驗證機制

驗證機構資格暨管理規範

臺灣個人資料保護與管理制度
驗證暨特定範圍檢視機制運作要點

發布:2014年7月7日


0.根據
本要點依據「臺灣個人資料管理制度維運規章」訂定。

1.目的
為維護驗證暨特定範圍檢視機制之專業、公正及妥適性,特訂定本要點。

2.用詞定義
除另有訂定外,本要點之用詞均依「臺灣個人資料管理制度維運規章」、「臺灣個人資料保護與管理制度規範」及下列用詞定義為準:
(1) 驗證:指以「臺灣個人資料保護與管理制度規範」為驗證標準對組織所進行之驗證。
(2) 授證:指組織通過驗證後,由制度維運機構同意組織使用資料隱私保護標章dp.mark。
(3) 制度維運機構:指負責「臺灣個人資料保護與管理制度」之建置、維運與推行之機構。
(4) 驗證機構:指經制度維運機構認可並登錄、公告之驗證機構。
(5) 輔導機構:指經制度維運機構認可並登錄、公告之輔導機構。
(6) 組織:指公務機關或自然人以外之非公務機關。
(7) 「臺灣個人資料保護與管理制度」網站:係指用以公告臺灣個人資料保護與管理制度相關文件、訊息之網站;網址為:www.tpipas.org.tw。

3.驗證及特定範圍檢視之執行
(1) 驗證或特定範圍檢視應由制度維運機構或制度維運機構所派定之驗證機構執行。
(2) 代表驗證機構執行驗證或特定範圍檢視之人員,應具有個人資料驗證師之資格,並經制度維運機構為執業登錄。
(3) 除有正當理由並經制度維運機構書面同意外,執行實審或特定範圍檢視時,前述3(2)之人員中,至少一名須於最近三年內曾實際執行經財團法人全國認證基金會公告認可之資訊安全管理系統驗證三件以上,或修畢並通過制度維運機構所公告指定之資訊暨技術類課程及測驗。
(4) 除有正當理由並經制度維運機構書面同意外,執行實審或特定範圍檢視時,前述3(2)之人員中,至少一名須曾擔任制度維運機構之TPIPAS驗證人員,或具備律師資格,或修畢並通過制度維運機構所公告指定之法律暨制度類課程及測驗。
(5) 除有正當理由並經制度維運機構書面同意外,實審或特定範圍檢視,應由驗證機構派出人員至少三員執行之。
(6) 經制度維運機構書面同意,驗證機構執行驗證或特定範圍檢視時,得由任職於該機構且具有個資驗證師資格之人員隨同擔任觀察員。

4.驗證機構資格
  • 4.1申請條件
    依法在中華民國境內辦理登記之組織,符合下列條件者,得申請擔任驗證機構:
    (1) 為財團法人全國認證基金會所認可之資訊安全管理系統驗證之驗證機構;且
    (2) 具備三名以上經制度維運機構執業登錄之個人資料驗證師;或與前述經制度維運機構執業登錄之個人資料驗證師,就驗證之執行有專屬合作之契約關係。
  • 4.2.禁止擔任驗證機構事由
    組織具有下列任一情形者,不得申請擔任驗證機構:
    (1) 現為輔導機構;或
    (2) 與輔導機構互有控制或從屬關係;或
    (3) 與輔導機構所控制或從屬之組織互有控制或從屬關係;或
    (4) 曾申請擔任驗證機構被駁回,其期間尚未屆滿三個月;或
    (5) 曾受制度維運機構廢止驗證機構資格,其期間尚未屆滿一年;或
    (6) 於一年內曾受行政處分或法院判決,認定其因故意或過失,而導致個人資料遭洩漏、竊取、竄改、毀損、滅失或其他非法利用;且處分或判決尚未經撤銷、廢止或廢棄;或
    (7) 組織之負責人、代表人、經理人、執行業務董事或其他有代表權人,曾因違反個人資料保護相關法令而受刑罰之處罰,而其刑期或刑罰之執行尚未結束,或自執行結束之翌日起,尚未屆滿三年者;或
    (8) 組織受破產宣告、重整裁定確定、解散,或設立許可經主管機關撤銷或廢止。

5.申請方式
組織應依規定備齊文件向制度維運機構提出申請,如有程序不備,經制度維運機構通知仍未依規定補正者,視為組織撤回申請,惟所繳交文件與費用不予退回。

6.審查程序
(1)制度維運機構於組織之申請程序完備後,即進行文件審查。
(2)制度維運機構認為必要時,得至組織之主事務所、營業所或其他業務場所,進行實地訪視,組織應予配合。
(3)制度維運機構於審查完成後,以書面通知申請機構審查結果,如審查未通過,上述通知應附理由。

7.申請駁回與撤銷登錄
組織經審查通過後,制度維運機構將於臺灣個人資料保護與管理制度官方網站登錄並公告組織之名稱及相關資訊;如制度維運機構於審查時或嗣後發現存在下列情形,制度維運機構將駁回組織之申請,如組織已經登錄,制度維運機構並將撤銷其登錄,惟組織所繳交文件與費用不予退回:
(1) 組織不符資格要求;或
(2) 組織之申請文件及申請書記載事項與事實不符;或
(3) 組織拒絕接受實地訪視,或於訪視時為與事實不符之陳述、呈現或報告;或
(4) 組織欠缺辦理驗證業務所需之能力;或
(5) 有其他因可歸責申請機構之事由,致難以繼續審查或登錄;或
(6) 為組織進行登錄將有礙本要點1目的之達成。

8.更新
(1) 驗證機構應每二年向制度維運機構申請登錄之更新,以維持其驗證機構之資格。
(2) 更新之程序比照本要點5至7之規定辦理。

9.推薦輔導機構或其他組織之禁止
驗證機構不得向第三人以明示或暗示之方式,推薦特定輔導機構或其他執行TPIPAS輔導業務之組織。

10.利益衝突之禁止
除有正當理由並經制度維運機構事先書面同意,驗證機構不得為下列組織執行驗證:
(1) 由該驗證機構協助進行TPIPAS制度輔導建置之組織;或
(2) 由與該驗證機構有控制或從屬關係之第三人,協助進行TPIPAS制度輔導建置之組織。

11.保密義務與資訊外洩之報告
(1) 驗證機構就因擔任驗證機構或執行驗證業務所得知之機密資訊應予保密,除因法律規定必須揭露或提供者外,不得揭露或提供;且就傳輸或載有前述機密資訊之文件、檔案或其他載體、媒介,應予適當之安全防護。
(2) 驗證機構應擔保為驗證機構辦理相關業務或執行驗證之人員就上述機密資訊亦負保密義務。
(3) 前述機密資訊包括但不限於個人資料、組織之營業秘密,及其他驗證機構或為驗證機構辦理相關業務或執行驗證之人員,依法律或與制度維運機構或受驗證組織間之契約應予保密之資訊。
(4) 機密資訊如有外洩或其他事故,驗證機構應立即通知制度維運機構,並依制度維運機構之要求提出書面報告,及配合接受制度維運機構之調查。
(5) 前述10(1)至10(4)之義務,不因驗證機構嗣後不再擔任驗證機構或失去擔任驗證機構之資格,或資格遭廢止而中止。

12.驗證品質之維護
為維護驗證品質並達成本要點1之目的,制度維運機構得要求下列事項,驗證機構應予配合:
(1) 本要件3(2)所指之人員,須修畢並通過制度維運機構所公告指定之課程及測驗。
(2) 赴驗證機構之主事務所、營業所或其他業務場所進行訪視。
(3) 要求驗證機構就驗證執行及相關業務之情形提出報告。
(4) 實際觀察驗證機構驗證執行之情形。
(5) 要求驗證機構依制度維運機構之規定繳交與驗證執行相關之文件。
(6) 要求驗證機構就與驗證業相關之事項進行改善。

13.資格之廢止
驗證機構有下列情形時,制度維運機構得廢止其資格,並公布相關情形:
(1) 不再符合本要點所要求之資格;或
(2) 未依規定申請更新;或
(3) 違反本要點9至12或本要點其他規定;或
(4) 有正當理由認為其繼續擔任驗證機構將有礙於本要點1之目的之達成。

14.附則
(1) 制度維運機構如因本要點相關事項而收取費用時;其收取項目或數額,由制度維運機構公告或發布後實施,並送經濟部備查;修訂時亦同。
(2) 本要點由制度維運機構公告或發布於「臺灣個人資料保護與管理制度」網站後實施,並送經濟部備查;修訂時亦同。
(3) 本要點如經修正並公告實施後,應遵守修正實施後之規定,但修正實施之規定係變更驗證機構應登錄更新之期間者,於原期間屆滿前,不適用該變更之規定。
Copyright © 2019 STLI,III. All Rights Reserved.