一、為落實資訊安全,保障個人隱私權益,妥善依業務需要運用內政部移民署資料(以下簡稱移民資料),防止不當使用或外洩之情形,特訂定本要點。
司法院及所屬各機關應用移民資訊管理要點
二、使用範圍與依據 (一)移民資料之應用以司法院(以下簡稱本院)及所屬各機關辦理審判業務所需且合於法令規定範圍內為限。 (二)本院及所屬各機關辦理審判相關業務時,應透過本院內部資訊系統所提供之內政部移民署移民資訊連結作業(以下簡稱移民資訊連結作業)查詢相關移民資料。 (三)法令依據:民事訴訟法第一百十六條、第二百四十九條、第四百三十六條及第四百三十六條之二十三、強制執行法第十九條、非訟事件法第三十條、破產法第八條及第六十三條、商業事件審理法第二十一條、第三十三條及第六十六條、公證法第七十三條及第八十一條、提存法第九條、消費者債務清理條例第九條、刑事訴訟法第五十一條、第七十一條、第八十五條、第九十三條之二、第四百五十五條之十二、第四百五十五條之十三、第四百五十五條之三十五、第四百五十五條之三十九、行政訴訟法第五十七條、第一百零七條、第二百零九條、第二百三十六條、第二百三十七條之九、第二百三十七條之十七第二項、第二百三十七條之三十一、第二百四十四條、第二百六十三條、第二百七十二條、第二百七十七條及第二百八十六條規定、智慧財產案件審理法第二條後段、個人資料保護法第五條、第十五條、第十六條及第十八條、公務員服務法第四條及國家機密保護法第四條等規定,使用者應依據個人資料保護法之規範,審慎應用。
三、移民資料安全管理之分工如下: (一)本院資訊處: 1.負責向內政部移民署申辦本移民資訊連結作業,建立與內政部移民署線上資料查詢、檔案傳輸及磁性媒體交換之單一窗口(以下簡稱資料交換平台)。 2.接系統向資料交換平台取得移民資料管理。 3.本院介接系統承辦人申請取得移民資料書面審查,及經主管核章後傳由專責人員設定介接系統接收移民資料之帳號密碼。 (二)本院資料交換平台維運廠商: 1.資料交換平台系統、設備與網路之安全管理。 2.資料交換平台相關主機、電腦程式運作維護管理。 (三)本院政風處及本院所屬各機關政風室辦理違反管理規定人員之行政調查事宜。 (四)介接系統使用單位(係指各審級審判資訊系統、前案系統及其週邊對內對外查詢服務之單位): 1.防止移民資料外洩及不當使用。 2.帳號新增或異動時,應依「司法院及所屬各機關資訊安全管理要點」第捌章系統存取控制管理之相關規定辦理。 3.如有離職或職務調整不再使用時,應分別填寫「司法院暨所屬各機關離(調)職人員電腦系統使用異動單」或「電腦系統使用人申請表」,並經首長核可,帳號停用權限需於離職迄日起十五日內完成停用。
四、介接系統管理 (一)本院介接系統申請程序及管理 1.介接系統管理單位:係指各審級審判資訊系統、前案系統及其週邊對內對外查詢服務之管理單位或具有帳號審核權限之單位。 2.各介接系統申請取得資料交換平台之移民資料時,應列明使用目的,並由各介接系統管理單位主管核可後,交由本院資訊處專責人員配賦帳號及密碼,且保留紙本申請單(如屬線上申請簽核免列)及電腦紀錄。 3.帳號及密碼通知過程應具保密措施,防止被竊視及竊取。 4.本院資訊處專責人員職務異動時,應由承接之新任管理者於承接業務時停止原管理者管理權限。 (二)本院資訊處專責人員應每半年辦理介接系統帳號清查,確認各介接系統使用移民資料情形,並於該介接系統不再使用移民資料時適時回收帳號。帳號清查結果應至少應保留五年備查。 (三)本院資訊處申請本移民資訊連結作業之單位主管及承辦人異動時,應通知內政部移民署。 (四)本院資訊處應每三年定期審視介接系統使用移民資訊之必要性,如已無使用需求,需發函通知內政部移民署停止介接。
五、資料安全管制作業 (一)查詢移民資料管制措施: 1.資料不得任意複製。 2.資料禁止提供非業務權責人員閱覽、使用。 3.不得透過傳真或網際網路方式交付移民資料。 4.移民資料之傳送與處理應有適當之安全保護措施,個人識別資料應加密保護。 5.資料查詢及運用紀錄保存五年供稽核人員及內政部移民署查核。(二)系統安全及連線安全: 1.系統安全,本院進行本移民資訊連結作業之主機,每年進行一次弱點掃描,掃描結果應無高風險之弱點,並將弱點掃描之方式及結果存查。 2.連線安全,本院取得內政部移民署資料之網路連線方式為 INTERNET 網路對鎖 IP 。 3.作業系統安裝與設定完成後,應使用原廠所提供之程式或服務進行修補。 4.主機服務通訊埠,依業務需要予以開放,其餘通訊埠應予以關閉。
六、定期查核及稽核 (一)本院資訊處每半年辦理各介接系統清查作業,列印訂閱移民資料之介接系統清冊,並確認各介接系統使用移民資料情形。所有稽核工作均應作成稽核紀錄,保留五年備查。 (二)內政部移民署實施稽核作業時,本院須配合提供相關查核資料,各介接系統及使用人員須配合辦理。 (三)對於資料提供機關實施稽核時,應備妥介接系統清冊及稽核紀錄及提供相關稽核資料。 (四)法院應辦理使用者查詢紀錄抽查。查核單位係指負責查核使用紀錄之單位。法官部分,各法院應由首長指定庭長或相當層級人員每月抽查查詢人之查詢紀錄是否確為公務所需,如有疑義則交各院政風室續辦;其他人員部分由各院政風室依規定辦理,查核結果應至少保留三年備查。 (五)查核單位之查核人員,除資料提供機關未提供查詢紀錄者外,應每月就查詢人員之查詢紀錄進行查核事宜,如有異常使用情形,應進行追查,確屬異常者,應通報政風單位查明後簽報處理。抽查比例至少為百分之二,每月至少應抽十筆,單月查詢筆數十件以下者,應全數查核。
七、資料交換平台維運廠商之管理及程序 (一)資料交換平台維運廠商應依「司法院及所屬各機關資訊安全管理要點」、「司法院系統發展與維護管理程序書」、「應用系統管理作業說明書」及相關採購契約約定,遵循本院資安政策與管理程序。(二)資料交換平台維運廠商違反管理規定時,依相關採購契約約定計罰。
八、相關法律責任 (一)本院及所屬各機關或使用者不當使用經由內政部移民署提供之移民資料,致當事人權益受損,發生爭議、訴訟時,本院及所屬各機關或使用者依個人資料保護法或其他法律之規定負完全責任。如致當事人權益受損者,使用單位應負個人資料保護法第二十八條之損害賠償責任,與第三十一條適用國家賠償法之規定。 (二)違反個人資料保護法第十五條、第十六條之規定,意圖營利者;或意圖為自己或第三人不法之利益,而對於個人資料檔案為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔案之正確,致生損害於他人者;或假借職務上之權力、機會或方法,犯前揭情形之罪者,應負同法第四十一條、第四十二條、第四十四條之法律責任。 (三)使用者不當使用移民資料之行政責任,應由其所屬之主管機關議處;其涉及刑事責任者,移送司法機關處理。 (四)使用單位發生資料外洩或相關資安事件,應立即通知本院資訊處及內政部移民署協同處理。接獲民眾陳情或訴願,經由內政部移民署取得之移民資訊遭洩漏或不當使用等情事時,本院政風處及本院所屬各機關政風室應督導使用單位,查明及函復民眾查處情形,並副知內政部移民署。 (五)資料交換平台維運廠商如不當使用移民資料,違反個人資料保護法或相關法令,致使第三人或內政部移民署權益受損,應負擔民事賠償及刑事完全責任。 (六)如違反其他法律規定,依其規定追究責任。
九、本要點如有未盡事宜,依資通安全管理法、個人資料保護法、國家賠償法、各級機關應用移民資訊連結作業及管理要點及其他相關規定辦理。