一、原住民族委員會(以下簡稱本會)及所屬機關(構)為落
實資訊安全,防止內政部戶役政資料(以下簡稱戶役政
資料)不當使用或外洩,保障個人隱私權益,依據「各
機關應用戶役政資訊連結作業及管理要點」規定訂定本
要點。
二、本會使用戶役政資料之法令依據及業務範圍如下:
(一)本會綜合規劃處依據原住民族教育法第五條、本會
組織法第二條,辦理建構原住民族開放政府智慧治
理計畫及人口統計及分析業務。
(二)本會教育文化處依據本會原住民專門人才獎勵要點
第二點、本會獎助大專校院原住民學生實施要點第
二點,辦理獎勵原住民傑出專門人才及學生獎助學
金業務。
(三)本會社會福利處依據本會輔助原住民急難救助實施
要點第三點、五點、原住民族基本法第二十六條,
辦理急難救助、補助原住民族長者裝置假牙業務;
依據本會培育原住民社會工作專業人力獎勵要點第
二點、原住民族工作權保障法第四條、五條、七條
、十二條、十四條、原住民族工作權保障法施行細
則第八條、原住民族基本法第十七條、政府採購法
第九十八條,辦理就業狀況調查、社工獎勵、身心
障礙機構式服務生活資材補助、原住民團體、璞石
成玉實施計畫、機關(構)進用原住民人數、就業代
金稽核及課徵等業務;依據本會原住民結核病患補
助要點第二點、四點、本會補助原住民全民健康保
險費實施要點第二點、原住民族基本法第二十四條
等規定,於辦理原住民結核病患補助、原住民全民
健康保險費、訂定相關醫療政策及長期照護等相關
業務。
(四)本會經濟發展處依據原住民族綜合發展基金收支保
管及運用辦法第五條及相關子法,辦理原住民族綜
合發展基金業務。
(五)本會公共建設處依據原住民族基本法第十六條規定
,辦理原住民族住宅政策業務。
(六)本會土地管理處依據山坡地保育利用條例第三十七
條辦理原住民保留地相關業務。
前項所定事項採委託廠商方式辦理者,廠商應依委
案合約之保密規定辦理系統維護、分析及測試作業。
三、本會及所屬機關(構)辦理前點之相關業務專責人員得
申請使用戶役政資訊連結作業,經陳報本會主任委員或
其授權人員核准後,檢附核准文件送綜合規劃處(以下
簡稱綜規處)申請後始得使用;非屬前點範圍之業務,
如為一次性需求,則由使用單位自行函文向內政部申請
使用。
四、綜規處專責人員及使用單位人員應遵守本管理要點及相
關法規之規定,妥善運用、管理取得之戶役政資料,並
配合進行稽核作業。
五、戶役政資料安全管理之分工如下:
(一)綜規處:
1.連線作業系統、設備與網路之安全管理。
2.連線作業申辦事宜及相關主機運作維護管理。
3.使用單位使用權限管理及帳號密碼管理。
4.連線作業使用者申請審查。
(二)使用單位:
1.經核准使用之單位應設立專人管理查詢及運用戶
籍資料。
2.防止戶役政資料外洩及不當使用。
3.專人應定期製作線上查詢紀錄清冊。
4.使用單位人員異動時,應通知綜規處新增或異動
帳號。
六、使用者管理應依下列規定辦理:
(一)帳號管理:
1.帳號及密碼通知過程應具保密措施並妥為保管,
不得使用非本人申請之帳號,帳號不得交接予他
人,且不得和他人共用。
2.使用者應妥善保護帳號,並設定八位以上之密碼
;其應包括英文、數字及特殊符號。密碼至少每
三個月更換一次,並不得借予他人使用且不得張
貼。
3.使用者職務異動時,應於職務異動前填寫權限申
請單陳報本會主任委員或其授權人員核准,通知
綜規處將其使用權限註銷。
4.委辦機構或廠商如具維護及存取戶役政資料權限
,視為本會使用者,資料維護及存取權限以系統
維運之資料範圍為限,並須遵循使用者規範。
(二)綜規處應定期(每半年)辦理帳號清查,檢視使用
者權限,並廢止重複、閒置、職務調整、離職及退
休者帳號。
(三)本會綜規處申請使用戶役政資訊連結作業之專責人
員及單位主管異動時,應函知內政部。
七、資訊安全管理應依下列規定辦理:
(一)查詢戶役政資料管制措施:
1.使用者查詢戶役政資料時,應填寫或輸入案號及
查詢事由,作為日後查核依據。
2.查詢戶役政資料應避免非業務權責人員閱覽、擷
取及破壞。
3.查詢戶役政資料完竣後,如有併案或附卷必要,
應妥善保管,紙本應以密件方式保存,電子檔應
有存取權限控管。
4.連線查詢戶役政資料逾時,系統應自動登出。
5.系統應記錄查詢者帳號、查詢日期、時間、查詢
作業代號、被查詢者查詢條件、查詢案號及查詢
事由等查詢日誌,並保留五年。
(二)批次取得戶役政資料或戶役政異動資料管制措施:
1.檔案傳輸或磁性媒體交換方式批次取得戶役政資
料及異動資料者, 應由專人辦理,並檢核資料
完整性。本項業務如由委託機構或廠商辦理,委
託機構或廠商不得將戶役政資料攜出機關辦公場
所。
2.取得資料載入系統應用時,應設定使用該資料之
存取權限及核准使用期限。欲使用資料者,須經
申請核准後始得使用,並應於核准期限內使用及
應用於核准業務範圍。
3.資料檔案儲存於可攜式儲存媒體者,應置放於安
全場所,應上鎖或管制人員進出。
4.戶役政資料不得任意複製,如有複製資料之業務
需要,應經申請核准後,始得複製,資料傳送時
應採取適當的保密措施。
5.資料檔案或資料庫應記錄並保存資料存取日誌,
並保留五年。
(三)分層權限管理:
1.綜規處專責人員:審查資料使用者之申請及設定
查詢範圍或權限。
2.使用單位人員:依業務需要由綜規處依核准文件
設定適當之資料查詢範圍或權限。
(四)連線電腦設備管理:連線電腦設備須設定螢幕保護
密碼,使用者離開時,須退出使用環境,每日下班
前並應確實關機,以防止資料外洩。
(五)資料銷毀程序:
1.線上查詢或經由網路取得戶役政資料檔,應指定
專人或由系統定期清除,以防範資料被不當存取
。
2.線上查詢戶役政資料完竣後,如可銷毀,紙本文
件應銷毀至無法辨識,電子檔如無保留必要性,
應即刪除。
3.儲存於電腦設備或系統之資料檔案,使用完竣且
確認無保存必要,應簽報單位主管核定後,刪除
資料檔案,並確認其資料檔案無法復原。
4.儲存於可攜式媒體之資料檔案,使用完竣且確認
無保存必要,應簽報單位主管核定後,辦理銷磁
或銷毀作業。
八、戶役政資料運用之內部稽核及督導查核應依下列規定辦
理:
(一)使用單位應每三個月製作線上查詢紀錄並自行抽查
,抽查比率至少為百分之三,抽查筆數不得少於十
筆,查核結果保留三年,查核異常時,使用單位應
會同政風單位及綜規處共同調查,並作成稽核紀錄
。
(二)綜規處應每半年辦理機關內部稽核工作,所有稽核
工作均應作成稽核紀錄,保留三年備查。
(三)使用單位與綜規處如委託委辦機構或廠商維護及存
取戶役政資料應每半年辦理稽核工作,並作成稽核
紀錄,保留三年。
(四)使用單位定期與不定期自行查核,如需線上查詢紀
錄,可由綜規處提供,發現異常查詢情形應即調查
處理。
(五)內政部實施稽核作業時,本會須配合提供相關查核
資料,相關單位及使用人員須配合辦理。
九、綜規處專責人員或使用單位人員,應妥當保管及利用所
取得之資料;其違反相關規定者,應依下列規定究辦:
(一)對於取得資料之處理及利用,違反個人資料保護法
(以下簡稱個資法)規定,致當事人權益受損者,
由使用單位負完全責任,並應負同法第二十八條之
損害賠償責任,與同法第三十一條國家賠償責任。
(二)意圖營利或無故洩漏個人資料,或違法及重大不當
行為,依法負民事及個資法之刑事責任,並由所屬
之主管機關行政議處。
(三)機關管理者或單位管理者未善盡管理之責,致未經
授權之使用者,或因職務調整、離職或退休等原因
已無使用戶役政資料權限者,可使用戶役政資料,
且不當使用戶役政資料,致當事人權益受損者,應
由所屬之主管機關議處機關管理者或單位管理者之
行政責任。
(四)如違反其他法律規定,依其規定追究責任。
(五)依個人資料保護法第四條規定,受委託機構或廠商
視同委託機關,委託機構或廠商違反個人資料保護
法規定,致當事人權益受損者,或意圖營利或無故
洩漏個人資料,或違法及重大不當行為,依其規定
追究責任。
十、本要點未規定之事項,依據「個人資料保護法」及「各
機關申請提供戶籍資料及親等關聯資料辦法」等相關規
定辦理。