法規草案 - 賦稅
分享
查詢 評論
第一筆上一筆下一筆最末筆筆數:6/1264
財政部公告「記帳士暨記帳及報稅代理人個人資料檔案安全維護管理辦法」草案
2021-11-09 [ 評論數 0 篇]
法規名稱:記帳士暨記帳及報稅代理人個人資料檔案安全維護管理辦法
公告日期:中華民國 110  年 11 月 9  日
公告文號:台財稅字第 11004663420  號
資料來源:行政院公報 第 22 卷 212 期
預告終止日:中華民國 111  年 1  月 7  日
記帳士暨記帳及報稅代理人個人資料檔案安全維護管理辦法草案總說明
個人資料保護法第二十七條第一項規定,非公務機關保有個人資料檔案者,應採行適
當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;同條第二項及第三
項規定,中央目的事業主管機關得指定非公務機關,訂定個人資料檔案安全維護計畫
或業務終止後個人資料處理方法,其相關事項之辦法,由中央目的事業主管機關定之
。
鑑於記帳士暨記帳及報稅代理人(以下合稱記帳業者)為執行業務需要,保有大量個
人資料,為加強記帳業者對於個人資料之保護措施,並建立其對個人資料之管理、稽
核、保存及改善機制,爰依上開規定之授權,擬具「記帳士暨記帳及報稅代理人個人
資料檔案安全維護管理辦法」(以下簡稱本辦法)草案。其要點如下:
一、本辦法之訂定依據、適用對象、指定專人或建立專責組織及其任務。(草案第一
    條至第三條)
二、清查所保有個人資料之範圍,並建立檔案、個人資料風險評估及控管機制。(草
    案第四條及第五條)
三、個人資料安全事故之預防、通報、應變機制及財政部接獲通報之適當監督管理措
    施。(草案第六條)
四、依個人資料屬性分別訂定管理程序、告知義務之程序、委託他人蒐集、處理或利
    用個人資料之監督及其程序、個人資料進行國際傳輸前應遵循事項、因應當事人
    行使權利之程序、維護個人資料正確性應採取措施、保有個人資料特定目的消失
    或期限屆滿之處理程序。(草案第七條至第十四條)
五、記帳業者對有關人員及資料安全之管理措施。(草案第十五條及第十六條)
六、以資通訊系統蒐集、處理或利用個人資料,且保有之個人資料達一萬筆者,應採
    行之資訊安全管理措施。(草案第十七條)
七、個人資料存放環境與設備安全管理措施、留存紀錄及業務終止後個人資料處理。
    (草案第十八條及第十九條)
八、個人資料安全稽核機制及整體持續檢討改善個人資料安全維護運作機制。(草案
    第二十條及第二十一條)
九、本辦法之施行日期。(草案第二十二條)

第 1 條    本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之
           。

第 2 條    本辦法適用對象如下:
           一、記帳士:指依記帳士法第二條第一項規定領取記帳士證書並執行記帳
               士業務者。
           二、記帳及報稅代理人:指記帳士法第三十五條第一項規定之人員並執行
               記帳及報稅代理人業務者。
           記帳士、記帳及報稅代理人(以下合稱記帳業者)應訂定個人資料檔案安
           全維護計畫(以下簡稱本計畫),以落實個人資料檔案之安全維護及管理
           ,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
           本計畫之內容應包括第三條至第二十一條規定之相關組織及程序,並應定
           期檢視及配合相關法令修正。

第 3 條    記帳業者就個人資料檔案安全維護管理應指定專人或建立專責組織,並配
           置相當資源。
           前項專人或專責組織之任務如下:
           一、規劃、訂定、修正與執行本計畫及業務終止後個人資料處理方法等相
               關事項。
           二、訂定個人資料保護管理政策,將其所蒐集、處理或利用個人資料之依
               據、特定目的及其他相關保護事項,公告使其所屬人員充分瞭解。
           三、定期對所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資
               料保護相關法令之規定、所屬人員之責任範圍及各種個人資料保護事
               項之方法或管理措施。
           四、定期就執行前三款任務情形向記帳業者或其授權人員提出書面報告。
               本計畫之訂定或修正,應經記帳業者或其授權人員核定。

第 4 條    記帳業者應清查所保有之個人資料,界定其納入本計畫之範圍並建立檔案
           ,且應定期確認其有否變動。

第 5 條    記帳業者應依據前條界定之個人資料範圍及其相關業務流程,分析可能產
           生風險,並依據風險分析結果,訂定適當管控措施。

第 6 條    記帳業者為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事
           故,應採取下列措施:
           一、採行適當應變措施,以控制事故對當事人之損害,並通報財政部。
           二、查明事故之狀況並以適當方式通知當事人有關事實、因應措施及諮詢
               服務專線等。
           三、研議預防機制,避免類似事故再次發生。
           記帳業者遇有個人資料安全事故時,應自發現事故時起算七十二小時內,
           檢附「個人資料侵害事故通報及紀錄表」(如附表),以電子郵件方式向
           財政部通報,並應視案情發展適時通報處理情形,以及將整體查處過程、
           結果及檢討等函報財政部。
           財政部收受前項通報後,得依本法第二十二條至第二十五條規定所賦予之
           職權,為適當之監督管理措施。

第 7 條    記帳業者應依個人資料屬性,分別訂定下列管理程序:
           一、確認蒐集、處理或利用之個人資料是否包含本法第六條所定個人資料
               及其特定目的。
           二、確保蒐集、處理或利用本法第六條所定個人資料符合相關法令之要件
               。
           三、非本法第六條所定個人資料,如認為具有特別管理之需要,得訂定特
               別管理程序。

第 8 條    記帳業者為遵守本法第八條及第九條關於告知義務之規定,應採取下列方
           式:
           一、檢視蒐集、處理或利用個人資料之特定目的,除符合法定免為告知事
               由外,均應依法告知當事人相關事項。
           二、依資料蒐集之情況,採取適當之告知方式。

第 9 條    記帳業者蒐集、處理個人資料應符合本法第十九條第一項規定,具有特定
           目的及法定要件。
           記帳業者利用個人資料應依本法第二十條第一項規定,於特定目的必要範
           圍內利用;於特定目的外利用個人資料時,應具備法定特定目的外利用要
           件。

第 10 條   記帳業者委託他人蒐集、處理或利用個人資料之全部或一部時,應對受託
           者依本法施行細則第八條規定為適當之監督,並明確約定相關監督事項及
           方式。

第 11 條   記帳業者進行個人資料國際傳輸前,應遵循財政部依本法第二十一條規定
           所為限制國際傳輸之命令或處分。

第 12 條   記帳業者受理當事人就其個人資料行使本法第三條規定權利,應採取下列
           措施:
           一、確認其為個人資料之本人,或經個人資料之本人委託授權。
           二、提供當事人行使權利之方式,並遵守本法第十三條有關處理期限規定
               。
           三、如酌收必要成本費用應予告知。
           四、具本法第十條但書及第十一條第二項但書、第三項但書規定得拒絕當
               事人行使權利之事由,應附理由通知當事人。

第 13 條   記帳業者為維護其所保有個人資料之正確性,應採取下列方式:
           一、於蒐集、處理或利用過程檢視個人資料正確性。
           二、發現個人資料不正確時,適時更正或補充,並通知曾提供利用之對象
               。
           三、個人資料正確性有爭議者,依本法第十一條第二項規定處理。

第 14 條   記帳業者應定期確認保有個人資料之特定目的及期限,如特定目的消失或
           期限屆滿時,應依本法第十一條第三項規定處理。

第 15 條   記帳業者應採取下列人員管理措施:
           一、依據作業之需要,建立管理機制,設定所屬人員不同權限,並定期確
               認權限內容之適當性及必要性。
           二、指定各相關業務流程涉及蒐集、處理或利用個人資料之負責人員。
           三、與所屬人員約定保密義務。
           四、所屬人員離職時,持有之個人資料應辦理交接,不得於離職後繼續使
               用,並簽署保密切結書。

第 16 條   記帳業者應採取下列資料安全管理措施:
           一、運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時,訂定
               使用可攜式設備或儲存媒體規範。
           二、保有之個人資料內容如有加密需要,應於蒐集、處理或利用時,採取
               適當加密機制。
           三、作業過程有備份個人資料需要時,比照原件,依本法規定予以保護。
           四、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片
               、電腦、自動化機器設備或其他存放媒介物報廢或轉作其他用途時,
               採適當防範資料外洩措施。

第 17 條   記帳業者因執行業務以資通訊系統蒐集、處理或利用個人資料筆數達一萬
           筆者,應採行下列資訊安全措施:
           一、使用者身分確認及保護機制。
           二、個人資料顯示之隱碼機制。
           三、網際網路傳輸之安全加密機制。
           四、個人資料檔案與資料庫之存取控制及保護監控措施。
           五、防止外部網路入侵對策。
           六、非法或異常使用行為之監控及因應機制。
           記帳業者保有個人資料筆數未達一萬筆,於本辦法施行後,因直接或間接
           蒐集而達一萬筆者,應於保有筆數達一萬筆之日起算六個月內採行前項資
           訊安全措施。
           第一項第五款及第六款所定措施,每年應至少辦理一次演練並檢討改善。

第 18 條   記帳業者保有之個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積
           體電路晶片、電腦或自動化機器設備等媒介物,應採取下列環境及設備安
           全管理措施:
           一、針對存放儲存媒介物之環境,實施適當進出管制措施。
           二、依儲存媒介物之特性及使用方式,建置適當保護設備或技術。
           三、依所屬人員業務特性、內容及需求,訂定適當管理措施。

第 19 條   記帳業者應採行適當資料安全維護措施,採取個人資料使用紀錄、留存自
           動化機器設備之軌跡資料或其他相關證據保存機制,以供必要時說明其所
           訂本計畫執行情況。
           記帳業者對於業務終止後保有之個人資料,應依下列方式處理,並留存相
           關紀錄:
           一、銷毀:銷毀之方法、時間、地點及證明銷毀方式。
           二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該
               項個人資料之合法依據。
           三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法
               、時間或地點。
           前二項所定之紀錄、軌跡資料及相關證據,應至少留存五年。

第 20 條   記帳業者應訂定個人資料安全稽核機制,定期或不定期查察是否落實執行
           本計畫所定相關事項。

第 21 條   記帳業者應參酌執行業務現況、社會輿情、技術發展、法令修正等因素,
           檢視本計畫合宜性,必要時應予修正。

第 22 條   本辦法除第六條自發布日施行外,自發布日後六個月施行。
第一筆上一筆下一筆最末筆筆數:6/1264
返回功能列