隱私權保護政策

客戶隱私權保護政策

中華電信重視「客戶隱私權保護」，遵循「個人資料保護法」、「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」。訂定《隱私權保護政策》，及嚴謹的個資隱私安全管理與防護措施，並建構資料治理制度，制定資料標準與分級，落實資料存取權限管控及資料擁有者之覆核機制，確保資料的存取與共享受到妥善治理與保護，以及資料的可用性、完整性及保密性。適用範圍涵蓋本公司所有分公司、營運據點、子公司與供應商。

對內，我們制定「資料治理政策」及相關資料治理規範，向全體員工及供應商宣示本公司達成個資隱私事故「零容忍」之決心，政策適用範圍涵蓋本公司所有分公司、營運據點、子公司與供應商。

相關業務推展前，會進行風險評估，檢視與確保資料取用之合規性是否為符合法遵要求，以及資料保護機制是否到位，避免各項資料處理之風險，為在「客戶隱私權保護」上能有精進作為，導入國際ISO 27701管理制度，以確保資料生命周期之有效性與合規性。

針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護，除遵循政府相關法令規章，在法令規定之範圍內使用，不會任意交換、出租或以其他變相之方式，將個資揭露予第三人，且會依循公司所定之「隱私權保護政策」落實執行，致力維護客戶的資料安全及隱私權利。

因應人工智慧(AI)科技研發可能帶來的創新、優勢與衝擊，也將科技部所頒佈「人工智慧科研發展指引」的8大指引做為本公司研究創新發展之參考，確保在使用AI技術過程中皆有適當的管理措施，降低民眾對AI科技的潛在疑慮與風險，以期能在確保客戶隱私權受到保護前提下發展，進而達到「以人為本」、「永續發展」及「多元包容」之核心價值。

客戶個資隱私保護管理機制

資料治理運作組織與職掌

中華電信資料治理運作組織，架構及職掌：

1. 資料治理策略委員會（一級組織）：總經理擔任召集人，資料治理相關議題的最終決策組織，掌理中華電信資料治理發展。
2. 數據發展處（二級組織）：負責制定、推動公司資料治理規範與制度，並追蹤落實成效。
3. 資料治理小組（三級組織）：資料治理執行單位，確保資料保護、資料合規、資料品質、資料存取、資料工具及資料維運等六大面向之資料治理制度落實於全中華電信。

個資保護與隱私之風險管理作為

1. 個資隱私風險管理（Group-wide risk management）
   已建立符合國際個資隱私管理標準與相關法令法規之風險管理制度，包含制定資料分級管控標準、推動資料治理學習地圖認證教育訓練，提升同仁個資隱私及資料治理素養，並於業務推展前識別關鍵業務及運行時之隱私資訊，進行隱私衝擊分析、識別內外部威脅及其衝擊程度與機率，訂定風險處理目標與措施，與落實委外作業供應商督管之責，並定期召開管理階層審查會議，作為隱私政策訂定之重要依據。
   我們資安與個資風險控管情形，已納入「風險管理委員會」每月追蹤管理，若有重大風險議題提報至審計委員會，或直接向董事會報告。
2. 績效量測與獎懲（Disciplinary actions）
   我們的隱私權保護政策以「零容忍」為最高準則，並將資安與個資保護成效納入全體員工之績效評核項目，經總經理核准後實施，定期檢討執行成效，未達目標需進行改善。若有因過失遺失或不當查詢、取得、使用或故意洩漏客戶個人資料之行為，得處記過之處分，最重得終止勞動契約。
   為確保全員資安之落實，將資安與個資保護成效納入全體員工之績效評核項目，並經總經理核准後實施，定期檢討執行成效，未達目標需進行改善。
3. 隱私保護內部稽核（Internal audit of privacy protection）
   我們依循「隱私權保護政策」、「個人資料保護法」等相關法令規定，定期進行內部稽核，持續強化隱私保護作業程序，確保各作業環節落實個資隱私保護安控措施，檢視及衡量個資保護相關措施之有效性。
   ‐ 分支機構：每年定期自辦查核
   ‐ 總公司：每年辦理一次年度個資查核
   ‐ 總公司稽核處(直屬董事會)每年辦理內控查核
4. 隱私保護第三方外部稽核（External audit of privacy protection ）
   我們的《隱私權保護政策》已通過第三方符合性查證，並導入國際ISO 27701管理制度，建立整體一致資安與個資隱私保護管理制度框架，2023年已通過驗證。目前我們的資通安全管理(ISMS)及個資隱私管理(PIMS)已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、CSA STAR、BS 10012等資安與個資隱私標準證書，認證範圍涵蓋本公司營運活動及100% IT相關基礎建設，包含行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。每年接受外部稽核與認證，以確保資料生命週期之有效性與合規性，提供消費者更完善的資安與個資隱私資料保護。
5. 強化供應商安全（Enhance Supplier Security ）
   為有效評估及管理供應鏈安全風險，本公司於採購作業時，選任可信賴的供應商或合作廠商，排除具安全疑慮之產品或有危害國家安全疑慮之廠商，制定標準化「資通安全附加條款」與「個人資料保護附加條款」，強制納入採購或合作供應商契約，明訂對供應商之資安及個資隱私保護管理要求及罰則，並依契約進行監督管理，確保符合本公司的隱私保護政策及法令法規。

• 監督管理方式：本公司依委託業務性質及風險程度，採取與其相稱之監督方式，包含日常巡檢、供應商自檢、定期/不定期會議、資訊系統安控措施、資安評級工具、實地查核、要求供應商通過第三方認證等，視需要搭配進行。
• 查核項目：依循個資法主管機關公布之「個人資料安全稽核檢查表」範本，包含下列：

個人資料之風險評估及管理機制 事故之預防、通報及應變機制 蒐集、處理、利用作業

資料安全管理及人員管理 認知宣導及教育訓練 設備安全管理措施

資料安全稽核機制 使用紀錄、軌跡資料及證據保存 個人資料安全維護之整體持續改善

• 監督結果：不符合事項要求供應商限期改善，整體監督結果納入管理審查。

內控體系與成果

個人資料事故預防、通報及應變程序

中華電信已建立完善個資隱私事故之通報、緊急應變，及後續改善機制，制定「個人資料事故預防、通報及應變程序」，施以嚴密的保護措施，預防個資隱私資料遭未經授權的存取、揭露、使用與竄改，並定期演練提高員工警覺性與熟悉通報及應變處理作業。

一旦發現疑似個資外洩事件，須依通報窗口名單於時限內完成通報，若證實屬個資事故，依既有事故處理程序，立即啟動緊急應變程序，於規定時限內完成應變處理，程序如下：

1. 評估影響範圍與嚴重程度，分級因應，如為重大個資事故，則須通報「資通安全處」及「資安長」。
2. 成立個資事故應變小組，啟動緊急應變機制，進行事故調查與分析，確認事故根因，清查損害範圍，及保存相關事證。
3. 監控輿情及客訴變化，掌握該事故個資遭不法蒐集、處理、利用之情形，預防損害擴大
4. 依法通知當事人與主管機關。若因該事故致使客戶權益受損，我們亦將提供當事人補償或法律協助，全力維護客戶權益。
5. 對事故所造成之衝擊、損害及影響進行檢討改善，防範事故再次發生。

個資隱私事件

2022年，中華電信客服專線受理投訴「疑似洩密申訴案件」總計10件。其中，國家通訊傳播委員會（NCC）通知7件，透過客服專線投訴3件（佔全年客服專線服務量0.00001%），經證實並無個資洩漏之事實。

具體資料管理機制

中華電信對齊國際資料管理協會DMBOK各項核心領域，建構資料治理架構，含三層式之組織架構及職掌，並從資料品質、資料保護、資料存取及共享、資料工具、資料合規及資料維運等六大面向建構全公司使用資料的制度，讓資料被規範、可授權、被追蹤、被保護，確保公司及所屬機構能有效進行資料治理，使達到資料資產管控的一致性、可用性、安全性和合規性，符合國際標準。

1. 資料品質：在確保中華電信之資料定義、監控、維護資料完整性，進而提升資料品質。
2. 資料保護：構建公司保護資料的流程，以保護傳輸中、落地儲存的資料，並依據資料分級，訂定對資料資產的存取權，並確保可達到隱私保護、機密性及適切存取之目的。
3. 資料存取與共享：確保中華電信在正確的時間提供正確的存取許可權，存取正確的資料確保資料的可用性、完整性及保密性。
4. 資料工具：確保使用之資料治理工具皆受到管控，且依規定之流程進行更新、審查和核准。
5. 資料維運：確保各類型業務之資料庫及資料資產受到妥善維護，且資料維運操作過程有留下日誌(log)記錄。
6. 資料合規：確保遵循公司及政府相關法令規章，致力維護自身及客戶的資料安全及隱私權利。