一、為規範本府及所屬各機關使用電子化政府服務平臺勞動部勞工保險局
(以下簡稱勞保局)電子查驗服務系統(以下簡稱勞保WebIR)查詢勞
保局業務資料(以下簡稱勞保局資料)作業,並保障民眾個人隱私與
資料安全,特訂定本要點。
二、本要點之適用機關如下:
(一)總管理機關:指本府資訊處,為負責處理勞保WebIR相關事項之本
府單一窗口。
(二)權責管理機關:指本府勞工局。
(三)資料需求機關:指因業務需求經權責管理機關同意使用勞保WebIR
之機關。
三、前點各款之機關應辦理事項如下:
(一)總管理機關:
1.依權責管理機關審核結果,新增及刪除管理者帳號。
2.彙整權責管理機關提報之勞保WebIR查調服務項目(以下簡稱查調
項目) ,統一向勞保局提出查調申請,並依勞保局審核結果進行
查調權限異動作業。
3.稽核勞保WebIR使用帳號,並配合權責管理機關稽核資料需求機關
勞保WebIR之使用情形。
(二)權責管理機關:
1.審核資料需求機關新增及刪除管理者帳號等申請。
2.受理資料需求機關查調項目之申請,並將審核結果送交總管理機關。
3.稽核權責管理機關及資料需求機關勞保WebIR之使用情形。
(三)資料需求機關:
1.新增、刪除使用者帳號及異動查調項目。
2.辦理管理者帳號新增、刪除及該機關查調項目異動之申請。
3.執行資料需求機關使用勞保局資料之管制措施及保存、刪除作業。
4.辦理資料需求機關使用勞保局資料之查核作業。
5.配合總管理機關及權責管理機關進行稽核作業。
四、本府申請勞保局資料,以取得最小化個人資料即能達成目的為原則,
禁止過度蒐集個人資料,其法律依據、業務範圍及使用目的如附表。
五、勞保WebIR帳號之增刪與查調項目之異動程序:
(一)管理者、使用者應具「我的e政府」(https://www.gov.tw)公務帳
號並綁定個人自然人憑證資料。
(二)填妥相關申請表,提出勞保WebIR帳號新增、刪除或查調項目異動
之申請,經權責主管核准,並經相關機關審核後,始得依審核結果
新增、刪除勞保WebIR帳號或異動查調項目。但使用者帳號及查調
項目之申請,經權責主管核准後,即得為之。
(三)前款申請及相關簽核紀錄至少保存五年。
六、帳號管理及保密措施如下:
(一)不得使用非本人申請之帳號,且不得與他人共用;遇有人員調離職
時,其所受配賦之帳號不得交接予他人。
(二)登入勞保WebIR應使用自然人憑證驗證,且應妥善保管憑證及PIN碼
,避免他人知悉。
(三)帳號及密碼之相關設定,應依「我的e政府」系統平台相關規定辦理。
(四)管理者職務異動時,應於職務異動前辦理帳號異動程序,並於異動
前或當日,由新任管理者於承接業務及新增其管理者帳號後,停止
原管理者帳號。
(五)使用者職務異動時,應於異動前辦理帳號異動程序,並於異動前或
當日,由管理者調整權限或刪除原帳號。
(六)管理者每年至少應辦理使用者帳號權限清查一次,並檢視其權限是
否符合權限最小化原則,如有重複、長期閒置、職務調整、離職或
退休者,應即時報請調整權限或刪除該帳號,並留存清查紀錄至少
保存五年。
七、總管理機關之機關聯繫窗口、專責人員及單位主管異動時,應於異動
後七日內通知勞保局。
八、管理者及使用者應於法令職務必要範圍內蒐集、處理或利用勞保局資
料,並符合個人資料特定目的之必要範圍,不得對外公開、複製、移
轉、傳輸或揭露予第三人。
非依個人資料保護法之規定,不得進行資料之目的外利用(包括非依
機關分案規定,查詢己身、親屬、主管、同僚或第三人之資料),且
非依相關法令之規定,不得進行國際傳輸。
九、使用勞保局資料管制措施如下:
(一)作業規範:
1.使用者查詢資料時,應填妥查詢資料登記表,供後查考。
2.經查詢所得資料應避免非業務權責人員閱覽、攝、錄影或以其他方
式擷取資料。
3.資料查詢完竣後如有併案或附卷必要,應妥善保管,紙本應以密件
方式保存,電子檔應進行檔案加密。
(二)查詢日誌及軌跡紀錄保存:管理者應自勞保WebIR下載查詢者帳號
、查詢日期、時間、作業代號、被查詢者查詢條件、案號及事由、
結果等之日誌與軌跡紀錄,至少保存五年。
(三)定期檢查連結介接作業需求:總管理機關應每年檢視已申請核准之
作業使用情形,並保留檢視紀錄備查。如遇法令變更或已無資料連
結介接作業需求者,應函請勞保局終止該項作業。
十、指定專責人員辦理安全維護事項:
(一)總管理機關及權責管理機關與資料需求機關均應指派專人,辦理本
要點所訂之查核、稽核等事項,並由權責管理機關會同總管理機關
及資料需求機關辦理安全維護事項,防止個人資料被竊取、竄改、
毀損、滅失或洩漏。
(二)專責人員應依資通安全管理法、資通安全責任等級分級辦法及其資
通安全責任等級之公務機關應辦事項,接受並完成相應之資通安全
教育訓練。
十一、勞保局資料使用、刪除期限及刪除程序如下:
(一)資料使用期限:本府依法辦理各項為民服務之業務,有長期以資料
介接方式持續使用勞保局資料之必要,至本管理要點第四點所列法
律依據或重大政策依據及計畫廢止為止。
(二)資料刪除期限:
1.法令如有規定資料保存期限者,應優先適用之。
2.法令未規定資料保存期限者,應由資料需求機關敘明使用期限及其
依據;使用完竣且確認無保存必要時,應於一個月內刪除之。
3.遇有法令變更或已無勞保WebIR資料提供作業需求者,應於一個月
內刪除之。
(三)資料刪除程序:
1.使用者於勞保WebIR取得之資料電子檔,如已無保留必要,應定期
刪除,並確認無法復原;紙本文件應銷毀至無法辨識,以防範資料
遭不當存取。
2.資料刪除範圍應包含暫存檔、備份檔及其他於機關內部所保有之衍
生檔案。
3.資料刪除程序完成後應留存佐證資料備查至少五年。
十二、使用勞保局資料作業查核及稽核措施如下:
(一)管理者每月列印查詢紀錄單交由資料需求機關查核人員抽查比對查
調資料,並應作成查核紀錄,每三個月送權責管理機關備查。每月
抽查比率應達百分之三以上,且每月抽查筆數不得少於十筆;查詢
總筆數少於十筆者,應全數查核。
(二)前款查核結果如有重大異常情形,應由資料需求機關查核人員會同
政風單位及資訊單位共同稽核,並作成稽核報告。
(三)總管理機關、權責管理機關及資料需求機關應每年自行辦理資訊安
全稽核工作,並應包含使用勞保局資料作業,再由權責管理機關會
同總管理機關對資料需求機關進行稽核,並得依稽核結果提出獎懲
建議。
(四)前款稽核工作均應作成稽核紀錄,如經發現有違反本要點之情形者
,應立即改正,並研提檢討報告予權責管理機關。
(五)總管理機關、權責管理機關及資料需求機關於勞保局實施稽核時,
應備妥使用者清冊、稽核紀錄及提供相關稽核資料,配合進行稽核
作業。經勞保局發現有異常狀況通知其限期說明或改善時,應配合
辦理之。
(六)經勞保局發現有妨礙、規避、變更管理功能或技術,或違反相關規
定者,通知其限期改善時,應配合改善。屆期未完成改善或情節嚴
重無法改善者,終止或暫停勞保WebIR資料提供作業。
(七)經依前款規定終止或暫停勞保WebIR資料提供作業,應於改善完成
後,得檢附佐證資料重新申請。
(八)經稽核發現有嚴重缺失,並由勞保局提報勞動部轉陳行政院資通安
全相關會議者,應向該會議進行報告。
(九)使用勞保局資料應遵循本府已導入之資訊安全管理系統(ISMS)規
範及ISO 27001資訊安全標準,並應配合進行資訊安全檢測及稽核。
(十)本府及所屬各機關遇有涉及勞保局資料之個人資料安全事故或疑似
事故時,應依相關法令規定採取必要之緊急應變措施,並應進行事
故調查、責任釐清及研擬防免損害擴大之對策。另應即時通報勞保
局並提供前開相關資料。
(十一)第一款之查核紀錄、第二款之稽核報告及第四款之稽核紀錄應至
少保存五年。
十三、使用勞保局資料違反個人資料保護法,致個人資料遭不法蒐集、處
理、利用或其他侵害當事人權利者,應依個人資料保護法之規定負
民事、刑事及相關行政責任。
十四、本要點所適用之書表格式由本府另訂之。