臺北市法規查詢系統友善列印功能

一、臺北市立文獻館（以下簡稱本館）為落實個人資料蒐集、處理或利用
  法令、尊重當事人資訊自決權、促進個人資料合理利用及避免人格權
  受侵害，特依個人資料保護法（以下簡稱本法）、個人資料保護法施
  行細則（以下簡稱本法施行細則）及其他相關法令規定，訂定臺北市
  立文獻館個人資料保護管理要點（以下簡稱本要點）。

二、本要點適用於本館及受本館委託或與本館共同蒐集、處理或利用個人
  資料之其他公務機關或非公務機關。但其他法令另有規定者，從其規
  定。

三、為落實個人資料之保護及管理，本館個人資料保護由館長統籌督導，
  指定專人辦理下列事項：
  （一）辦理當事人依本法第十條及第十一條第一項至第四項所定請求
     事項之考核。
  （二）辦理本法第十一條第五項及第十二條所定通知事項之考核。
  （三）本法第十七條所定公開或供公眾查閱。
  （四）本法第十八條所定個人資料檔案安全維護。
  （五）個人資料保護事項之協調聯繫。
  （六）個人資料損害預防及危機處理應變之通報。
  （七）個人資料保護之自行查核及本館個人資料保護政策之執行。
  （八）其他組室、研究員個人資料保護管理之規劃及執行。

四、各組室、研究員蒐集、處理或利用個人資料，其類別、數量及接觸人
  員，應符合本法第五條比例原則，以處理法定職務必要範圍內為限，
  儘量以蒐集最少且不含本法第六條所定個人資料為原則。
  各組室、研究員蒐集、處理或利用個人資料之特定目的，以本館已依
  適當方式公開者為限。有變更者，亦同。

五、各組室、研究員蒐集當事人個人資料時，應明確告知當事人本法第八
  條第一項所列事項。但符合本法第八條第二項規定情形之一者，不在
  此限。
  各組室、研究員蒐集非由當事人提供之個人資料，應於處理或利用前
  ，向當事人告知個人資料來源及本法第八條第一項第一款至第五款所
  列事項。但符合本法第九條第二項第一款至第四款規定情形之一者，
  不在此限。
  依前二項規定為告知，其告知事項內容應使用通俗、簡淺易懂之語文
  ，避免使用艱深費解之詞彙。
  依第一項及第二項規定為告知，如有委託或共同蒐集、處理或利用個
  人資料，應同時告知委託或共同利用情形。
  依第一項及第二項規定為告知，得以言詞、書面、電話、簡訊、電子
  郵件、傳真、電子文件、明顯或適當處所之公告或其他足以使當事人
  知悉或可得知悉之方式為之。

六、各組室、研究員依本法第六條第一項第六款、第十一條第二項但書或
  第三項但書規定，經當事人書面同意者，應取得當事人同意之書面文
  件；該書面文件作成之方式，依電子簽章法之規定，得以電子文件為
  之。
  各組室、研究員依本法第十五條第二款或第十六條但書第七款規定經
  當事人同意者，應符合本法第七條及本法施行細則第十五條所定之方
  式。

七、各組室、研究員蒐集或處理個人資料應符合下列情形之一，並於蒐集
  時註明蒐集之特定目的項目及代號：
  （一）依本館組織規程或本法第十五條第一款及本法施行細則第十條
     所稱執行法定職務。
  （二）經當事人同意。
  （三）依法受委託執行職務。

八、對滿七歲之未成年人蒐集或處理其個人資料，有下列情形之一者，得
  經未成年人本人同意為之，其他情形應得其法定代理人同意：
  （一）依其年齡及身分、日常生活所必需。
  （二）純獲法律上利益（純粹取得權利或不負任何義務）。
  （三）法定代理人事前允許處分財產或營業。
  對未滿七歲之未成年人及受監護或輔助宣告之人蒐集其個人資料，應
  得其法定代理人同意。
  法定代理人基於保護未成年人及受監護或輔助宣告之人之利益，得行
  使本法第十條或第十一條第一項至第四項規定之權利。
  本點關於未成年人保障之未盡事宜，依民法及兒童及少年福利與權益
  保障法等相關規定辦理。

九、各組室、研究員應優先考慮以去識別化或經遮蔽之個人資料為處理或
  利用。

十、任何非原蒐集目的之特定目的外之利用，各組室、研究員應確認符合
  本法第十六條但書規定後始得為之，並將利用歷程作成紀錄。
  前項情形，宜審酌個案狀況，規劃當事人選擇不同意或退出同意之機
  制。

十一、個人資料檔案屬檔案法所稱檔案者，其申請閱覽、抄錄或複製，應
   依檔案法、檔案法施行細則及本府檔案應用相關規定辦理。
   依政府資訊公開法申請公開或提供前項規定以外之政府資訊，如涉
   及個人資料之特定目的外利用，應審酌是否具有本法第十六條但書
   及政府資訊公開法第十八條第一項第六款所定情形。

十二、各組室、研究員對於個人資料之利用，不得為資料庫之恣意連結，
   且不得濫用。

十三、各組室、研究員保有之個人資料有誤或缺漏時，應由資料蒐集組室
   、研究員簽奉核定後，移由資料保有組室、研究員更正或補充之。
   因可歸責於本館之事由，未為更正或補充之個人資料，應於更正或
   補充後，由資料蒐集組室、研究員以通知書通知曾提供利用之對象
   。

十四、本館保有之個人資料正確性有爭議者，應由資料蒐集組室、研究員
   簽奉核定後，移由資料保有組室、研究員，視個人資料載體性質為
   適當之停止處理或利用該個人資料，並註明原因。但符合本法第十
   一條第二項但書情形者，不在此限。

十五、各組室、研究員應定期查明蒐集或處理個人資料適用法令所訂定之
   保存期間；其未明定者，視執行業務必要性及合理性，於本館年度
   檔案分類及保存年限表明定，或訂定經告知當事人之合理保存期間
   。
   本館保有個人資料蒐集之特定目的消失或期限屆滿時，應由資料蒐
   集組室、研究員簽奉核定後，移由資料保有組室、研究員，視個人
   資料載體性質為適當之停止處理或利用。但符合本法第十一條第三
   項但書情形者，不在此限。

十六、各組室、研究員依本法第十一條第四項規定停止蒐集、處理或利用
   個人資料者，應簽奉核定後移由資料保有組室、研究員，視個人資
   料載體性質適當為之。

十七、個人資料有補充、更正、停止處理或利用、刪除時，應通知曾利用
   之其他機關或單位；或與其他機關或單位事先協調及規劃個人資料
   定期更新機制。
   個人資料依規定刪除或停止處理、利用前，應對相關系統或服務作
   影響評估並妥為因應。

十八、個人資料之刪除，應檢查是否達到資料無法還原或再組合之程度，
   並得參考機關檔案保存年限及銷毀辦法及臺北市政府公務機密維護
   作業等相關規定辦理。

十九、各組室、研究員將個人資料作國際傳輸前，應確認法令限制及他國
   （境）對個人資料保護法令要求，並為適當保護措施。

二十、本館與臺北市政府所屬機關（以下簡稱本府其他機關）交換運用個
   人資料，依本章規定辦理；本章未規定者，適用本要點其他規定。

二十一、本章所稱交換運用，指本館為與本府其他機關共同執行法定職務
    ，或協助本府其他機關執行法定職務，而以臺北市政府（以下簡
    稱本府）名義蒐集個人資料，並將所蒐集之個人資料提供予各該
    本府其他機關。

二十二、本館為辦理交換運用，應於蒐集個人資料前，確認所涉本府其他
    機關之法定職務依據、特定目的、需提供之個人資料類別、利用
    之期間、地區、對象及方式，經簽會臺北市政府法務局並簽報本
    府同意後，始得為之。
    前項所定應確認事項，應於蒐集個人資料前，以本府名義明確告
    知當事人。但有第九點第一項但書或第二項但書所定情形者，不
    在此限。
    依前二項規定辦理之交換運用，視為本法第二條第四款及本法施
    行細則第六條第二項所定內部傳送。

二十三、當事人依本法第三條、第十條或第十一條第一項至第四項規定向
    本館請求答覆查詢、提供閱覽、製給複製本、更正、補充、停止
    蒐集、處理、利用或刪除個人資料時，應經身分確認程序，本館
    並得視情形請當事人檢附相關證明文件或為適當之釋明。
    第三十一點所定紀錄或證據，視為前項個人資料。
    第一項證明文件內容如有遺漏、欠缺或釋明不完整，應通知限期
    補正。
    申請案件有下列情形之一者，應以書面或電子文件駁回其申請：
    （一）申請文件內容有遺漏、欠缺、虛偽不實或釋明不完整，經
       通知限期補正，逾期仍未補正或無法補正。
    （二）有本法第十條但書各款情形之一。
    （三）有本法第十一條第二項但書或第三項但書所定情形之一。
    （四）與法令規定不符。
    第一項請求之處理期限及延長，依本法第十三條規定辦理。

二十四、當事人請求閱覽、抄錄或複製個人資料，得依檔案閱覽抄錄複製
    收費標準收取費用。
    前項情形，由承辦組室、研究員派員陪同為之。

二十五、各組室、研究員提供當事人閱覽、抄錄或複製個人資料前，應確
    認未同時揭露他人個人資料。

二十六、本館保有個人資料檔案以公開於機關網站之個人資料保護專區為
    原則，並應於建立個人資料檔案後一個月內為之；更新檔案時，
    亦同。
    為確保當事人有充分表達意見機會及申訴管道，本館網站之個人
    資料保護專區，應設有個人資料客訴聯絡方式。

二十七、各組室、研究員研擬業務委外招標文件時，應就委外範圍擬定投
    標廠商須具備個人資料保護管理能力，於招標文件訂定評選項目
    或於採購契約訂定監督事項及罰則條款，並將本要點列入採購契
    約文件供廠商遵循。

二十八、契約終止、解除或屆滿時，廠商應返還或刪除所保有之個人資料
    ，或交接本館指定之其他組室、研究員，刪除存取權限，並切結
    未以任何形式保留備份或影本；續約廠商不在此限。
    履約期間廠商員工離職或留職停薪，應說明所負責系統之存取權
    限及完成鎖定帳號或停止系統權限之時點，並應更換離職或留職
    停薪員工曾接觸之密碼。

二十九、各組室、研究員於履約期間應定期確認廠商執行個人資料保護措
    施並予以記錄。

三十、電子處理之個人資料安全維護，應遵守資通安全管理法、資通安全
   管理法施行細則、檔案法、檔案法施行細則、臺北市政府資通安全
   管理規定、臺北市政府員工使用資通訊裝置應注意事項、臺北市政
   府及所屬各機關辦理資訊使用管理稽核作業規定、臺北市政府文書
   處理實施要點等相關法令規定，並得參考行政院國家資通安全會報
   技術服務中心所訂各項資訊安全參考指引辦理。
   非電子處理之個人資料安全維護，應依檔案法、檔案法施行細則、
   臺北市政府文書處理實施要點、臺北市政府公務機密維護作業等規
   定辦理。
   本館得因應最新技術發展或資訊安全問題訂定技術指引。
   得因應負責業務特性自訂內部安全控制措施或管理細則。

三十一、各組室、研究員應視業務性質保存下列紀錄或證據：
    （一）當事人書面同意。
    （二）告知或通知當事人。
    （三）當事人或法定代理人依本法第十條或第十一條第一項至第
       四項定主張權利。
    （四）蒐集、處理、利用個人資料所生之軌跡紀錄（ log）。
    （五）依第十四點第一項規定作成之紀錄。
    （六）本館或各組室、研究員之檢查或稽核。
    （七）依第三十三點規定作成之監督紀錄。
    （八）個人資料正確性有爭議。
    （九）個資事件。
    依前項規定保存之紀錄或證據，除其他法令另有規定或契約另有
    約定外，應至少保存五年。

三十二、為妥善因應個資事件，平時應建立通報及支援聯絡網人員名冊，
    掌握個人資料處理或利用流程，透過監測資料注意異常狀況之潛
    在問題。

三十三、本館每年應依臺北市政府資通安全管理規定、臺北市政府及所屬
    各機關辦理資訊使用管理稽核作業規定辦理相關稽核作業。

三十四、個資事件發生後，各組室、研究員應儘速完成通報作業並採取適
    當之應變措施並依本法第十二條通知當事人。
    前項通報對象包括機關首長、組室主管；通報內容至少應包括通
    報人身分、資料外洩或侵害方式、時間、地點、初估外洩或侵害
    個人資料類別及數量、避免損害擴大處置等資訊；通報方式以電
    話或簡訊為主，電子郵件為輔。
    第一項之通知，指以言詞、書面、電話、簡訊、電子郵件、傳真
    、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
    重大資通安全事件通報及應變作業，應依資通安全事件通報及應
    變辦法、臺北市政府資通安全事件通報及應變管理程序辦理。

三十五、本館為因應法令修訂、技術發展或強化人格權保障，應為必要之
    補充及調整，並適時修正本要點。