三商电脑股份有限公司(以下简称「本公司」)为健全个人资料(以下简称「个资」)保护与管理机制,建置完善之管理流程及安全措施,以降低个资外泄风险,并促进个资之合理利用。本公司个人资料保护政策系依循《个人资料保护法》及相关法令与主管机关规范之定义与要求,订定个资管理政策与程序规范,并持续落实执行。
一、适用范围
- 本政策适用对象包括:
- 本公司全体同仁(含正式员工、约聘人员、派遣人员)。
- 与本公司有业务往来之厂商及其员工或临时雇员。
- 凡于执行业务过程中涉及个资之搜集、处理或利用者,均应遵循本政策规范。
二、个人资料保护与管理
- 为提升个资保护与管理,本公司妥善管理个资于搜集、处理、利用、营销及国际传输等过程,并建立完善之个资保护与信息安全治理制度,以防止因外在威胁或内部不当管理与使用,致个资遭窃取、窜改、毁损、灭失或泄漏等风险,致力打造可信赖之个资保护及隐私环境,以达企业永续经营目标。
本公司实行之管理措施如下:- 成立个资保护推动小组
明确定义相关人员权责,研议并推动安全维护措施,以确保政策有效落实。 - 全体员工与供货商遵循义务
全体员工与供货商应遵循本公司个资保护与隐私权相关规范与要求,并充分了解个资保护之重要性及泄漏个资之法律责任;如有违反情事,本公司将依法追究相关法律责任。 - 建立信息安全管理系统
针对数据库、客户服务系统等采取安全措施,包括但不限于实体安全、访问控制等,并针对外部网络入侵、非法或异常使用行为,定期办理演练与检讨改善,以维护个资安全。 - 法规遵循鉴别与传达
依「法规遵循鉴别程序书」鉴别、更新并传达个资保护相关法规(含变更事项),确保法规要求得以向组织内部有效传达并落实。 - 个资盘点与风险评估
依「个资盘点与风险评估程序书」识别本公司所处理之个资并进行盘点,执行风险评估与控管,并适时维持其正确性。确保搜集、处理或利用(例如:是否免为告知事项、是否属特定目的必要范围)之个资(包含《个资法》第六条所定特种个资),以符合相关法令规定。 - 营销使用个资之停止机制
本公司如利用个资为营销目的,当事人表示拒绝营销者,本公司将立即停止利用其个资营销,并于首次营销时提供当事人免费拒绝接受营销之方式。
- 成立个资保护推动小组
三、个人资料搜集、处理与利用
- 本公司就个资之搜集、处理与利用,遵循以下原则:
- 诚信、合法、适当与最小化原则
以诚信、合法且适当之方式,最小化搜集、处理与利用个资。 - 数据正确性维护
于搜集、处理或利用过程中,如发现资料不正确或正确性有争议者,本公司将主动或依当事人请求更正、补充、停止处理或停止利用。 - 国际传输控管
仅于合法且具充分保护措施之情况下,本公司方得进行个资国际传输。 - 委外监督与契约约定
委托他人搜集、处理或利用个资之全部或一部时,本公司将对受托人进行适当监督,并于委托契约或相关文件中明确约定委托内容及资安与保密要求。 - 保存期限与删除/停止处理利用
本公司所保有个资之特定目的消失或保存期限届满者,将主动或依当事人请求,删除、停止处理或停止利用该个资;但因业务所必需或经当事人书面同意者,不在此限。 - 当事人权利之尊重与处理
本公司尊重当事人得行使之个资权利(《个资法》第三条),于当事人行使权利时,将进行身分确认、说明相关事项(例如:是否需支付费用),并于法令规定期限内完成处理与回复。 - 泄漏责任追究
本公司以严密措施与政策保护当事人个资,倘发生泄漏情事,将依法追究相关民事、刑事及行政责任。
- 诚信、合法、适当与最小化原则
四、个人资料保护与管理目标
- 本公司订定年度个资保护管理目标,并定期检视成效:
年度目标(量测项目) 目标水平 度量方式 个资事故发生次数 0次/月 个资事故通报与处理单总数 个资安全维护计划改善比例 100%/季 (个资安全维护计划表如期结案总数/开立总数)× 100% 个资保护管理政策审查次数 ≥ 1次/年 个人资料保护管理政策审查次数 更新個資盤點內容 ≥ 1次/年 个资盘点表更新次数 個資管理資訊受訓次數 ≥ 1次/年 个资管理受训次数(全公司)
2025年度本公司发生0起个资事故事件,并于2025年2月6日召开个资保护管理政策审查会议。
五、个资倡导及教育训练
- 本公司定期进行个资保护认知倡导及教育训练,使同仁明了相关法令要求、责任范围与个资保护管理机制。透过个资教育训练计划,持续提升员工个资保护意识与专业能力。本公司每年举办1次个人资料安全管理教育训练与测试;2025年度于第二季执行个资管理教育训练,共计830人次参与测验,测验通过率达100%。
六、个资纪录保存机制
- 本公司执行个资保护相关机制、程序及措施时,应纪录个资使用情况,并留存轨迹数据或相关证据。如将删除、停止处理或停止利用之个资移转其他对象者,亦须留存纪录。相关轨迹数据、证据及纪录,至少留存五年;但法令另有规定或契约另有约定者,不在此限。