保險業及保險輔助人適用個資疑義暨個資法檔案安全維護計畫辦法
Download
Report
Transcript 保險業及保險輔助人適用個資疑義暨個資法檔案安全維護計畫辦法
金管會書函--保險業及保險輔助
人適用個資疑義暨個資法檔案安
全維護計畫辦法
檢視保險業(產壽險)是否符合個資法之適用
直接蒐集個人資料
蒐集、處理
(個資法第19條)
利用
(個資法第20條)
第二款:與當
事人有契約或
類似契約關係
第五款:經當
事人書面同意
類似契約:準備或商議訂立契
約所進行之接觸或磋商行為
必須是告知後同意
目的範圍內利
用
目的範圍外利
用
間接蒐集個人資料
符合個資法第20條規定
原則:
例外:須符合個資法第20條第1項但書一至六款之規定
檢視保險業(產壽險)是否符合個資法之適用
直接蒐集個人資料
應
告
知
事
項
告知
(個資法第8條、
第9條)
間接蒐集個人資料
一、非公務機關名稱
一、非公務機關名稱
二、蒐集之目的
二、蒐集之目的
三、個人資料之類別
三、個人資料之類別
四、個人資料利用之期間、地區、對象及 四、個人資料利用之期間、地區、對象及
方式
方式
五、當事人依第三條規定得行使之權利及 五、當事人依第三條規定得行使之權利及
方式
方式
得
免
為
告
知
六、當事人得自由選擇提供個人資料時,
不提供將對其權益之影響
六、個人資料來源
一、依法律規定得免告知
一、有前條第二項所列各款情形之一
二、個人資料之蒐集係非公務機關履行法 二、當事人自行公開或其他已合法公開之
定義務所必要
個人資料
三、告知將妨害公務機關執行法定職務
三、不能向當事人或其法定代理人為告知
四、告知將妨害第三人之重大利益
四、基於公共利益為統計或學術有必要者
五、當事人明知應告知之內容
五、大眾傳播業者基於新聞報導之公益目
的而蒐集者
檢視保險業(產壽險)是否符合個資法之適用
告知時間點
直接蒐集個人資料
間接蒐集個人資料
蒐集時
處理或利用時併同告知
※人身保險商品因要保書上被保險
人須簽名,故若要保書上有個資法
第8條第1項各款應告知事項者,即
已履行告知義務
Q:保險業依保險法第55條、87條、95條之2、95條之3、108條、126條、
129條、第132條、第135條之2、金保法第9條而履行保險法上所規範之各
項保險契約應記載事項,因而蒐集保戶個人資料時是否需告知?
A:NO! 金管會認為符合個資法第8條第2項第2款「非
公務機關履行法定義務所必要」之要件,而得免告知
檢視保險輔助人是否符合個資法之適用
---保險代理人(含個人執業)
直接蒐集個人資料
受保險
人委託
未受保
險人委
託
依個資法第4條,視同委託機關(保險人)直
接蒐集、處理
間接蒐集個人資料
依個資法第4條,視同委託機關
(保險人)間接蒐集、處理
保險代理人欲自己直接或間接蒐集及保有個人資料,依個資法第19條第1項第5
款經當事人書面同意
因保代與客戶(要保人、被保險人或受益人)無契約或類似契約關係
檢視保險輔助人是否符合個資法之適用
---保險代理人(含個人執業)
直接蒐集個人資料
受保險人委託
(目的範圍內利用)
未受保險人委託
(目的範圍外利用)
間接蒐集個人資料
依個資法第4條視同委託機關(保險人),故無利用問題
保險代理人為自己之利益利用其保有之個人資料須依個資
法第20條第1項但書一至六款規定
檢視保險輔助人是否符合個資法之適用
---保險代理人(含個人執業)
直接蒐集個人資料
間接蒐集個人資料
受保險人委託 依個資法第4條視同委託機關(保險人),適用保險人告知之規定。
時之告知
未受保險人委
託時之告知 保險代理人欲自己直接蒐集個人資 保險代理人欲自己間接蒐集個
料,應依個資法第8條規定,於蒐
集時為告知
人資料,應依個資法第9條規
定,踐行告知義務
檢視保險輔助人是否符合個資法之適用
---保險經紀人(含個人執業)
直接蒐集個人資料
蒐集處理
洽訂保險 保險經紀人係基於被保險
契約用 人之利益,代要保人(及被
保險人)與保險人洽談保險
契約,符合個資法第19條
第1項第2款與當事人有契
約關係
行銷用
間接蒐集個人資料
同左
以保險經紀人自己身分蒐
同左
集處理,依個資法第19條 R:保險經紀人受客戶委任授與代理
權時,若客戶除交付其個人之個資
第1項第2款規定。
外,亦一併交付其他人,例如被保
險人或受益人個資,解讀為個資法
施行細則第27條第1項之「必要第
三人」。
檢視保險輔助人是否符合個資法之適用
---保險經紀人(含個人執業)
直接蒐集個人資料
利用
特定目
的範圍
內
保險經紀人依保戶指示
為利用,符合個資法第
20條規定。
特定目
的範圍
外
保險經紀人為自己行銷
需要而利用,依個資法
第20條第1項第6款及第
7條第2項應取得當是人
單獨所為書面意思表示
之同意
間接蒐集個人資料
同左
同左
檢視保險輔助人是否符合個資法之適用
---保險經紀人(含個人執業)
直接蒐集個人資料
間接蒐集個人資料
告知 保險 若保險經紀人與要保人之委任契約中, 保險經紀人須依個資法第9條
經紀 已訂明個資法第8條第1項個各款應告
人之 知事項者即已履行告知義務。
告知
保險
公司
之告
知
規定,於處理或利用前告知或
於首次利用時併同告知。
若保險經紀人與要保人訂定之委任契 保險公司經由要保人間接取得
約未明訂有代受告知權限:保險公司 被保險人或受益人個資時,保
仍需依個資法第8條第1項告知要保人。 險公司須依個資法第9條為告
若保險經紀人與要保人訂定之委任契 知或於首次利用時併同告知。
約有明訂有代受告知權限:保險公司
得以向保險經紀人告知時等同已向要
保人為告知。
個資法檔案安全維護計畫辦法概述
國外新聞事件---南韓APT攻擊事件
南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺
駭客針對南韓主要銀行、媒體,以及個人電腦發動大規模攻擊,截至目前
為止,趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的
補丁更新伺服器(patch management server)佈署惡意程式,造成受
攻擊企業內部的電腦全面無法開機,作業被迫停擺;另一攻擊則針對南韓
的企業網站,有的網站遭攻擊停擺,有的網站則是使用者造訪該網站都會
被導向位於海外的假網站,並被要求提供許多個人資訊;此外,駭客並針
對個人用戶發動電子郵件釣魚攻擊,假冒南韓銀行交易記錄名義,誘騙使
用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔,使用者電腦開機區
遭到覆蓋,導致使用者無法開機。
金管會因應南韓APT攻擊事件提出各項
資安防範機制
各項資安防範
說明
強化應變通報訓練,落實資安
防護共享及資訊聯防機制
未來將先建立各金融體系資安訊息分享及通報機制
導入資訊安全管理制度驗證之
必要性
強化個人資料安全保護
依規模大小、資安事件頻率,訂定各金融單位資安風險
等級較高及重要核心系統者須通過ISMS驗證。
落實資訊委外內部稽核及內部
控制查核規範
各公會訂定新興科技應用自律
規範及資安事件案例分享
請周邊單位及公會持續訂定委外處理相關內控規範。金
融檢查將配合調整檢查重點,並確認各項事後勾稽作業。
建議持續定期演練並納入各種情境演練,亦應辦理離線
備援機制復原訓練
確實辦理「金融監督管理委員會指定非公務機關個人資
料檔案安全維護計畫及業務終止後個人資料處理方法辦
法」
各公會應訂定相關自律規範,並納入內控內稽制度或資
訊安全管理制度ISMS驗證範圍,相關案例可於識別化後
供其他金融體系產業公會經驗分享交流。
個人資料檔案安全維護計畫辦法之依據及緣由
個資法第27條第1項:「非公務機關保有個人資料檔案者,
應採行適當之安全措施,防止個人資料被竊取、竄改、毀
損、滅失或洩漏。」
依據:個資法第27條第3項規定:「前項計畫及處理方法
之標準等相關事項之辦法,由中央目的事業主管機關定
之。」
緣由:考量此等業者保有大量且重要之個人資料,其所負
之安全維護責任應較一般行業為重,故要求該等非公務機
關應制訂安全維護計畫。
個人資料檔案安全維護計畫辦法概述
主體
配置
查核及評估
•辦法第2條
•依金管會組織法第2條第3項規定,保險業範圍:
指保險公司、保險合作社、保險代理人、保險經
紀人、保險公證人、郵政機構之簡易人壽保險業
務與其他保險服務業之業務及機構。
•辦法第3條、個資法施行細則第12條
•業務規模、特性、適當比例
•辦法第4條、5條、個資法施行細則第12條第2項
第2款、第3款
•界定範圍、定期查核、評估風險
個人資料檔案安全維護計畫辦法
應訂定項目有…
•個人資料可能
遭遇之危險及
高低
風險管
管理程
理機制
序機制
應變、
通報及
•控制損害、查明
事故後通知方式
及內容、矯正預
防之研議
預防機
制
•檢視個資蒐集、
處理或利用是
否符合相關法
令之要件
安全稽
核機制
•定期查察執行
情況
應訂入內稽內控
個人資料檔案安全維護計畫辦法
管理程序包含…
• 蒐集、處理或利用個人資料應有特定目的
一
• Ex:○○一 人身保險、○六五保險經紀、代理、公證業務、○九三財產保險
• 檢視是否符合個資法第8條第2項或第9條第2項免為告知事由
二
• 告知之內容、方式是否合法妥適
• 檢視個人資料之蒐集、處理是否符合個資法第19條規定
三
• 若依個資法第19條第5款經當事人同意,則應確保符合個資法第7條規定
個人資料檔案安全維護計畫辦法
管理程序包含…
• 檢視個人資料之利用,是否符合蒐集之特定目的必要範圍
四
• 若為特定目的範圍外之利用,檢視是否符合個資法第20條第一至六款
• 利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用
五
• 首次行銷時,提供當事人免費表示拒絕行銷之方式
• 委託他人蒐集、處理或利用
• 個資法施行細則第7條、第8條對受託人應為適當之監督,並於委託契約或
六
相關文件中,明確確定其內容
個人資料檔案安全維護計畫辦法
管理程序包含…
• 進行國際傳輸前,檢視是否受本會限制並遵循之
七
• 國際傳輸:指將個人資料作跨國(境)之處理或利用
• 當事人行使個資法第3條所定權利之相關事項
八
• 確認當事人身分、提供行使方式及告知所需費用、審查方式等
• 檢視是否有依個資法第11條第1項、第2項、第5項之規定辦理
• 主動或依當事人請求更正、補充、停止處理或利用
九、十
• 檢視特定目的是否消失或期限是否屆滿
保經公會公告各會員公司制定個資安全
維護計畫及業務終止後處理方法範本
Thanks for your kind attention