農業主管法規共用系統

一、行政院農業委員會（以下簡稱本會）為執行個人資料保護法〈以下簡
    稱個資法〉，落實個人資料之保護及管理，特訂定本要點。

二、本會設個人資料保護管理執行小組（以下簡稱本小組），其任務如下
    ：
  （一）本會個人資料保護政策之研議。
  （二）本會個人資料管理制度之審議、評估及推展。
  （三）審核本會個人資料風險分析結果與風險處理計畫。
  （四）審核本會個人資料保護教育訓練之規劃與監督執行。
  （五）其他本會個人資料保護、管理之規劃及執行事項。

三、本小組置召集人、副召集人各一人，分別由副主任委員及主任秘書兼
    任之；委員十三人至十七人，除召集人、副召集人為當然委員外，其
    餘委員由各單位之主管、副主管或簡任以上熟悉單位業務之人員兼任
    之，上述人員均由主任委員派兼之。
    前項委員之任期四年，任期屆滿或出缺時，由主任委員選定新任委員
    。但遞補出缺之委員，繼任至原任期為止。
    本小組置執行秘書一人，由資訊中心主任兼任，承召集人及副召集人
    之命，綜理本小組日常事務。
    本小組幕僚工作由資訊中心統籌；政風室定期依個資法及相關規定稽
    核本會各單位；法規會協助本會個人資料相關法令之法制作業或疑義
    之會簽及諮詢。為強化幕僚功能，如有必要得邀請本會各單位人員參
    與。

四、本小組視業務推動之需要，不定期召開會議，由召集人主持；召集人
    因故不能主持會議時，由副召集人或執行秘書代理之。
    本小組開會時，得邀請有關業務單位、所屬機關人員、相關機關代表
    或學者專家出（列）席。

五、各單位應就業管個人資料檔案進行風險分析，每年定期將風險分析結
    果依資訊中心提供之格式填送該中心彙整，再由資訊中心依風險分析
    結果擬訂風險處理計畫送本小組審查。
    各單位應落實執行經本小組審查通過之風險處理計畫，並將風險處理
    計畫執行結果併前項風險分析結果填送資訊中心彙整。

六、本會同仁應依本小組審核通過之教育訓練計畫，每年接受資訊安全與
    個人資料保護之教育訓練。

七、各單位應指定個人資料保護專責人員辦理下列事項：
  （一）個人資料保護事項之協調聯繫。
  （二）個人資料保護之自行查核、損害預防及危機處理應變之通報。
  （三）個人資料保護方針及政策之執行。
  （四）應依業務需求建置與定期維護保有個人資料檔案清冊，定期提供
        資訊中心依個資法公布於網站。
  （五）其他個人資料保護管理事務之規劃及執行。

八、各單位對於個人資料之利用，不得為資料庫之恣意聯結，且不得濫用
    ，並應視其情形依下列規定辦理：
  （一）依個資法第十五條或第十六條規定蒐集、處理或利用個人資料前
        ，應詳為審核。
  （二）各單位依個資法第十六條但書規定對個人資料為特定目的外之利
        用時，應事先簽奉主任秘書以上長官核可，並應將其利用歷程做
        成紀錄。

九、個人資料有誤或缺漏時，應由業管單位簽奉核定後更正或補充之，並
    以書面通知曾提供利用之對象。
    前項業管單位應於簽奉核定更正後，填列個人資料異動處理紀錄表(
    如附表一)確實記錄其事由及經過，送資訊中心彙整。

十、各單位為維護業管個人資料之正確，有下列情形之一者，應由業管單
    位簽奉核定後，刪除、停止蒐集、處理、利用、更正或補充該個人資
    料，並將事由及經過登載於個人資料異動處理紀錄表，送資訊中心彙
    整：
  （一）個人資料正確性有爭議，且無個資法第十一條第二項但書情形。
  （二）個人資料蒐集之特定目的消失或期限屆滿，且無個資法第十一條
        第三項但書情形。
  （三）違反本法規定蒐集、處理或利用個人資料時。

十一、各單位遇有個人資料遭竊取、洩露、竄改、惡意破壞毀損、作業不
      慎、駭客攻擊、非法入侵等危害個人資料安全事件，應依下列規定
      處理：
    （一）立即通知本會資訊中心及政風室。
    （二）以最速件級別專簽會辦資訊中心，經主任秘書以上長官核可後
          ，即時以書面、電話、傳真、電子文件或其他足以使當事人知
          悉或可得知悉的方式，通知個人資料受侵害項目、產生之影響
          及已採取之因應措施。
    （三）事件發生三十六小時內復原或完成損害管制，並填報「個人資
          料安全危害事件通報單」(如附表二)送交資訊中心。
    （四）事件結案時，應填報「個人資料安全危害事件結案單」(如附
          表三)送交資訊中心。
      前項事件涉及電子資訊處理者，本會資訊中心接獲通報後，應交由
      本會資通安全處理小組之資安聯絡人員，上網通報至行政院國家資
      通安全會報緊急應變中心。


十一之一、本會及所屬機關於收受其他公務機關、直轄市、縣(市)政府或
          警察機關通知(報)其發現或知悉本會所轄管非公務機關有疑似
          個人資料外洩案件之情形時，應依下列規定處理：
       （一)應於收受通知(報)十日內，確認權責範圍。認有管轄疑義者
            ，應通知原通知(報)之機關或政府向國家發展委員會徵詢管
            轄機關之認定。經徵詢後，仍有異議者，應於收受通知(報)
            十日內函報行政院指定。
       （二)收受通知(報)三十日內，應依個人資料保護法第二十二條規
            定，對所轄管非公務機關以公文函查、進行資安訪視或行政
            檢查，並得命相關人員為必要之說明、配合措施或提供相關
            證明資料。但屬嚴重影響民眾權益之重大社會矚目案件者，
            應立即辦理行政檢查。
       （三)辦理行政檢查時得率同資訊、電信或法律等專業人員共同為
            之。對於得沒入或可為證據之個人資料或其檔案，得扣留或
            複製之。對於應扣留或複製之物，得要求其所有人、持有人
            或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣
            留或複製者，得強制為之，並應製作書面紀錄。
       （四)經調查結果發現所轄管非公務機關有違反個人資料保護法所
            定之情形者，依下列規定辦理：
           1. 第四十七條：裁處新臺幣五萬元以上五十萬元以下罰鍰，
              並令限期於六十日內完成改正，屆期未改正者，按次處罰
              。
           2. 第四十八條：限期於六十日內完成改正。屆期未改正者，
              按次處罰新臺幣二萬元以上二十萬元以下罰鍰。
           3. 第四十九條：處新臺幣二萬元以上二十萬元以下罰鍰。
           4. 前三目非公務機關之代表人、管理人或其他有代表權人，
              因該非公務機關依前三目規定受罰鍰處罰時，除能證明已
              盡防止義務者外，應並受同一額度罰鍰之處罰。
      （五) 改正期限屆滿後三十日內，辦理行政檢查複查。未通過者，
            本會及所屬機關除應依個人資料保護法相關規定進行裁罰外
            ，並應要求限期改正。


十二、個人資料檔案安全維護工作，除本要點外，並應符合行政院及本會
      訂定之相關資訊作業安全與機密維護規範。