三商電腦股份有限公司(以下簡稱「本公司」)為健全個人資料(以下簡稱「個資」)保護與管理機制,建置完善之管理流程及安全措施,以降低個資外洩風險,並促進個資之合理利用。本公司個人資料保護政策係依循《個人資料保護法》及相關法令與主管機關規範之定義與要求,訂定個資管理政策與程序規範,並持續落實執行。
一、適用範圍
- 本政策適用對象包括:
- 本公司全體同仁(含正式員工、約聘人員、派遣人員)。
- 與本公司有業務往來之廠商及其員工或臨時雇員。
- 凡於執行業務過程中涉及個資之蒐集、處理或利用者,均應遵循本政策規範。
二、個人資料保護與管理
- 為提升個資保護與管理,本公司妥善管理個資於蒐集、處理、利用、行銷及國際傳輸等過程,並建立完善之個資保護與資訊安全治理制度,以防止因外在威脅或內部不當管理與使用,致個資遭竊取、竄改、毀損、滅失或洩漏等風險,致力打造可信賴之個資保護及隱私環境,以達企業永續經營目標。
本公司採行之管理措施如下:- 成立個資保護推動小組
明確定義相關人員權責,研議並推動安全維護措施,以確保政策有效落實。 - 全體員工與供應商遵循義務
全體員工與供應商應遵循本公司個資保護與隱私權相關規範與要求,並充分瞭解個資保護之重要性及洩漏個資之法律責任;如有違反情事,本公司將依法追究相關法律責任。 - 建立資訊安全管理系統
針對資料庫、客戶服務系統等採取安全措施,包括但不限於實體安全、存取控制等,並針對外部網路入侵、非法或異常使用行為,定期辦理演練與檢討改善,以維護個資安全。 - 法規遵循鑑別與傳達
依「法規遵循鑑別程序書」鑑別、更新並傳達個資保護相關法規(含變更事項),確保法規要求得以向組織內部有效傳達並落實。 - 個資盤點與風險評估
依「個資盤點與風險評估程序書」識別本公司所處理之個資並進行盤點,執行風險評估與控管,並適時維持其正確性。確保蒐集、處理或利用(例如:是否免為告知事項、是否屬特定目的必要範圍)之個資(包含《個資法》第六條所定特種個資),以符合相關法令規定。 - 行銷使用個資之停止機制
本公司如利用個資為行銷目的,當事人表示拒絕行銷者,本公司將立即停止利用其個資行銷,並於首次行銷時提供當事人免費拒絕接受行銷之方式。
- 成立個資保護推動小組
三、個人資料蒐集、處理與利用
- 本公司就個資之蒐集、處理與利用,遵循以下原則:
- 誠信、合法、適當與最小化原則
以誠信、合法且適當之方式,最小化蒐集、處理與利用個資。 - 資料正確性維護
於蒐集、處理或利用過程中,如發現資料不正確或正確性有爭議者,本公司將主動或依當事人請求更正、補充、停止處理或停止利用。 - 國際傳輸控管
僅於合法且具充分保護措施之情況下,本公司方得進行個資國際傳輸。 - 委外監督與契約約定
委託他人蒐集、處理或利用個資之全部或一部時,本公司將對受託人進行適當監督,並於委託契約或相關文件中明確約定委託內容及資安與保密要求。 - 保存期限與刪除/停止處理利用
本公司所保有個資之特定目的消失或保存期限屆滿者,將主動或依當事人請求,刪除、停止處理或停止利用該個資;但因業務所必需或經當事人書面同意者,不在此限。 - 當事人權利之尊重與處理
本公司尊重當事人得行使之個資權利(《個資法》第三條),於當事人行使權利時,將進行身分確認、說明相關事項(例如:是否需支付費用),並於法令規定期限內完成處理與回覆。 - 洩漏責任追究
本公司以嚴密措施與政策保護當事人個資,倘發生洩漏情事,將依法追究相關民事、刑事及行政責任。
- 誠信、合法、適當與最小化原則
四、個人資料保護與管理目標
- 本公司訂定年度個資保護管理目標,並定期檢視成效:
年度目標(量測項目) 目標水準 度量方式 個資事故發生次數 0次/月 個資事故通報與處理單總數 個資安全維護計畫改善比例 100%/季 (個資安全維護計畫表如期結案總數/開立總數)× 100% 個資保護管理政策審查次數 ≥ 1次/年 個人資料保護管理政策審查次數 更新個資盤點內容 ≥ 1次/年 個資盤點表更新次數 個資管理資訊受訓次數 ≥ 1次/年 個資管理受訓次數(全公司)
2025年度本公司發生0起個資事故事件,並於2025年2月6日召開個資保護管理政策審查會議。
五、個資宣導及教育訓練
- 本公司定期進行個資保護認知宣導及教育訓練,使同仁明瞭相關法令要求、責任範圍與個資保護管理機制。透過個資教育訓練計畫,持續提升員工個資保護意識與專業能力。本公司每年舉辦1次個人資料安全管理教育訓練與測試;2025年度於第二季執行個資管理教育訓練,共計830人次參與測驗,測驗通過率達100%。
六、個資紀錄保存機制
- 本公司執行個資保護相關機制、程序及措施時,應紀錄個資使用情況,並留存軌跡資料或相關證據。如將刪除、停止處理或停止利用之個資移轉其他對象者,亦須留存紀錄。相關軌跡資料、證據及紀錄,至少留存五年;但法令另有規定或契約另有約定者,不在此限。