Global ETD Search

1	基於存取目的之個資控管框架-以銀行業為例 / Purpose-Based PII Control Framework - A Banking Perspective. 鄭明璋, Cheng, Ming Chang Unknown Date (has links) 新版「個人資料保護法」在民國99年5月公布，並正式實施於民國101年10月；隨著新法的實施，不管是公部門或民間組織，都投入大量資源以期改善並確保自己的組織對於個人資料之蒐集、處理與利用，能夠符合「個人資料保護法」的要求。由於業務特性，個人資料的蒐集、處理與利用，乃是銀行業者日常必須面對的課題。雖然舊版個資相關法令「電腦處理個人資料保護法」與「銀行法」對於個人資料的處理都已有相關規定，但由於稽核與舉證困難、罰則過輕等原因，業者並未真正重視個資保護課題，善盡個資保護的責任，所以銀行發生個資外洩的案例時有所聞。新版「個人資料保護法」正式實施後，舉證責任歸屬由當事人變成企業，在疑似個資外洩事件發生時，企業須舉證其組織之系統或機制已對個人資料之控管機制已滿足「個人資料保護法」的要求，盡到完善管理之責任。因此業者不得不投入大量資源來周全組織內對於個人資料的保護與稽核機制，把新版法規的各項規定要求納入系統功能範疇。伴隨「個人資料保護法」的實施，法務部頒布了「個人資料保護法之特定目的及個人資料之類別」細則來明確規範個人資料的類別範疇、以及存取個人資料之目的。本研究即針對此項要求，歸納分析銀行業的業務現況，並納入未來業務發展之可能需求，設計一具備彈性之個資存取框架以管理個資分類與存取目的，進而滿足「個人資料保護法」的要求。 / As the latest version of the "Personal Data Protection Act (PDPA)" published on May, 2010, and formally implemented since October, 2012, all public and private sector organizations need to put in significant resources to meet the strengthened legal requirements of personal data collection, processing and utilization. Yet banks are among the first to be affected by them, as personal data collection, usage and handling are essential to their daily operations. Therefore, this thesis investigates the compliance of PDPA from a banking perspective. A distinguished feature of the new "Personal Data Protection Act" is the inclusion of "purposes" in regulating access to personal data, namelyan organization must get the informed consent from its customer regarding how her personal data will be used, namely privacy preferences. Currently, employing a proper access control mechanism to protect customer's data is a well-accepted discipline in bank information system (BIS) development. However, the design of such mechanisms hardly includes the requirement of supporting customers’ preferences regarding the use of their personal data. It is therefore highly desirable to extend a BIS's access control to handle customers' privacy preferences. This thesis investigates the common practices of bank operations and presents a purpose-based access control framework for future BIS development. Specifically, we derive a classification of bank customers' personal data and purpose categories for bank operations so that the proposedaccees control framework can ensure all accesses to customers' personal data match their granted access purposes. As a result, the framework will lay a foundation to the compliance of PDPA for a bank. 個人資料保護法隱私目的 Personal Data Protection Act Privacy Purpose
2	保險業因應新版個資法之資安管理研究－以S公司為例 / Information Security Management for Insurance in Response to the New Version of Personal Data Protection Law－A Case Study of S Company 謝正彬 Unknown Date (has links) 新版個人資料保護法，在歷經立法院多年之審議，於民國99 年4月27日三讀通過，並於同年5月26 日由總統公布；而行政院也在歷經一年多來與國內各界反覆討論後，正式公布「個資法施行細則修正條文」，並定於民國101年10月1日正式施行。雖然早在「電腦處理個人資料保護法」的年代，保險業已經列入法律適用範圍內，但還是侷限於電腦資料的處理；而保險業在相關資訊安全管理工作的施行，主要多侷限於公司單位所管理電子資料為主。保險業無論公司規模大小、擁有個人資料數量多寡，均必需受到個人資料保護法規範；而在客戶個人資料蒐集、處理及各式的運用上，此法無疑對保險業造成莫大衝擊。因此積極規劃及施行滿足個人資料保護的資訊安全管理制度，是保險公司當前極為重要的課題。本研究的目的在以個人資料保護法為法令遵循為前提，探討多數保險業現行採行的ISO 27001資訊安全管理標準為基礎架構，蒐集分析國內外個人資訊管理系統(PIMS)規範，期望在滿足保險業業務特性下，透過個案公司規劃實例，為個案公司及保險業掌握資安管理制度的關鍵重點，強化個人資料保護防護作為，以符合個資保護要求。個人資料保護法 ISO 27001 PIMS 個人資訊管理系統
3	以保險通路觀點探討個人資料保護法告知義務之適用與差異性 / A Study on Notice Duty of Personal Information protection Act in Taiwan: The Insurance Distribution Channels Perspective 胡雅筑, Hu,Ya Chu Unknown Date (has links) 新版個人資料保護法大幅擴張了適用範圍，其中一項修正重點在於告知義務及當事人書面同意；為保障當事人程序參與權，向當事人蒐集個人資料時，應明確告知當事人第8條所規定事項，使當事人在了解資料處理相關事項後，才有辦法做出是否進入該資料處理程序的決定。該條規定妥善的保障了當事人的資料處理程序參與權，卻亦導致金融業大規模的作業風險。保險業是個大量牽涉到蒐集、處理或利用個人資料的產業，不同的保險行銷通路會產生各式各樣的交易模式；若藉由任何保險通路招攬保險時，均須進行第8條告知義務，將大幅增加業者法律遵循成本、作業風險，並可能造成當事人受重複告知的困擾。是以，本文目的在於探求個人資料保護差異性之空間，藉由業務員、電話行銷及銀行保險等三種保險行銷通路出發，探討不同通路下差異性適用個資法之可能性，進而再分析不同通路下蒐集個人資料時告知義務之程度差異。本文檢視了保險核心原則、英國資料保護法及德國新保險契約法等外國立法例後發現，向當事人所揭露之資訊應根據交易情形之不同而有差異性存在；此外，根據各通路相關規範之規定，本文認為不同保險行銷通路在適用個資法告知義務時應有程度上之差異。藉由業務員通路招攬保險而蒐集當事人資料時，由於符合個資法第8條第2項第2款「履行法定義務所必要」之蒐集，應減輕業者告知義務；然而，電話行銷通路應提供要保人相對充足的保障，故向當事人蒐集資料時，仍應回歸個資法第8條第1項告知義務；而根據現行銀行保險相關規範，透過銀行通路招攬保險時，除了金控公司蒐集當事人之姓名與地址外，其他資料依然要回歸適用個資法之告知義務。金融業是個受到高度監理的行業，在個資法修正施行前，已有許多牽涉到蒐集、處理或利用當事人資料之既有規範，為了能有效達到個資法第1條之目的，本文建議應確定個資法「法定義務」之範圍，並具體定義第8條第2項第5款之「當事人明知應告知之內容」。個人資料保護法保險行銷通路告知義務
4	戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City 蔡玫娟 Unknown Date (has links) 戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。 ISO 27001 資訊安全管理系統個人資料保護法
5	雲端運算時代個資隱私安全之探討 -- 以雲端服務條款為中心 / Privacy and Information Security Issues in Cloud Computing: From the Perspective of Service Level Agreement 孫德沛, Sun, Tei Pei Unknown Date (has links) 雲端運算的特性在於只要連線上雲端服務提供者的平台，隨時隨地就可以享受到最新最便利的雲端服務。雲端運算因此具有使用彈性、接觸容易、擴充迅速及即用即付費的優勢，不用在像過去套裝軟體時代花費成本在軟硬體升級上，所以有愈來愈多的使用者踏入雲端行列，雲端運算技術及服務已成為資訊產業關注的焦點。但是雲端運算的這項優勢卻容易讓人忽略是建立在將資訊傳至雲端伺服器來進行處理、運算及儲存的模式，這固然讓使用者享受到雲端服務，但雲端服務提供者也同樣掌握了使用者資訊，使用者因而不再完全控制資訊的應用及流向，使得資訊外流的可能性大幅增加。這些資訊安全風險可能來自於雲端平台的穩定性或安全漏洞，或者是雲端業者基於商業考量的洩漏給其他廣告贊助商等第三人。雲端服務提供者針對這些資訊隱私安全的疑義，訂立許多雲端隱私權政策及使用條款來規範與使用者間的法律關係。本研究即先從美國法及歐盟安全指令等國際公約著手，探討可以作為網路雲端時代的規範基礎，並以此分析雲端服務的隱私權政策及服務條款。根據這些分析討論的結果，再探討在我國民法、消費者保護法及新修正通過之個人資料保護法之體系下，這些雲端隱私權政策及服務條款的適法性問題。關鍵字：雲端運算、雲端服務、隱私權政策、服務條款、歐盟安全指令、個人資料保護法雲端運算雲端服務隱私權政策服務條款歐盟安全指令個人資料保護法
6	ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C 孫天貴, Sun, Tien Kuei Unknown Date (has links) 隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。資訊安全管理系統(ISMS) 個人資料管理系統(PIMS) MSS 個人資料保護法 ISO27001 TPIPAS BS10012
7	勞動領域勞工隱私權之研究—以求職階段為中心 / 姚妤嬙 Unknown Date (has links) 在勞工進入職場工作前之面試階段，雇主為了解求職者個人背景，以判斷前來應徵者是否為企業所需之人力，而有向求職者詢問、要求填寫資料表或問卷甚至是企業照會的行為；在勞動關係中，雇主為確保受僱勞工是否依約履行勞務，則會有監視其員工工作情形之行為。上述雇主之行為應受憲法上關於營業自由以及財產權之保護。然依據司法院大法官所作出之多號解釋，隱私權在我國亦為憲法所保障之基本權利，而勞工作為權利主體，不論其係身處於求職或在職階段，亦應當享有隱私權之保護。是以雇主縱使是為了維護其營業自由與財產權，但所為之詢問與監督行為應仍受一定界線之限制，否則將構成勞工之隱私權，從而雇主之行為於何等範圍內始不至於過當該基本權衝突問題應如何處理便是核心關鍵。　　為衡平會員國間關於資料保護水準之落差，歐盟理事會通過了個人資料處理及自由流通保護指令，依該指令所成立之資料保護小組針對就業領域雇主處理受僱人資料之問題提出意見書，強調雇主於行為時應注意終局性原則、透明性原則、合法性原則、比例原則、正確性原則、安全性原則以及專責人員專業意識原則，此外針對僱傭關係中當事人同意之問題，亦表示應作為最後手段。　　德國近期於2009年所修正之聯邦個人資料保護法，於第32條增列針對僱傭關係中蒐集受僱人資料之專責規範。依其規定，雇主僅於受僱人之資料係成立、履行或終結僱傭關係該目的所必要者始得為蒐集、處理或利用之行為。且對於在僱傭關係中基於犯罪嫌疑之揭露所為之資料蒐集行為訂有嚴格之要件限制。實務上亦有豐富且詳細之判決在處理關於受僱人資料蒐集的問題。　　觀察歐盟指令、德國聯邦個人資料保護法以及國內與勞工資料蒐集有關之法規範，本文認為在僱傭關係中倘雇主欲為勞工個人資料之蒐集、處理或利用，應符合以下要件：(1)基於僱傭關係成立、履行或終結之目的所必要，(2)符合個人資料保護法之法定事由，(3)踐行告知義務並且(4)注意誠信原則、比例原則與不當連結禁止原則等等的上位基本原則。而在針對求職階段之實際個案操作上，具體而言應考量以下之判斷標準：1.勞動關係之特殊性。2.雇主須是基於挑選得勝任應聘職務優秀人才之正當目的。3.詢問之事項須與應聘職務有核心、重要之關聯。4.於雇主本身具有特殊性時，得詢問與該特殊性有關之事項。5.倘求職者於締約前已知悉其所具備之情狀將對於契約之履行產生重大障礙，縱使雇主未為相關之詢問，求職勞工仍應負有主動告知義務。透過上述要件及判准之檢驗，應得為雇主之合法權限劃出適當之範圍，從而落實勞工隱私權之保護。勞工隱私權保護基本權衝突利益衡量雇主詢問權
8	論個人資料保護法之相關法律問題及其改進建議-參考國際組織相關準則高振格 Unknown Date (has links) 近年由於資訊社會快速變遷，相關產業不斷改革，個人資料侵害事件頻傳，個資議題逐漸受到重視。為了修正難以跟上社經發展腳步之「電腦處理個人資料保護法」，民國99年5月26日公布了新修訂的「個人資料保護法」，卻引起極大的爭議，至該法公布至今已逾兩年卻尚未施行，造成電腦處理個人資料保護法的闕漏遲遲無法獲得填補。個人資料保護法所牽涉者，不僅為個人資訊權的保障，由於個人資料保護意識已在國際間抬頭，若個人資料保護水準未合乎適足標準，我國在蒐集外國個人資料時會受到限制，恐怕會危及我國在國際間資訊傳遞的便利性，如此資訊傳遞將成為我國企業於國際競爭上的劣勢，是我國個人資料保護法制的確立實至關重要。　　本文嘗試先就「個人資訊自決權」的角度，申論本次電腦處理個人資料保護法的修法內容之利弊，並以歐盟之「個人資料保護指令」、經濟合作發展組織之「隱私保護與個人資料跨國交流指導原則」以及亞太經濟合作組織之「隱私保護架構」所揭櫫之個人資料保護原則，探討「告知原則」、「同意原則」、「選擇退出制度」以及「敏感性個人資料之保護」等議題，論其對個人資料保護法相關規定之影響。最後，再針對個人資料保護法施行窒礙之相關爭議規定，提出修正或配套意見，期盼我國個人資料保護法制得以完善。個人資訊自決權個人資料保護法敏感性個人資料外國帳戶稅收遵從法案選擇加入制度
9	語意性的隱私政策-落實於銀行內部隱私保護的研究 / Semantic privacy policies－Research for the enforcement of privacy protection inside the bank 李家輝, Lee, Chia Hui Unknown Date (has links) 網際網路的興起帶動銀行業電子商務的發展；然而，在開放式的網路環境下，個人的財務、交易等具有隱私的資訊，可能因金融機構本身資訊安全防護技術未落實、資料處理流程權限控管不當、或相關稽核機制不健全等因素，造成銀行個人資料外洩，而影響個人財務及公司商譽的損失。現今在銀行業電子商務的網站上，雖然有使用隱私權政策聲明的方式來表示履行客戶資料隱私保護的責任，但是此形式宣告的方式大於實質保護的意義，沒有任何作用。客戶資料的隱私資訊，亦應受到法律的保護；在我國主要的法律有電腦處理個人資料保護法、內部控制法及金控共同行銷規範等。本研究旨在針對銀行業電子商務交易流程中提出企業內部客戶隱私資料保護的架構模型，將客戶隱私資訊做分類，並遵循相關法律條文規範，以訂立具有語意的隱私權政策來落實企業內部客戶隱私資料的保護。我期望本研究的成果能貢獻未來金融業於客戶隱私資料保護的參考依循。 / The rising of Internet drives the development of e-commerce in banking industry. However, in the opening environment of Internet, the personal and confidential data which includes finance and transaction may be exposed because its poor secure protection technology or improper permission control for the procedure of data processing, or defective auditing mechanism in financial institutes. Therefore, it could influence the loss of personal finance and goodwill of companies. Although the e-commence website of banking industry protect customers’ data through the stated of right to privacy, the announced meaning is far more than the real protection. The customers’ private data should be protected by law, such as Computer Processing Personal Data Protection Act and Rules Concerning Cross-Selling by Financial Holding Company Subsidiaries in Taiwan.The purpose of the thesis offers the enterprise internal privacy construction model which classifies customers’ private data, follows the related law regulation, and establishes semantic privacy policies in order to achieve the protection of enterprise internal customers’ data for the transaction flow of e-commence in banking industry. I expect the research can contribute some references to follow in customers’ data protection for financial institutions in the future. 隱私權企業隱私偏好平台語意網本體論語意規則語言隱私偏好平台個人資料保護法金控共同行銷規範電子商務消費者保護綱領 Privacy E-P3P Semantic Web Ontology SWRL P3P XACML EPAL
10	資料庫行銷之研究－以金融業為例周紋祺, Chou, Wen-Chi Unknown Date (has links) 隨著行銷方式由大眾行銷演進至區隔行銷，現今已進入1-1行銷的時代。由於媒體廣告的過多，其實際的廣告效果已漸受質疑。行銷的手法不再是拍一支好的廣告片就可以擄獲所有消費者的購買，加上社會結構、型態的改變，科技的突飛猛進，消費者可選擇的產品種類愈來愈多，因此行銷競爭壓力更甚以往，而如何「有效」吸引消費者的購買便成為今日企業的重要課題。「資料庫行銷」的導入，可以透過有系統的分析，更精確地鎖定目標客群，進而從節省行銷成本與提升銷售業績雙方面，替公司帶來良好的利潤貢獻，也解決了企業銷售上的困境。本研究屬於探索性研究，全文共分為六個章節。從資料庫行銷的相關議題方面探究，經過文獻探討、融入實務經驗、產生研究架構，並做為個案研究的訪談依據，以了解現行金融業在資料蒐集、資料庫軟硬體上的選用考量與管理、資料分析方法的運用程度、行銷計劃的執行及售後顧客管理上的態度與手法。整體架構在透過四家銀行：陽信商業銀行、中國信託商銀、玉山銀行及匯豐銀行的實證後，發現架構的適用性極高，充分兼顧了學理與實用性。另一面，環顧過去許多文獻中有關資料庫行銷的整體規劃模式，在構面上均多少有所不足。因此本研究乃融合文獻中之許多說法及實務運作所發展出，以補坊間書籍之缺。而在行銷作法上乃將傳統行銷學理的精神轉化為實際可執行的行動，分別從「潛在顧客開發」與「現有顧客滲透」兩方面依序開列步驟，更利從業人員落實資料庫行銷的執行。經由第四章的研究分析可發現，目前國內在資料庫行銷的導入上尚未臻成熟，以金融業為例，中國信託商銀挾龐大信用卡顧客資料，加上公司本身的積極投入與耕耘，目前在這方面的發展腳步居領先優勢。因此資料庫行銷帶來的績效使金融同業莫不領會到導入此作法的必要性。以目前行銷手法觀之，外國銀行原先的資料庫行銷優勢將漸被本國銀行趕上，而本國銀行在售後顧客管理上又不如外國銀行佳。理論架構的發展雖極具實用性，惟發展之過程仍不免有抽樣及深度等客觀因素上的限制。在後續研究上，建議未來的研究學人可自架構中個別議題上深入研究、或分析不同銀行對相同金融商品採資料庫行銷後的成果差異、或選個別單一公司做導入前後的研究，真正驗證資料庫行銷模式引進後的實際差異。資料庫行銷 1-1行銷直效行銷金融業行銷資料庫管理電腦處理個人資料保護法潛在顧客開發現有顧客滲透 database marketing 1-1 marketing direct marketing banking marketing database management

1	基於存取目的之個資控管框架-以銀行業為例 / Purpose-Based PII Control Framework - A Banking Perspective. 鄭明璋, Cheng, Ming Chang Unknown Date (has links) 新版「個人資料保護法」在民國99年5月公布，並正式實施於民國101年10月；隨著新法的實施，不管是公部門或民間組織，都投入大量資源以期改善並確保自己的組織對於個人資料之蒐集、處理與利用，能夠符合「個人資料保護法」的要求。由於業務特性，個人資料的蒐集、處理與利用，乃是銀行業者日常必須面對的課題。雖然舊版個資相關法令「電腦處理個人資料保護法」與「銀行法」對於個人資料的處理都已有相關規定，但由於稽核與舉證困難、罰則過輕等原因，業者並未真正重視個資保護課題，善盡個資保護的責任，所以銀行發生個資外洩的案例時有所聞。新版「個人資料保護法」正式實施後，舉證責任歸屬由當事人變成企業，在疑似個資外洩事件發生時，企業須舉證其組織之系統或機制已對個人資料之控管機制已滿足「個人資料保護法」的要求，盡到完善管理之責任。因此業者不得不投入大量資源來周全組織內對於個人資料的保護與稽核機制，把新版法規的各項規定要求納入系統功能範疇。伴隨「個人資料保護法」的實施，法務部頒布了「個人資料保護法之特定目的及個人資料之類別」細則來明確規範個人資料的類別範疇、以及存取個人資料之目的。本研究即針對此項要求，歸納分析銀行業的業務現況，並納入未來業務發展之可能需求，設計一具備彈性之個資存取框架以管理個資分類與存取目的，進而滿足「個人資料保護法」的要求。 / As the latest version of the "Personal Data Protection Act (PDPA)" published on May, 2010, and formally implemented since October, 2012, all public and private sector organizations need to put in significant resources to meet the strengthened legal requirements of personal data collection, processing and utilization. Yet banks are among the first to be affected by them, as personal data collection, usage and handling are essential to their daily operations. Therefore, this thesis investigates the compliance of PDPA from a banking perspective. A distinguished feature of the new "Personal Data Protection Act" is the inclusion of "purposes" in regulating access to personal data, namelyan organization must get the informed consent from its customer regarding how her personal data will be used, namely privacy preferences. Currently, employing a proper access control mechanism to protect customer's data is a well-accepted discipline in bank information system (BIS) development. However, the design of such mechanisms hardly includes the requirement of supporting customers’ preferences regarding the use of their personal data. It is therefore highly desirable to extend a BIS's access control to handle customers' privacy preferences. This thesis investigates the common practices of bank operations and presents a purpose-based access control framework for future BIS development. Specifically, we derive a classification of bank customers' personal data and purpose categories for bank operations so that the proposedaccees control framework can ensure all accesses to customers' personal data match their granted access purposes. As a result, the framework will lay a foundation to the compliance of PDPA for a bank. 個人資料保護法隱私目的 Personal Data Protection Act Privacy Purpose
2	保險業因應新版個資法之資安管理研究－以S公司為例 / Information Security Management for Insurance in Response to the New Version of Personal Data Protection Law－A Case Study of S Company 謝正彬 Unknown Date (has links) 新版個人資料保護法，在歷經立法院多年之審議，於民國99 年4月27日三讀通過，並於同年5月26 日由總統公布；而行政院也在歷經一年多來與國內各界反覆討論後，正式公布「個資法施行細則修正條文」，並定於民國101年10月1日正式施行。雖然早在「電腦處理個人資料保護法」的年代，保險業已經列入法律適用範圍內，但還是侷限於電腦資料的處理；而保險業在相關資訊安全管理工作的施行，主要多侷限於公司單位所管理電子資料為主。保險業無論公司規模大小、擁有個人資料數量多寡，均必需受到個人資料保護法規範；而在客戶個人資料蒐集、處理及各式的運用上，此法無疑對保險業造成莫大衝擊。因此積極規劃及施行滿足個人資料保護的資訊安全管理制度，是保險公司當前極為重要的課題。本研究的目的在以個人資料保護法為法令遵循為前提，探討多數保險業現行採行的ISO 27001資訊安全管理標準為基礎架構，蒐集分析國內外個人資訊管理系統(PIMS)規範，期望在滿足保險業業務特性下，透過個案公司規劃實例，為個案公司及保險業掌握資安管理制度的關鍵重點，強化個人資料保護防護作為，以符合個資保護要求。個人資料保護法 ISO 27001 PIMS 個人資訊管理系統
3	以保險通路觀點探討個人資料保護法告知義務之適用與差異性 / A Study on Notice Duty of Personal Information protection Act in Taiwan: The Insurance Distribution Channels Perspective 胡雅筑, Hu,Ya Chu Unknown Date (has links) 新版個人資料保護法大幅擴張了適用範圍，其中一項修正重點在於告知義務及當事人書面同意；為保障當事人程序參與權，向當事人蒐集個人資料時，應明確告知當事人第8條所規定事項，使當事人在了解資料處理相關事項後，才有辦法做出是否進入該資料處理程序的決定。該條規定妥善的保障了當事人的資料處理程序參與權，卻亦導致金融業大規模的作業風險。保險業是個大量牽涉到蒐集、處理或利用個人資料的產業，不同的保險行銷通路會產生各式各樣的交易模式；若藉由任何保險通路招攬保險時，均須進行第8條告知義務，將大幅增加業者法律遵循成本、作業風險，並可能造成當事人受重複告知的困擾。是以，本文目的在於探求個人資料保護差異性之空間，藉由業務員、電話行銷及銀行保險等三種保險行銷通路出發，探討不同通路下差異性適用個資法之可能性，進而再分析不同通路下蒐集個人資料時告知義務之程度差異。本文檢視了保險核心原則、英國資料保護法及德國新保險契約法等外國立法例後發現，向當事人所揭露之資訊應根據交易情形之不同而有差異性存在；此外，根據各通路相關規範之規定，本文認為不同保險行銷通路在適用個資法告知義務時應有程度上之差異。藉由業務員通路招攬保險而蒐集當事人資料時，由於符合個資法第8條第2項第2款「履行法定義務所必要」之蒐集，應減輕業者告知義務；然而，電話行銷通路應提供要保人相對充足的保障，故向當事人蒐集資料時，仍應回歸個資法第8條第1項告知義務；而根據現行銀行保險相關規範，透過銀行通路招攬保險時，除了金控公司蒐集當事人之姓名與地址外，其他資料依然要回歸適用個資法之告知義務。金融業是個受到高度監理的行業，在個資法修正施行前，已有許多牽涉到蒐集、處理或利用當事人資料之既有規範，為了能有效達到個資法第1條之目的，本文建議應確定個資法「法定義務」之範圍，並具體定義第8條第2項第5款之「當事人明知應告知之內容」。個人資料保護法保險行銷通路告知義務
4	戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City 蔡玫娟 Unknown Date (has links) 戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。 ISO 27001 資訊安全管理系統個人資料保護法
5	雲端運算時代個資隱私安全之探討 -- 以雲端服務條款為中心 / Privacy and Information Security Issues in Cloud Computing: From the Perspective of Service Level Agreement 孫德沛, Sun, Tei Pei Unknown Date (has links) 雲端運算的特性在於只要連線上雲端服務提供者的平台，隨時隨地就可以享受到最新最便利的雲端服務。雲端運算因此具有使用彈性、接觸容易、擴充迅速及即用即付費的優勢，不用在像過去套裝軟體時代花費成本在軟硬體升級上，所以有愈來愈多的使用者踏入雲端行列，雲端運算技術及服務已成為資訊產業關注的焦點。但是雲端運算的這項優勢卻容易讓人忽略是建立在將資訊傳至雲端伺服器來進行處理、運算及儲存的模式，這固然讓使用者享受到雲端服務，但雲端服務提供者也同樣掌握了使用者資訊，使用者因而不再完全控制資訊的應用及流向，使得資訊外流的可能性大幅增加。這些資訊安全風險可能來自於雲端平台的穩定性或安全漏洞，或者是雲端業者基於商業考量的洩漏給其他廣告贊助商等第三人。雲端服務提供者針對這些資訊隱私安全的疑義，訂立許多雲端隱私權政策及使用條款來規範與使用者間的法律關係。本研究即先從美國法及歐盟安全指令等國際公約著手，探討可以作為網路雲端時代的規範基礎，並以此分析雲端服務的隱私權政策及服務條款。根據這些分析討論的結果，再探討在我國民法、消費者保護法及新修正通過之個人資料保護法之體系下，這些雲端隱私權政策及服務條款的適法性問題。關鍵字：雲端運算、雲端服務、隱私權政策、服務條款、歐盟安全指令、個人資料保護法雲端運算雲端服務隱私權政策服務條款歐盟安全指令個人資料保護法
6	ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C 孫天貴, Sun, Tien Kuei Unknown Date (has links) 隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。資訊安全管理系統(ISMS) 個人資料管理系統(PIMS) MSS 個人資料保護法 ISO27001 TPIPAS BS10012
7	勞動領域勞工隱私權之研究—以求職階段為中心 / 姚妤嬙 Unknown Date (has links) 在勞工進入職場工作前之面試階段，雇主為了解求職者個人背景，以判斷前來應徵者是否為企業所需之人力，而有向求職者詢問、要求填寫資料表或問卷甚至是企業照會的行為；在勞動關係中，雇主為確保受僱勞工是否依約履行勞務，則會有監視其員工工作情形之行為。上述雇主之行為應受憲法上關於營業自由以及財產權之保護。然依據司法院大法官所作出之多號解釋，隱私權在我國亦為憲法所保障之基本權利，而勞工作為權利主體，不論其係身處於求職或在職階段，亦應當享有隱私權之保護。是以雇主縱使是為了維護其營業自由與財產權，但所為之詢問與監督行為應仍受一定界線之限制，否則將構成勞工之隱私權，從而雇主之行為於何等範圍內始不至於過當該基本權衝突問題應如何處理便是核心關鍵。　　為衡平會員國間關於資料保護水準之落差，歐盟理事會通過了個人資料處理及自由流通保護指令，依該指令所成立之資料保護小組針對就業領域雇主處理受僱人資料之問題提出意見書，強調雇主於行為時應注意終局性原則、透明性原則、合法性原則、比例原則、正確性原則、安全性原則以及專責人員專業意識原則，此外針對僱傭關係中當事人同意之問題，亦表示應作為最後手段。　　德國近期於2009年所修正之聯邦個人資料保護法，於第32條增列針對僱傭關係中蒐集受僱人資料之專責規範。依其規定，雇主僅於受僱人之資料係成立、履行或終結僱傭關係該目的所必要者始得為蒐集、處理或利用之行為。且對於在僱傭關係中基於犯罪嫌疑之揭露所為之資料蒐集行為訂有嚴格之要件限制。實務上亦有豐富且詳細之判決在處理關於受僱人資料蒐集的問題。　　觀察歐盟指令、德國聯邦個人資料保護法以及國內與勞工資料蒐集有關之法規範，本文認為在僱傭關係中倘雇主欲為勞工個人資料之蒐集、處理或利用，應符合以下要件：(1)基於僱傭關係成立、履行或終結之目的所必要，(2)符合個人資料保護法之法定事由，(3)踐行告知義務並且(4)注意誠信原則、比例原則與不當連結禁止原則等等的上位基本原則。而在針對求職階段之實際個案操作上，具體而言應考量以下之判斷標準：1.勞動關係之特殊性。2.雇主須是基於挑選得勝任應聘職務優秀人才之正當目的。3.詢問之事項須與應聘職務有核心、重要之關聯。4.於雇主本身具有特殊性時，得詢問與該特殊性有關之事項。5.倘求職者於締約前已知悉其所具備之情狀將對於契約之履行產生重大障礙，縱使雇主未為相關之詢問，求職勞工仍應負有主動告知義務。透過上述要件及判准之檢驗，應得為雇主之合法權限劃出適當之範圍，從而落實勞工隱私權之保護。勞工隱私權保護基本權衝突利益衡量雇主詢問權
8	論個人資料保護法之相關法律問題及其改進建議-參考國際組織相關準則高振格 Unknown Date (has links) 近年由於資訊社會快速變遷，相關產業不斷改革，個人資料侵害事件頻傳，個資議題逐漸受到重視。為了修正難以跟上社經發展腳步之「電腦處理個人資料保護法」，民國99年5月26日公布了新修訂的「個人資料保護法」，卻引起極大的爭議，至該法公布至今已逾兩年卻尚未施行，造成電腦處理個人資料保護法的闕漏遲遲無法獲得填補。個人資料保護法所牽涉者，不僅為個人資訊權的保障，由於個人資料保護意識已在國際間抬頭，若個人資料保護水準未合乎適足標準，我國在蒐集外國個人資料時會受到限制，恐怕會危及我國在國際間資訊傳遞的便利性，如此資訊傳遞將成為我國企業於國際競爭上的劣勢，是我國個人資料保護法制的確立實至關重要。　　本文嘗試先就「個人資訊自決權」的角度，申論本次電腦處理個人資料保護法的修法內容之利弊，並以歐盟之「個人資料保護指令」、經濟合作發展組織之「隱私保護與個人資料跨國交流指導原則」以及亞太經濟合作組織之「隱私保護架構」所揭櫫之個人資料保護原則，探討「告知原則」、「同意原則」、「選擇退出制度」以及「敏感性個人資料之保護」等議題，論其對個人資料保護法相關規定之影響。最後，再針對個人資料保護法施行窒礙之相關爭議規定，提出修正或配套意見，期盼我國個人資料保護法制得以完善。個人資訊自決權個人資料保護法敏感性個人資料外國帳戶稅收遵從法案選擇加入制度
9	語意性的隱私政策-落實於銀行內部隱私保護的研究 / Semantic privacy policies－Research for the enforcement of privacy protection inside the bank 李家輝, Lee, Chia Hui Unknown Date (has links) 網際網路的興起帶動銀行業電子商務的發展；然而，在開放式的網路環境下，個人的財務、交易等具有隱私的資訊，可能因金融機構本身資訊安全防護技術未落實、資料處理流程權限控管不當、或相關稽核機制不健全等因素，造成銀行個人資料外洩，而影響個人財務及公司商譽的損失。現今在銀行業電子商務的網站上，雖然有使用隱私權政策聲明的方式來表示履行客戶資料隱私保護的責任，但是此形式宣告的方式大於實質保護的意義，沒有任何作用。客戶資料的隱私資訊，亦應受到法律的保護；在我國主要的法律有電腦處理個人資料保護法、內部控制法及金控共同行銷規範等。本研究旨在針對銀行業電子商務交易流程中提出企業內部客戶隱私資料保護的架構模型，將客戶隱私資訊做分類，並遵循相關法律條文規範，以訂立具有語意的隱私權政策來落實企業內部客戶隱私資料的保護。我期望本研究的成果能貢獻未來金融業於客戶隱私資料保護的參考依循。 / The rising of Internet drives the development of e-commerce in banking industry. However, in the opening environment of Internet, the personal and confidential data which includes finance and transaction may be exposed because its poor secure protection technology or improper permission control for the procedure of data processing, or defective auditing mechanism in financial institutes. Therefore, it could influence the loss of personal finance and goodwill of companies. Although the e-commence website of banking industry protect customers’ data through the stated of right to privacy, the announced meaning is far more than the real protection. The customers’ private data should be protected by law, such as Computer Processing Personal Data Protection Act and Rules Concerning Cross-Selling by Financial Holding Company Subsidiaries in Taiwan.The purpose of the thesis offers the enterprise internal privacy construction model which classifies customers’ private data, follows the related law regulation, and establishes semantic privacy policies in order to achieve the protection of enterprise internal customers’ data for the transaction flow of e-commence in banking industry. I expect the research can contribute some references to follow in customers’ data protection for financial institutions in the future. 隱私權企業隱私偏好平台語意網本體論語意規則語言隱私偏好平台個人資料保護法金控共同行銷規範電子商務消費者保護綱領 Privacy E-P3P Semantic Web Ontology SWRL P3P XACML EPAL
10	資料庫行銷之研究－以金融業為例周紋祺, Chou, Wen-Chi Unknown Date (has links) 隨著行銷方式由大眾行銷演進至區隔行銷，現今已進入1-1行銷的時代。由於媒體廣告的過多，其實際的廣告效果已漸受質疑。行銷的手法不再是拍一支好的廣告片就可以擄獲所有消費者的購買，加上社會結構、型態的改變，科技的突飛猛進，消費者可選擇的產品種類愈來愈多，因此行銷競爭壓力更甚以往，而如何「有效」吸引消費者的購買便成為今日企業的重要課題。「資料庫行銷」的導入，可以透過有系統的分析，更精確地鎖定目標客群，進而從節省行銷成本與提升銷售業績雙方面，替公司帶來良好的利潤貢獻，也解決了企業銷售上的困境。本研究屬於探索性研究，全文共分為六個章節。從資料庫行銷的相關議題方面探究，經過文獻探討、融入實務經驗、產生研究架構，並做為個案研究的訪談依據，以了解現行金融業在資料蒐集、資料庫軟硬體上的選用考量與管理、資料分析方法的運用程度、行銷計劃的執行及售後顧客管理上的態度與手法。整體架構在透過四家銀行：陽信商業銀行、中國信託商銀、玉山銀行及匯豐銀行的實證後，發現架構的適用性極高，充分兼顧了學理與實用性。另一面，環顧過去許多文獻中有關資料庫行銷的整體規劃模式，在構面上均多少有所不足。因此本研究乃融合文獻中之許多說法及實務運作所發展出，以補坊間書籍之缺。而在行銷作法上乃將傳統行銷學理的精神轉化為實際可執行的行動，分別從「潛在顧客開發」與「現有顧客滲透」兩方面依序開列步驟，更利從業人員落實資料庫行銷的執行。經由第四章的研究分析可發現，目前國內在資料庫行銷的導入上尚未臻成熟，以金融業為例，中國信託商銀挾龐大信用卡顧客資料，加上公司本身的積極投入與耕耘，目前在這方面的發展腳步居領先優勢。因此資料庫行銷帶來的績效使金融同業莫不領會到導入此作法的必要性。以目前行銷手法觀之，外國銀行原先的資料庫行銷優勢將漸被本國銀行趕上，而本國銀行在售後顧客管理上又不如外國銀行佳。理論架構的發展雖極具實用性，惟發展之過程仍不免有抽樣及深度等客觀因素上的限制。在後續研究上，建議未來的研究學人可自架構中個別議題上深入研究、或分析不同銀行對相同金融商品採資料庫行銷後的成果差異、或選個別單一公司做導入前後的研究，真正驗證資料庫行銷模式引進後的實際差異。資料庫行銷 1-1行銷直效行銷金融業行銷資料庫管理電腦處理個人資料保護法潛在顧客開發現有顧客滲透 database marketing 1-1 marketing direct marketing banking marketing database management

Search results