個資外洩賠償上限從現行法2千萬元大幅提高到10億元。若該法案依此通過後，金控公司如未能安全地防護龐大客戶資料，再發生重大個資外洩案，除造成公司被告外，勢必面臨逾億或動輒高達數億元的超高額賠償。 本研究透過業者訪談瞭解當前金控公司在客戶之個人資料保護資訊架構之現況。並以產險子公司客戶從通路投保，登打客戶資料後儲存至核心系統資訊平台，再將資料流傳送至金控公司共用資訊平台，及資料後續的應用，逐一探討資料流程中之各個可能產生風險之管控點；並瞭解當前金控之整合及法規、資安規範，應用ISO 27001之管控點精神及資訊資產分類，希望能規劃適用於金融公司客戶個人資料保護之資訊管理架構，達到保護客戶資料之可用性、完整性以及機密性。 最後，本研究提出金控公司業者在客戶個人資料保護資訊管理架構之規劃建議，是希望以客戶觀點，能讓金控公司在防範外洩的管理措施上更嚴密，期使客戶能信任地將個人資料、理財活動交給金控公司，並增加金控公司共同行銷之機會。

個人資料保護

資訊安全

資訊資產

ISO27001

ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C

孫天貴, Sun, Tien Kuei

Unknown Date

隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。 經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。 本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。

資訊安全管理系統(ISMS)

個人資料管理系統(PIMS)

MSS

個人資料保護法

ISO27001

TPIPAS

BS10012

論個人資料保護法之相關法律問題及其改進建議-參考國際組織相關準則

高振格

Unknown Date

近年由於資訊社會快速變遷，相關產業不斷改革，個人資料侵害事件頻傳，個資議題逐漸受到重視。為了修正難以跟上社經發展腳步之「電腦處理個人資料保護法」，民國99年5月26日公布了新修訂的「個人資料保護法」，卻引起極大的爭議，至該法公布至今已逾兩年卻尚未施行，造成電腦處理個人資料保護法的闕漏遲遲無法獲得填補。個人資料保護法所牽涉者，不僅為個人資訊權的保障，由於個人資料保護意識已在國際間抬頭，若個人資料保護水準未合乎適足標準，我國在蒐集外國個人資料時會受到限制，恐怕會危及我國在國際間資訊傳遞的便利性，如此資訊傳遞將成為我國企業於國際競爭上的劣勢，是我國個人資料保護法制的確立實至關重要。 　　本文嘗試先就「個人資訊自決權」的角度，申論本次電腦處理個人資料保護法的修法內容之利弊，並以歐盟之「個人資料保護指令」、經濟合作發展組織之「隱私保護與個人資料跨國交流指導原則」以及亞太經濟合作組織之「隱私保護架構」所揭櫫之個人資料保護原則，探討「告知原則」、「同意原則」、「選擇退出制度」以及「敏感性個人資料之保護」等議題，論其對個人資料保護法相關規定之影響。最後，再針對個人資料保護法施行窒礙之相關爭議規定，提出修正或配套意見，期盼我國個人資料保護法制得以完善。

個人資訊自決權

個人資料保護法

敏感性個人資料

外國帳戶稅收遵從法案

選擇加入制度

基於存取目的之個資控管框架-以銀行業為例 / Purpose-Based PII Control Framework - A Banking Perspective.

鄭明璋, Cheng, Ming Chang

Unknown Date

新版「個人資料保護法」在民國99年5月公布，並正式實施於民國101年10月；隨著新法的實施，不管是公部門或民間組織，都投入大量資源以期改善並確保自己的組織對於個人資料之蒐集、處理與利用，能夠符合「個人資料保護法」的要求。 由於業務特性，個人資料的蒐集、處理與利用，乃是銀行業者日常必須面對的課題。雖然舊版個資相關法令「電腦處理個人資料保護法」與「銀行法」對於個人資料的處理都已有相關規定，但由於稽核與舉證困難、罰則過輕等原因，業者並未真正重視個資保護課題，善盡個資保護的責任，所以銀行發生個資外洩的案例時有所聞。新版「個人資料保護法」正式實施後，舉證責任歸屬由當事人變成企業，在疑似個資外洩事件發生時，企業須舉證其組織之系統或機制已對個人資料之控管機制已滿足「個人資料保護法」的要求，盡到完善管理之責任。因此業者不得不投入大量資源來周全組織內對於個人資料的保護與稽核機制，把新版法規的各項規定要求納入系統功能範疇。 伴隨「個人資料保護法」的實施，法務部頒布了「個人資料保護法之特定目的及個人資料之類別」細則來明確規範個人資料的類別範疇、以及存取個人資料之目的。本研究即針對此項要求，歸納分析銀行業的業務現況，並納入未來業務發展之可能需求，設計一具備彈性之個資存取框架以管理個資分類與存取目的，進而滿足「個人資料保護法」的要求。 / As the latest version of the "Personal Data Protection Act (PDPA)" published on May, 2010, and formally implemented since October, 2012, all public and private sector organizations need to put in significant resources to meet the strengthened legal requirements of personal data collection, processing and utilization. Yet banks are among the first to be affected by them, as personal data collection, usage and handling are essential to their daily operations. Therefore, this thesis investigates the compliance of PDPA from a banking perspective. A distinguished feature of the new "Personal Data Protection Act" is the inclusion of "purposes" in regulating access to personal data, namelyan organization must get the informed consent from its customer regarding how her personal data will be used, namely privacy preferences. Currently, employing a proper access control mechanism to protect customer's data is a well-accepted discipline in bank information system (BIS) development. However, the design of such mechanisms hardly includes the requirement of supporting customers’ preferences regarding the use of their personal data. It is therefore highly desirable to extend a BIS's access control to handle customers' privacy preferences. This thesis investigates the common practices of bank operations and presents a purpose-based access control framework for future BIS development. Specifically, we derive a classification of bank customers' personal data and purpose categories for bank operations so that the proposedaccees control framework can ensure all accesses to customers' personal data match their granted access purposes. As a result, the framework will lay a foundation to the compliance of PDPA for a bank.

個人資料保護法

隱私

目的

Personal Data Protection Act

Privacy

Purpose

保險業因應新版個資法之資安管理研究－以S公司為例 / Information Security Management for Insurance in Response to the New Version of Personal Data Protection Law－A Case Study of S Company

謝正彬

Unknown Date

新版個人資料保護法，在歷經立法院多年之審議，於民國99 年4月27日三讀通過，並於同年5月26 日由總統公布；而行政院也在歷經一年多來與國內各界反覆討論後，正式公布「個資法施行細則修正條文」，並定於民國101年10月1日正式施行。 雖然早在「電腦處理個人資料保護法」的年代，保險業已經列入法律適用範圍內，但還是侷限於電腦資料的處理；而保險業在相關資訊安全管理工作的施行，主要多侷限於公司單位所管理電子資料為主。保險業無論公司規模大小、擁有個人資料數量多寡，均必需受到個人資料保護法規範；而在客戶個人資料蒐集、處理及各式的運用上，此法無疑對保險業造成莫大衝擊。因此積極規劃及施行滿足個人資料保護的資訊安全管理制度，是保險公司當前極為重要的課題。 本研究的目的在以個人資料保護法為法令遵循為前提，探討多數保險業現行採行的ISO 27001資訊安全管理標準為基礎架構，蒐集分析國內外個人資訊管理系統(PIMS)規範，期望在滿足保險業業務特性下，透過個案公司規劃實例，為個案公司及保險業掌握資安管理制度的關鍵重點，強化個人資料保護防護作為，以符合個資保護要求。

個人資料保護法

ISO 27001

PIMS

個人資訊管理系統

以保險通路觀點探討個人資料保護法告知義務之適用與差異性 / A Study on Notice Duty of Personal Information protection Act in Taiwan: The Insurance Distribution Channels Perspective

胡雅筑, Hu,Ya Chu

Unknown Date

新版個人資料保護法大幅擴張了適用範圍，其中一項修正重點在於告知義務及當事人書面同意；為保障當事人程序參與權，向當事人蒐集個人資料時，應明確告知當事人第8條所規定事項，使當事人在了解資料處理相關事項後，才有辦法做出是否進入該資料處理程序的決定。該條規定妥善的保障了當事人的資料處理程序參與權，卻亦導致金融業大規模的作業風險。 保險業是個大量牽涉到蒐集、處理或利用個人資料的產業，不同的保險行銷通路會產生各式各樣的交易模式；若藉由任何保險通路招攬保險時，均須進行第8條告知義務，將大幅增加業者法律遵循成本、作業風險，並可能造成當事人受重複告知的困擾。是以，本文目的在於探求個人資料保護差異性之空間，藉由業務員、電話行銷及銀行保險等三種保險行銷通路出發，探討不同通路下差異性適用個資法之可能性，進而再分析不同通路下蒐集個人資料時告知義務之程度差異。 本文檢視了保險核心原則、英國資料保護法及德國新保險契約法等外國立法例後發現，向當事人所揭露之資訊應根據交易情形之不同而有差異性存在；此外，根據各通路相關規範之規定，本文認為不同保險行銷通路在適用個資法告知義務時應有程度上之差異。藉由業務員通路招攬保險而蒐集當事人資料時，由於符合個資法第8條第2項第2款「履行法定義務所必要」之蒐集，應減輕業者告知義務；然而，電話行銷通路應提供要保人相對充足的保障，故向當事人蒐集資料時，仍應回歸個資法第8條第1項告知義務；而根據現行銀行保險相關規範，透過銀行通路招攬保險時，除了金控公司蒐集當事人之姓名與地址外，其他資料依然要回歸適用個資法之告知義務。金融業是個受到高度監理的行業，在個資法修正施行前，已有許多牽涉到蒐集、處理或利用當事人資料之既有規範，為了能有效達到個資法第1條之目的，本文建議應確定個資法「法定義務」之範圍，並具體定義第8條第2項第5款之「當事人明知應告知之內容」。

個人資料保護法

保險行銷通路

告知義務

戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City

蔡玫娟

Unknown Date

戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。 面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。 本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。 針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。

ISO 27001

資訊安全管理系統

個人資料保護法

美國財務資訊隱私權保護規定之研究 / A Study of American Regulations on the Protection of Credit Information Privacy

陳妍沂, Chen,Yen Yi

Unknown Date

本研究探討金融機構對於客戶個人資料之蒐集與處理,所涉及之個人資訊隱私權保護議題,分為三個面向,第一是金融機構本身對於客戶個人資料之處理,尤其是金融集團內部之個人資料分享,或將個人資料提供予他人使用,第二是政府機關向金融機構要求提供客戶資料時,涉及之個人資訊隱私權保護,第三是信用資料機構對於個人資料之處理,例如我國之金融聯合徵信中心,或美國之信用報告機構對於消費者信用報告之蒐集與流通使用. 本研究所探討之法規,包括:美國金融服務業現代化法案第五章,美國財務隱私權法,美國公平信用報告法,我國電腦處理個人資料保護法,銀行法第四十八條第二項,以及其他金融法令中涉及金融機構對個人資料處理及隱私權保護之規定.最後並將美國規定與我國規定作一比較,參酌國際上對於資訊隱私權保護之立法原則,以及我國常見之資訊隱私權爭議類型,對我國金融機構之財務資訊隱私權保護規範,提出修法方向建議. / 隨著資訊科技之發展，個人資料之流通較以往普遍且迅速，加以在商業社會中，個人資訊具有行銷方面之商品價值，常成為交易標的之內容，因此保護個人資訊隱私權，已成為各國政府共同努力的目標之一。 隱私權的概念係起源於美國，其在金融業所適用之個人財務資訊隱私權方面所提供之保障程度如何，為本研究所探討之主題，所涉及之法規，包括：美國金融服務業現代化法案、財務隱私權法、公平信用報告法。 研究結果發現，美國1999年通過之金融服務業現代化法案，雖訂有隱私權保護專章，但主要規定係要求金融機構應提供顧客隱私權保護政策通知，以及在將個人資料提供予金融集團外第三人時，應提供顧客選擇退出之機會，並未涵蓋國際上認為資訊隱私權保護應包括之各種面向，且其對於金融集團運用個人資料之限制較少，消費者控制個人資訊之權利較為不足，當金融機構違反規定時，消費者亦無向金融機構提起民事訴訟求償之權利，顯示美國在金融集團之個人資料運用方式，較重視金融集團運用個人資料所能產生之經濟效益，對於個人資訊隱私權僅提供有限程度之保障。 美國1978年財務隱私權法，係規定求政府在向金融機構要求提供顧客財務紀錄時，應遵守法定程序，包括：以法定職掌所需之攸關性資料為限，必須向顧客進行通知，使其瞭解受調查之性質以及個人資料被使用情形，個人並有提出異議以阻止政府取得其財務紀錄之機會，若政府或金融機構違反規定而取得或提供其財務紀錄，個人得向政府或金融機構提起民事訴訟求償。雖然仍有學者對該規定所提供之保障範圍或者個人行使權利之便利性，提出些微批評，但整體而言，該規定促使政府部門在向金融機構要求提供顧客財務紀錄時，應自行檢視符合法定程序，且受到司法監督，對於政府所進行之調查程序，已提供較合理之個人資訊隱私權保障。 美國公平信用報告法，係因其商業化的信用資訊機構，在蒐集與流通個人資料時，有過度侵害個人資訊隱私權之虞，故於1970年通過該法案，其後歷經1996年及2003年之修正。該法規定消費者報告機構（即信用資訊機構）、消費者報告使用者、個人資料提供者應遵循之義務，以及消費者得享有之權利，用以維護個人資訊隱私權之方法，主要是限制消費者報告僅得提供予具有合法用途之報告使用者，以及儘可能的維護個人資料之正確性，以免報告使用者依據錯誤的資料，作成相關交易決定，而損及個人之權益。該法案呈現出美國對於個人資料之態度，是認為個人資料之流通使用，對於商業交易之順利進行以及經濟發展，甚至個人順利取得融資，均有助益，故不應予以嚴格限制，以享受資訊產生之價值，但另一方面提供個人得以知悉其個人資料內容、得以提出資料更正要求、報告使用者對個人作成不利交易決定時須通知報告當事人，用這些機制，來使個人有機會確保其資料之正確性，使其在商業交易中得以受到公平合理之信用評價。 本研究最後亦就我國相關規定加以檢視，並與美國規定作一比較，結果發現，我國由於早在民國84年即已通過電腦處理個人資料保護法，對於個人資訊隱私權已提供全面性之保障，僅須對於金融業或信用資訊機構部分，再補充較為詳細的行政規定，即可減少金融業之個人資訊隱私權爭議；至於政府向金融機構要求提供顧客財務紀錄之規定，我國目前係以行政函令加以規範，且採取非公開原則，民眾尚無從知悉其個人資料被政府調閱取用之情形，此部分我國之個人資訊隱私權保障，主要係仰賴政府部門之自我監督，其對個人資訊隱私權之保障程度較難以評估。 本研究對於我國金融業財務隱私權保護規範之主要建議，包括：（1）針對金融業之資料保護進行領域專精化之法令規範，（2）設置專責「資料保護監察人」制度監督政府個人資料保護行為，並確保人民隱私權受侵害之救濟，（3）改善金融機構向客戶通知其個人資料蒐集與運用事宜之程序，（4）對於政府取得金融機構客戶資料提供更完善之程序性保障，（5）對於金融聯合徵信中心蒐集處理個人資料賦予更明確之法律地位及規範。

資訊隱私權

個人資料保護

電腦處理個人資料保護法

信用報告

隱私權

公平信用報告法

財務隱私權法

個人資料

information privacy

personal data protection

GLB Act

credit reports

privacy

Fair Credit Reporting Act

FCRA

Right to Financial Privacy Act

企業內電子郵件監控與隱私權保護爭議之探討

呂雅惠

Unknown Date

本論文共分六章。第一章旨在說明本論文的研究動機、所欲處理的企業內電子郵件監看議題的引爆點及研究方法。 在針對監視與勞動隱私的討論中，福特（Michael Ford）指出，當前的監督與過去相較，有過之而無不及，因為資訊傳播科技的興起化解了從事持續監督的經濟障礙。本論文的第二章，首先即由工作場所監督行為，特別是資訊社會電子化辦公場所帶來的新興科技監視型態--電子監視開展。以最常見的監控方式---電話監聽、錄影監控及電子郵件與網路使用行為的監控作為主要的討論內容。 關於企業內電子郵件監控的問題，不論實務見解或相關論述，長久以來，均落入這樣的迷思：雇主確實擁有電腦所有權，雇主為維護企業秩序，有權規定應遵守的紀律。相較於政府行為的侵害，上開二種聯想於是給了雇主監視的堂皇理由。甚且，即使國際勞動基準的建構已漸漸蔚為風尚，然而，此議題亦未獲得應有的關注。因此，本文於第二章希望藉由檢驗監看行為所涉基本權利的侵害，作為喚醒所應珍視之憲法價值的引導。接著論證基本權利的第三人效力與提供基本權利衝突的解決之鑰。 我國對此問題的相關論述多聚焦在美國法，實務見解由結論上看來，也因襲美國法的思維。美國法上累積不少案例，於立法史上亦多有爭議與阻礙。然而，美國學者亦不乏批評聲音。本論文第三章，一方面介紹本議題在美國的實際情況，另一方面也是要呈現法規範不足所面臨的窘境。 美國隱私的概念來自個人主義，隱私幾乎被當作財產看待。然而，對此議題，歐洲國家則採異於美國法的個人自主、尊嚴的價值傾向。更值得注意者，相對於美國對於通訊內容本身的討論，歐盟指令提供的是個人資料的保護。本論文於第四章即以歐盟相關立法規範及主要會員國之規範作為美國法的對比。雖然美國法上的評論現況，多以侵權行為的侵入要件及「隱私的合理期待」作為主要的標靶，但許多學者也留意到歐洲人權公約第8條的規定。本章中，我們也將探討歐洲人權公約第8條的意涵及關於「合理隱私期待」的檢驗。另外，歐洲人權法院在人權及基本自由的保障上，扮演舉足輕重的角色。因此，該院的重要判決，值得詳細介紹，以收當頭棒喝之效。 論文第五章，主要是針對我國相關法律規範的檢討及實務判決的俯瞰，並提出本文看法及我國法上自省的方向。 最後，本論文第六章整理先前討論的重點，提出若干建議作為結論。

電子郵件監看

隱私權

資訊自決

個人資料保護

合理隱私期待

論客戶資訊之保護--- 以個人資料保護法與營業秘密法為核心 / The Protection of Customer Information Based on Privacy and Trade Secrets

吳展宇

Unknown Date

客戶資訊對於企業而言是重要資產，其為企業帶來許多競爭上優勢。為了解消費者之需求及喜好，以提供合適之商品或服務，企業多半會將其彙整並建置成資料庫。然而，該等資訊多涉及客戶個人之資訊隱私，企業在蒐集、處理及應用時，應特別注意各該法規之要求，故本文將美國針對個人資訊隱私保護之各類判決及專法加以介紹，並與台灣之「個人資料保護法」(以下簡稱個資法)相互對照，提醒跨國企業在客戶資訊的蒐集及應用上所應注意之事項，並降低企業之遵法成本與違法風險。 另外，客戶資訊若符合法定要件，可構成企業之營業秘密而受保護。美國「統一營業秘密法」、「經濟間諜法」及「反不正競爭法」中提供數種判斷標準，而這些標準已逐漸被各州法院所採納。相較之下，台灣營業秘密法於民國85年制訂施行後，近期亦參考美國經濟間諜法而增訂刑事責任，用以嚇阻惡意侵害營業秘密之行為。至於我國公平交易法就營業秘密之保護，則集中在該法第19條第5款的規定，其與營業秘密法之適用上競合，亦為本文探究之重點。 因此，本文基於台美法制之比較目的，將研究範圍限於美國之個人資訊隱私保護專法及判決、統一營業秘密法、經濟間諜法及反不正競爭法等層面；台灣法亦限於個人資訊保護法、營業秘密法及公平交易法之探討，以及各該法規之交錯適用，並以表格的方式，將違反上述法規時所應負之民事責任、刑事制裁或行政罰之異同作出比較，便利讀者參考。 另一方面，個資法之「安全措施」及營業秘密之「合理保密措施」兩者雖皆屬保護客戶資訊之措施，但實務上之認定標準並不相同。企業應如何妥善保管其所擁有之客戶資訊，方能符合上述兩種措施之要求，亦為本文討論之重點，故本文將針對台美兩國就上述兩種措施之認定標準進行介紹並相互比較，以提供業界一套具體之管理措施，便利跨國企業維護其所擁有之客戶資訊，提升企業營運效能，並增加客戶之信賴度。當客戶個人資料不幸被他人盜取時，企業得以控管損害之範圍，甚而可對客戶資訊之盜取者主張營業秘密侵害之損害賠償及相關罰則，以便公司順利經營，避免不必要的損失。

客戶資訊

個人資料

安全措施

營業秘密

合理保密措施