金控之個資保護架構研究

陳淑芬

Unknown Date

金控公司整併後，無不投入物力、人力，建置一個安全、有效率的資訊安全架構來保護客戶資料，但近年來仍頻傳客戶資料外洩，不但讓客戶失去信心，甚而影響公司業務營運。金控公司在個人資料保護管理上是否仍有疏失而未防範到? 目前立法院審議中的「個人資料保護法」草案內容，個資外洩賠償上限從現行法2千萬元大幅提高到10億元。若該法案依此通過後，金控公司如未能安全地防護龐大客戶資料，再發生重大個資外洩案，除造成公司被告外，勢必面臨逾億或動輒高達數億元的超高額賠償。 本研究透過業者訪談瞭解當前金控公司在客戶之個人資料保護資訊架構之現況。並以產險子公司客戶從通路投保，登打客戶資料後儲存至核心系統資訊平台，再將資料流傳送至金控公司共用資訊平台，及資料後續的應用，逐一探討資料流程中之各個可能產生風險之管控點；並瞭解當前金控之整合及法規、資安規範，應用ISO 27001之管控點精神及資訊資產分類，希望能規劃適用於金融公司客戶個人資料保護之資訊管理架構，達到保護客戶資料之可用性、完整性以及機密性。 最後，本研究提出金控公司業者在客戶個人資料保護資訊管理架構之規劃建議，是希望以客戶觀點，能讓金控公司在防範外洩的管理措施上更嚴密，期使客戶能信任地將個人資料、理財活動交給金控公司，並增加金控公司共同行銷之機會。

個人資料保護

資訊安全

資訊資產

ISO27001

基於存取目的之個資控管框架-以銀行業為例 / Purpose-Based PII Control Framework - A Banking Perspective.

鄭明璋, Cheng, Ming Chang

Unknown Date

新版「個人資料保護法」在民國99年5月公布，並正式實施於民國101年10月；隨著新法的實施，不管是公部門或民間組織，都投入大量資源以期改善並確保自己的組織對於個人資料之蒐集、處理與利用，能夠符合「個人資料保護法」的要求。 由於業務特性，個人資料的蒐集、處理與利用，乃是銀行業者日常必須面對的課題。雖然舊版個資相關法令「電腦處理個人資料保護法」與「銀行法」對於個人資料的處理都已有相關規定，但由於稽核與舉證困難、罰則過輕等原因，業者並未真正重視個資保護課題，善盡個資保護的責任，所以銀行發生個資外洩的案例時有所聞。新版「個人資料保護法」正式實施後，舉證責任歸屬由當事人變成企業，在疑似個資外洩事件發生時，企業須舉證其組織之系統或機制已對個人資料之控管機制已滿足「個人資料保護法」的要求，盡到完善管理之責任。因此業者不得不投入大量資源來周全組織內對於個人資料的保護與稽核機制，把新版法規的各項規定要求納入系統功能範疇。 伴隨「個人資料保護法」的實施，法務部頒布了「個人資料保護法之特定目的及個人資料之類別」細則來明確規範個人資料的類別範疇、以及存取個人資料之目的。本研究即針對此項要求，歸納分析銀行業的業務現況，並納入未來業務發展之可能需求，設計一具備彈性之個資存取框架以管理個資分類與存取目的，進而滿足「個人資料保護法」的要求。 / As the latest version of the "Personal Data Protection Act (PDPA)" published on May, 2010, and formally implemented since October, 2012, all public and private sector organizations need to put in significant resources to meet the strengthened legal requirements of personal data collection, processing and utilization. Yet banks are among the first to be affected by them, as personal data collection, usage and handling are essential to their daily operations. Therefore, this thesis investigates the compliance of PDPA from a banking perspective. A distinguished feature of the new "Personal Data Protection Act" is the inclusion of "purposes" in regulating access to personal data, namelyan organization must get the informed consent from its customer regarding how her personal data will be used, namely privacy preferences. Currently, employing a proper access control mechanism to protect customer's data is a well-accepted discipline in bank information system (BIS) development. However, the design of such mechanisms hardly includes the requirement of supporting customers’ preferences regarding the use of their personal data. It is therefore highly desirable to extend a BIS's access control to handle customers' privacy preferences. This thesis investigates the common practices of bank operations and presents a purpose-based access control framework for future BIS development. Specifically, we derive a classification of bank customers' personal data and purpose categories for bank operations so that the proposedaccees control framework can ensure all accesses to customers' personal data match their granted access purposes. As a result, the framework will lay a foundation to the compliance of PDPA for a bank.

個人資料保護法

隱私

目的

Personal Data Protection Act

Privacy

Purpose

保險業因應新版個資法之資安管理研究－以S公司為例 / Information Security Management for Insurance in Response to the New Version of Personal Data Protection Law－A Case Study of S Company

謝正彬

Unknown Date

新版個人資料保護法，在歷經立法院多年之審議，於民國99 年4月27日三讀通過，並於同年5月26 日由總統公布；而行政院也在歷經一年多來與國內各界反覆討論後，正式公布「個資法施行細則修正條文」，並定於民國101年10月1日正式施行。 雖然早在「電腦處理個人資料保護法」的年代，保險業已經列入法律適用範圍內，但還是侷限於電腦資料的處理；而保險業在相關資訊安全管理工作的施行，主要多侷限於公司單位所管理電子資料為主。保險業無論公司規模大小、擁有個人資料數量多寡，均必需受到個人資料保護法規範；而在客戶個人資料蒐集、處理及各式的運用上，此法無疑對保險業造成莫大衝擊。因此積極規劃及施行滿足個人資料保護的資訊安全管理制度，是保險公司當前極為重要的課題。 本研究的目的在以個人資料保護法為法令遵循為前提，探討多數保險業現行採行的ISO 27001資訊安全管理標準為基礎架構，蒐集分析國內外個人資訊管理系統(PIMS)規範，期望在滿足保險業業務特性下，透過個案公司規劃實例，為個案公司及保險業掌握資安管理制度的關鍵重點，強化個人資料保護防護作為，以符合個資保護要求。

個人資料保護法

ISO 27001

PIMS

個人資訊管理系統

以保險通路觀點探討個人資料保護法告知義務之適用與差異性 / A Study on Notice Duty of Personal Information protection Act in Taiwan: The Insurance Distribution Channels Perspective

胡雅筑, Hu,Ya Chu

Unknown Date

新版個人資料保護法大幅擴張了適用範圍，其中一項修正重點在於告知義務及當事人書面同意；為保障當事人程序參與權，向當事人蒐集個人資料時，應明確告知當事人第8條所規定事項，使當事人在了解資料處理相關事項後，才有辦法做出是否進入該資料處理程序的決定。該條規定妥善的保障了當事人的資料處理程序參與權，卻亦導致金融業大規模的作業風險。 保險業是個大量牽涉到蒐集、處理或利用個人資料的產業，不同的保險行銷通路會產生各式各樣的交易模式；若藉由任何保險通路招攬保險時，均須進行第8條告知義務，將大幅增加業者法律遵循成本、作業風險，並可能造成當事人受重複告知的困擾。是以，本文目的在於探求個人資料保護差異性之空間，藉由業務員、電話行銷及銀行保險等三種保險行銷通路出發，探討不同通路下差異性適用個資法之可能性，進而再分析不同通路下蒐集個人資料時告知義務之程度差異。 本文檢視了保險核心原則、英國資料保護法及德國新保險契約法等外國立法例後發現，向當事人所揭露之資訊應根據交易情形之不同而有差異性存在；此外，根據各通路相關規範之規定，本文認為不同保險行銷通路在適用個資法告知義務時應有程度上之差異。藉由業務員通路招攬保險而蒐集當事人資料時，由於符合個資法第8條第2項第2款「履行法定義務所必要」之蒐集，應減輕業者告知義務；然而，電話行銷通路應提供要保人相對充足的保障，故向當事人蒐集資料時，仍應回歸個資法第8條第1項告知義務；而根據現行銀行保險相關規範，透過銀行通路招攬保險時，除了金控公司蒐集當事人之姓名與地址外，其他資料依然要回歸適用個資法之告知義務。金融業是個受到高度監理的行業，在個資法修正施行前，已有許多牽涉到蒐集、處理或利用當事人資料之既有規範，為了能有效達到個資法第1條之目的，本文建議應確定個資法「法定義務」之範圍，並具體定義第8條第2項第5款之「當事人明知應告知之內容」。

個人資料保護法

保險行銷通路

告知義務

戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City

蔡玫娟

Unknown Date

戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。 面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。 本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。 針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。

ISO 27001

資訊安全管理系統

個人資料保護法

企業內電子郵件監控與隱私權保護爭議之探討

呂雅惠

Unknown Date

本論文共分六章。第一章旨在說明本論文的研究動機、所欲處理的企業內電子郵件監看議題的引爆點及研究方法。 在針對監視與勞動隱私的討論中，福特（Michael Ford）指出，當前的監督與過去相較，有過之而無不及，因為資訊傳播科技的興起化解了從事持續監督的經濟障礙。本論文的第二章，首先即由工作場所監督行為，特別是資訊社會電子化辦公場所帶來的新興科技監視型態--電子監視開展。以最常見的監控方式---電話監聽、錄影監控及電子郵件與網路使用行為的監控作為主要的討論內容。 關於企業內電子郵件監控的問題，不論實務見解或相關論述，長久以來，均落入這樣的迷思：雇主確實擁有電腦所有權，雇主為維護企業秩序，有權規定應遵守的紀律。相較於政府行為的侵害，上開二種聯想於是給了雇主監視的堂皇理由。甚且，即使國際勞動基準的建構已漸漸蔚為風尚，然而，此議題亦未獲得應有的關注。因此，本文於第二章希望藉由檢驗監看行為所涉基本權利的侵害，作為喚醒所應珍視之憲法價值的引導。接著論證基本權利的第三人效力與提供基本權利衝突的解決之鑰。 我國對此問題的相關論述多聚焦在美國法，實務見解由結論上看來，也因襲美國法的思維。美國法上累積不少案例，於立法史上亦多有爭議與阻礙。然而，美國學者亦不乏批評聲音。本論文第三章，一方面介紹本議題在美國的實際情況，另一方面也是要呈現法規範不足所面臨的窘境。 美國隱私的概念來自個人主義，隱私幾乎被當作財產看待。然而，對此議題，歐洲國家則採異於美國法的個人自主、尊嚴的價值傾向。更值得注意者，相對於美國對於通訊內容本身的討論，歐盟指令提供的是個人資料的保護。本論文於第四章即以歐盟相關立法規範及主要會員國之規範作為美國法的對比。雖然美國法上的評論現況，多以侵權行為的侵入要件及「隱私的合理期待」作為主要的標靶，但許多學者也留意到歐洲人權公約第8條的規定。本章中，我們也將探討歐洲人權公約第8條的意涵及關於「合理隱私期待」的檢驗。另外，歐洲人權法院在人權及基本自由的保障上，扮演舉足輕重的角色。因此，該院的重要判決，值得詳細介紹，以收當頭棒喝之效。 論文第五章，主要是針對我國相關法律規範的檢討及實務判決的俯瞰，並提出本文看法及我國法上自省的方向。 最後，本論文第六章整理先前討論的重點，提出若干建議作為結論。

電子郵件監看

隱私權

資訊自決

個人資料保護

合理隱私期待

台灣銀行業作業風險的新挑戰－金融消費者保護法及個人資料保護法之因應

高秀嘉, Kao, Hsiu Chia

Unknown Date

我國銀行業最常見的作業風險事件多集中於少數幾項類型：內部詐欺；外部詐欺；客戶、產品與營業行為；運送與作業流程之管理。從銀行業的角度來看，各項法條的意義雖很重要，實務上如何執行才能滿足新法規的要求以減降作業風險才是銀行管理人員最關心的事項。本研究針對幾項銀行在推動作業風險管理體制過程中主要面對的挑戰，從新巴賽爾資本協定中作業風險的角度，試圖分析並且提出因應金融消費者保護法與新版個人資料保護法後作業風險管理的建議，包括落實作業風險的管理工具與運作模式進行探討。具體目的包括探討目前台灣銀行業作業風險所面臨的法規挑戰、探討台灣銀行業如何落實作業風險管理、並提出結論與建議以提供台灣銀行業者後續經營的參考。

作業風險

金融消費者保護

個人資料保護

法令遵循

內控制度

論偵查機關調閱銀行私人帳戶資料之合法性─與美國作比較 / The Legality on Our Law Enforcement's Access to Private Banking Account–In Comparison with the United States

張君寧, Chang, Chun Ning

Unknown Date

長久以來，我國在偵辦民刑事案件時，調閱相關人等之銀行帳戶資料通常是必要作法之一，表面上看來行之有年、理所當然，但深究後卻發現未臻完善、有待改進，其中尤以正當合法性及與個人隱私權之衝突最具爭議。調閱銀行帳戶資料固然是快速有效偵查案情的方式之一，但若無合理的法律依據、明確的施行方針、完善的配套措施及必要的懲處規定，將易流於擴權濫用，不僅違背法理，亦侵害當事人之隱私權，影響甚鉅，而當今我國文獻中卻較缺乏關於此方面之探討，殊為可惜。因此，目前我國偵查機關調閱銀行帳戶資料之法律依據為何？與其他法律是否有矛盾衝突之處？實務上如何施行？有哪些配套措施？未來有何改進之道？若公務機關違法濫權有何懲罰機制？如何適當修改現有法令規範以使其更臻完善？凡此皆與社會大眾息息相關，並使筆者產生高度興趣及強烈研究動機，期盼透過深入研究，得以充分瞭解相關理論與實務，並對問題提出解決或改善之建議。 無論自人性尊嚴、隱私權或資訊自決權之觀點來看，個人資料保護皆為基本且重要之議題，不容忽視，而銀行帳戶實為個人資料當中非常重要之一環。美國為隱私權概念發源地，理論與實務發展久遠，深具探討價值，故本文擇其作為比較分析對象。為求深入探討調閱銀行帳戶資料在台灣及美國司法實務面運作之情形，本文整理解析兩國近年來相關法規及民事刑事裁判，2010年4月我國立法通過之「電腦處理個人資料保護法修正案」(後更名為「個人資料保護法」，2012年10月付諸實行，以下亦簡稱「新個資法」)亦在本文討論範圍內。本文將介紹各相關法規內容，分析新舊法規之差異，探究實務面作法及未來可能走向，以提供各位讀者先進參考。 國家為履行公共任務或打擊金融犯罪，通常需要調閱相關人等之銀行帳戶資料，此為偵查機關職責所在，但若稍有不慎即可能使個人資訊隱私權遭受重大侵害，而目前理論與實務面皆尚有未盡完善之處。筆者盼以本身面臨之法令疑義，對我國新個資法及台美兩國相關法規之檢視，對本文蒐集資料之研讀心得，及在金融業服務十年之工作經驗作為本文研究之核心。 本篇論文之主要目的，盼藉由各面向之探討及對法律制度之論述，檢視當今我國與美國調閱銀行私人帳戶資料之正當性與合法性；本文不僅描述兩國偵查機關調閱銀行帳戶資料之現況，亦針對問題分析研究，提出建議策略，盼能為我國目前存在之問題困境貢獻一己之力，以供法律界、金融界及相關公務部門參考。 透過本文研究，可觀察目前我國與美國調閱銀行私人帳戶資料相關法規與實務之發展方向，探討主管機關在提升偵查效率及保障個人財務資訊隱私權之間如何取得平衡，希冀政府機關不僅能快速有效完成偵查任務，亦能在合情合理合法範圍內作好個人資料保護，兩全其美。 / In Taiwan, law enforcement’s access to private banking account is a common way of investigating civil or criminal crimes. Although it seems very normal, it still has some problems need to be solved, especially its legality and controversy over privacy. It’s efficient to investigate a crime by retrieving data from private banking account, but it’s easy to invade personal privacy if there’s no reasonable law, clear direction, supplementary measures or necessary punishments. As a result, it’s very worthwhile and important to discuss this thesis’ title. However, there are not many relevant essays or writings in our country nowadays. About this issue, there are many relevant topics which are worthy to be discussed. For example, what is the legal basis of this kind of investigation? Is there any inconsistency between its legal basis and other laws? What are the implementations or supporting measures in practice and improvements in the future? Is there any supervision mechanism if the Government abuses its power? How to amend existing legal regulations appropriately to make them more perfect? Topics above are closely related to all society so the author has a high degree of interest and motivation. Hope this thesis will make readers fully understand relevant theory and practice then they may know how to solve problems and make improvements by this article’s suggestion. Whether from the point of view of privacy, human dignity or self-determination of revealing personal information, protection of personal data is always a basic and important issue which shouldn’t be ignored. The private banking account is actually one kind of the most important personal data. The United States (hereinafter also “America”) is the birthplace of the concept of privacy which has developed there for a long time. It is worth researching so the author selects America for comparative analysis task. In order to discuss the judicial practice about private banking account being investigated by the authorities in Taiwan and America, the author sorts out and analyzes relevant regulations and criminal judges of these two countries in recent years. “Computer Processed Personal Information Protection Act Amendments” (later renamed “Personal Information Protection Act”, implemented in October 2012, hereinafter also “New Personal Information Act”) passed by the Legislative Yuan of Taiwan in April 2010 is also within the scope of this article. This article will describe the contents of relevant laws, analyze the differences between old and new regulations and discuss practical approaches and possible directions in the future so this thesis will provide reference for all readers. The Government often needs to retrieve banking account information to fulfill public tasks or fight against financial crimes. Although this is the duty of the authorities, it will result in serious violation of personal information privacy if the authorities make any mistake. In fact, both of relevant theory and practice in our country have some drawbacks and deficiencies at this time. The author looks forward to discussing the doubts of law, examining “New Personal Information Act” and relevant regulations of Taiwan and America and sharing study experience on this issue and a decade of work experience in the financial industry in order to constitute the core of this research. The main purpose of this thesis is to examine the necessity and legality of retrieving banking account information in Taiwan and America by discussing all relevant aspects and legal systems. This article not only describes the authorities’ access to banking account information in the current situation but also analyzes problems, makes suggestions and offers strategies. The author hopes to do his best to make some contribution to the law, financial industry and related public authorities. Through this thesis, readers could observe Taiwan and America’s investigation of private banking account currently and developing directions of relevant regulations and actual situations in the future. Readers could also learn and discuss how the authorities weigh improvement of investigation efficiency and protection of personal financial information privacy. Hope our Government will not only complete investigation quickly and efficiently but also protect personal information privacy legally and reasonably.

調閱

美國

偵查機關

銀行帳戶

財務資訊

隱私權

個人資料保護

個人資料保護法

正當性

合法性

Retrieval

the United States

Investigation

Banking Account

Financial Information

Privacy

Protection of Personal Information

Personal Information Protection Act

Legitimacy

Legality

汽車分期付款買賣之研究

蔡炎暾, Tsai,Yen-dun

Unknown Date

由汽車分期付款買賣坊間車商之定型化契約條款出發，依民法、消保法檢討相關約款之合理、正當性。

汽車

分期付款

附條件買賣

物之瑕疵

商品製造人責任

資訊揭露原則

個人資料保護

資訊公開制度之理論與實際

高仁川

Unknown Date

No description available.

資訊公開

知的權利

國家機密

隱私權

個人資料保護

紛爭解決

行政程序

行政訴訟