隱私保護
個資保護政策
台新金控為確保客戶及員工個人資料的合法蒐集及運用,維護相關個人資料安全,制定個人資料保護管理相關規範,並依法令異動檢視規範之妥適性。除了定期查核個人資料安全的維護現況、評估可能產生之個人資料風險外,同時根據風險評估之結果,訂定適當之管理機制,更因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故制定應變、通報及預防機制等以落實執行個人資料保護管理措施。
為強化個資保護意識和建立尊重個資的企業文化,台新持續推動個資保護的教育訓練,使員工明瞭相關法令要求,並使所屬人員充分了解就個資保護之責任範圍、機制、程序及措施。
2019年個人資料保護宣導之教育訓練
-
新進員工 (到職半年內完訓)
-
- 個資保護宣導線上課程
- 資訊安全宣導實體/線上課程
- 法令遵循與行為準則
-
100
-
100
-
一般員工
-
- 個資保護提醒專刊
- 資安及個資保護宣導線上課程(*註:線上課程之涵蓋率即完訓率)
- 個資保護宣導實體課程
-
100
-
100
-
各單位個資管理窗口
-
- 個資侵害事件應變演練
-
100
-
100
個資保護措施
在提升個資侵害事件的應變能力和所有人員危機意識方面,台新特別訂定《個人資料侵害事件管理規範》,以有效執行緊急應變及處理;當發生個資侵害事件時,須立即通報主管且於時效內完成風險評估與事件分級,並視事件影響程度成立緊急應變組,進行相關事件的應變、協調、連絡及調查作業,2019年並無發生個人資料侵害事件有關之裁罰。
此外,為尊重客戶對其個人資料可行使之權利,台新亦訂定《當事人權利行使作業規範》,明訂客戶個人資料之查詢、閱覽、製給複製本、補充、更正、刪除及停止蒐集、處理與利用的權利。
各級事件處理及報告層級
-
第2級事件
應於4小時內完成通報;24小時內召集緊急應變組;48小時內擬定應變方案。
-
- 於該事件中100筆以上個人資料遭外洩或未經當事人授權使用,或不當處理、利用及揭露;或未經合法正當管道而蒐集;
- 該事件疑似本行資訊系統及作業流程控管不當所致者;
- 經執法機關或中央目的事業主管機關通知之事件,經判定屬重大者;
- 涉及高敏感度資料(例如:公眾人物等);
- 經媒體報導事件。
-
緊急應變組
-
總經理
-
第1級事件
應於48小時內處理。
-
- 於該事件中低於100筆個人資料遭外洩或未經當事人授權使用,或不當處理、利用及揭露;或未經合法正當管道而蒐集;
- 經執法機關或中央目的事業主管機關通知之事件,經判定為第1級。
-
個人資料保護實行事業處
-
該處主管
電子商務服務之資訊安全措施
包括:使用者身分確認及保護機制;個人資料顯示的隱碼機制;網際網路傳輸的安全加密機制;應用系統於開發、上線、維護等各階段軟體驗證與確認程序;個人資料檔案及資料庫的存取控制與保護監控措施;防止外部網路入侵對策;非法或異常使用行為之監控與因應機制。
個資保護申訴
就2019年個資運用不當案件,台新除了確認疏失發生原因,並要求相關單位完成改善作為,例如加強個資法規宣導強度且相關單位全體員工須通過考試、強化系統管理、交叉覆核電腦留存資料等。未來,將持續關注監控個資保護執行狀況,並適時調整或新增現有改善機制,以保障客戶權益。