消費者關懷

隱私權保護政策

更新日期:2022/07/01

隱私權保護政策

中華電信重視「客戶隱私權保護」,遵循「個人資料保護法」、「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」。訂定《隱私權保護政策》,及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,制定資料標準與分級,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護,以及資料的可用性、完整性及保密性。適用範圍涵蓋本公司所有分公司、營運據點、子公司與供應商。

對內,我們制定「資料治理政策」及相關資料治理規範,向全體員工及供應商宣示本公司達成個資隱私事故「零容忍」之決心,政策適用範圍涵蓋本公司所有分公司、營運據點、子公司與供應商。

相關業務推展前,會進行風險評估,檢視與確保資料取用之合規性是否為符合法遵要求,以及資料保護機制是否到位,避免各項資料處理之風險,為在「客戶隱私權保護」上能有精進作為,積極導入國際ISO 27701管理制度,以確保資料生命周期之有效性與合規性。

針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會任意交換、出租或以其他變相之方式,將個資揭露予第三人,且會依循公司所定之「隱私權保護政策」落實執行,致力維護客戶的資料安全及隱私權利。

因應人工智慧(AI)科技研發可能帶來的創新、優勢與衝擊,也將科技部所頒佈「人工智慧科研發展指引」的8大指引做為本公司研究創新發展之參考,確保在使用AI技術過程中皆有適當的管理措施,降低民眾對AI科技的潛在疑慮與風險,以期能在確保客戶隱私權受到保護前提下發展,進而達到「以人為本」、「永續發展」及「多元包容」之核心價值。

前往瞭解我們的《隱私權保護政策》、《資料治理政策》及《個人資料蒐集告知聲明

客戶個資隱私保護管理機制

資料治理運作組織與職掌

資料治理三層式之組織架構及職掌說明如下:

  1. 資料治理策略委員會(一級組織):總經理擔任召集人,資料治理相關議題的最終決策組織,掌理中華電信資料治理發展。
  2. 數據發展處(二級組織):負責制定、推動公司資料治理規範與制度,並追蹤落實成效。
  3. 資料治理小組(三級組織):資料治理執行單位,確保資料保護、資料合規、資料品質、資料存取、資料工具及資料維運等六大面向之資料治理制度落實於全中華電信。
具體資料管理機制

中華電信對齊國際資料管理協會DMBOK各項核心領域,建構資料治理架構,含三層式之組織架構及職掌,並從資料品質、資料保護、資料存取及共享、資料工具、資料合規及資料維運等六大面向建構全公司使用資料的制度,讓資料被規範、可授權、被追蹤、被保護,確保公司及所屬機構能有效進行資料治理,使達到資料資產管控的一致性、可用性、安全性和合規性,符合國際標準。

  1. 資料品質:在確保中華電信之資料定義、監控、維護資料完整性,進而提升資料品質。
  2. 資料保護:構建公司保護資料的流程,以保護傳輸中、落地儲存的資料,並依據資料分級,訂定對資料資產的存取權,並確保可達到隱私保護、機密性及適切存取之目的。
  3. 資料存取與共享:確保中華電信在正確的時間提供正確的存取許可權,存取正確的資料確保資料的可用性、完整性及保密性。
  4. 資料工具:確保使用之資料治理工具皆受到管控,且依規定之流程進行更新、審查和核准。
  5. 資料維運:確保各類型業務之資料庫及資料資產受到妥善維護,且資料維運操作過程有留下日誌(log)記錄。
  6. 資料合規:確保遵循公司及政府相關法令規章,致力維護自身及客戶的資料安全及隱私權利。
個資保護與隱私之風險管理作為
  1. 個資隱私風險管理
    本公司已建立完善個資隱私風險管理機制,識別關鍵業務及運行時之隱私資訊,進行隱私衝擊分析、識別內外部威脅及其衝擊程度與機率,訂定風險處理優先順序,並定期召開高階管理階層審查會議,作為隱私政策訂定之重要依據。
    我們資安與個資風險控管情形,已納入「風險管理委員會」每月追蹤管理,若有重大風險議題提報至審計委員會,或直接向董事會報告。
  2. 績效量測與獎懲
    我們的隱私權保護政策以「零容忍」為最高準則,並將資安與個資保護成效納入全體員工之績效評核項目,經總經理核准後實施,定期檢討執行成效,未達目標需進行改善。若有因過失遺失或不當查詢、取得、使用或故意洩漏客戶個人資料之行為,得處記過之處分,最重得終止勞動契約。
  3. 第三方外部稽核
    我們持續強化隱私保護作業程序,確保各作業環節落實個資隱私保護安控措施;定期辦理個資隱私保護相關訓練,提升公司整體個資隱私保護素養,並透過定期測試與演練,檢視及衡量個資保護相關措施之有效性;對外,我們的《隱私權保護政策》已通過第三方符合性查證,並每年接受內、外部稽核與認證(如ISO 27001 / ISO 27011 / ISO 27017 / ISO 27018 / BS 10012 / CSA STAR Certification,證書持續有效),提供消費者更完善的資安與個資隱私資料保護。
     
     
   

內控體系與成果

個資隱私事件

中華電信已建立完善個資隱私事故之通報、緊急應變,及後續改善機制,制定「個人資料事故預防、通報及應變程序」,施以嚴密的保護措施,預防個資隱私資料遭未經授權的存取、揭露、使用與竄改,並定期演練提高員工警覺性與熟悉通報及應變處理作業。

一旦發現疑似個資外洩事件,須依通報窗口名單於時限內完成通報,若證實屬個資事故,依既有事故處理程序,立即啟動緊急應變程序,於規定時限內完成應變處理,程序如下:

  1. 評估影響範圍與嚴重程度,分級因應,如為重大個資事故,則須通報「資通安全處」及「資安長」。
  2. 成立個資事故應變小組,啟動緊急應變機制,進行事故調查與分析,確認事故根因,清查損害範圍,及保存相關事證。
  3. 監控輿情及客訴變化,掌握該事故個資遭不法蒐集、處理、利用之情形,預防損害擴大。
  4. 依法通知當事人與主管機關。若因該事故致使客戶權益受損,我們亦將提供當事人補償或法律協助,全力維護客戶權益。
  5. 對事故所造成之衝擊、損害及影響進行檢討改善,防範事故再次發生。
個人資料事故預防、通報及應變程序

2021年,中華電信客服專線受理投訴「疑似洩密申訴案件」總計8件。其中,國家通訊傳播委員會(NCC)通知6件,透過客服專線投訴2件(與2020年投訴數相同,佔全年客服專線服務量0.000027%),經證實並無個資洩漏之事實。