客戶隱私權保護政策

中華電信重視「客戶隱私權保護」,遵循《個人資料保護法》、《國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法》。訂定《隱私權保護政策》,及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,制定資料標準與分級,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護,以及資料的可用性、完整性及保密性。適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。


對內,我們制定《資料治理政策》及相關資料治理規範,向全體員工及供應商宣示中華電信達成個資隱私事故「零容忍」之決心,政策適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。


相關業務推展前,會進行風險評估,檢視與確保資料取用之合規性是否為符合法遵要求,以及資料保護機制是否到位,避免各項資料處理之風險,為在「客戶隱私權保護」上能有精進作為,導入國際ISO 27701管理制度,以確保資料生命週期之有效性與合規性。


針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會提供、出租或以其他變相之方式,將個資揭露予第三人,且會依循公司所定之《隱私權保護政策》落實執行,致力維護客戶的資料安全及隱私權利。


客戶個資隱私保護管理機制

資料治理運作組織與職掌

...

中華電信資料治理運作組織,架構及職掌:

  1. 資料治理策略委員會(一級組織):總經理擔任召集人,資料治理相關議題的最終決策組織,掌理中華電信資料治理發展。
  2. 數據發展處(二級組織):負責制定、推動公司資料治理規範與制度,並追蹤落實成效。
  3. 資料治理小組(三級組織):資料治理執行單位,確保資料保護、資料合規、資料品質、資料存取、資料工具及資料維運等六大面向之資料治理制度落實於全中華電信。

個資保護與隱私之風險管理作為

項目 說明
個資隱私風險管理
(Group-wide risk management)
  • 建立符合國際個資隱私管理標準與相關法令法規的風險管理制度。
  • 業務推展前,會識別關鍵業務及運行時的隱私資訊,進行隱私衝擊分析,並識別內外部威脅及其衝擊程度與機率。
  • 訂定風險處理目標與措施,並落實委外作業供應商的督管責任。
  • 定期召開管理階層審查會議,作為隱私政策訂定的重要依據。
績效量測與獎懲
(Disciplinary actions)
  • 《隱私權保護政策》以「零容忍」為最高準則。
  • 將資安與個資保護成效納入全體員工之績效評核項目,經總經理核准後實施,定期檢討執行成效,未達目標需進行改善。
  • 對於因過失遺失、不當查詢、取得、使用或故意洩漏客戶個人資料的行為,將實施記過之處分,最嚴重者可能終止勞動契約。
隱私保護內部稽核
(Internal audit of privacy protection)
  • 依循《隱私權保護政策》、《個人資料保護法》等相關法令規定,定期進行內部稽核,持續強化隱私保護作業程序。
  • - 分支機構:每年定期自辦查核
    - 總公司:每年辦理一次年度個資查核
    - 總公司稽核處(直屬董事會)每年辦理內控查核
隱私保護第三方外部稽核
(External audit of privacy protection)
  • 《隱私權保護政策》每年定期通過第三方(SGS-Taiwan)符合性查證。
  • 導入國際ISO 27701管理制度,建立整體一致資安與個資隱私保護管理制度框架。
  • 資通安全管理(ISMS)及個資隱私管理(PIMS)已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、CSA STAR、BS 10012等資安與個資隱私標準證書。範圍涵蓋中華電信所有營運活動,及100% IT相關基礎建設,包括:行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。
  • 每年接受外部稽核與認證,確保資料生命週期之有效性與合規性,提供消費者更完善的資安與個資隱私資料保護。
強化供應商安全
(Enhance Supplier Security)
  • 制定標準化之「資通安全附加條款」與「個人資料保護附加條款」,強制納入採購或合作供應商契約中。
  • 明訂對供應商之資安及個資隱私保護管理要求及罰則,確保供應商按照我們授權的方式處理客戶的個資,無權將我們客戶的個人資訊用於其自身目的,我們並定期進行監督管理,確保符合中華電信的《隱私權保護政策》及管理要求。
  • 監督管理方式:依委託業務性質及風險程度,採取與其相稱之監督方式,包含日常巡檢、供應商自檢、定期/不定期會議、資訊系統安控措施、資安評級工具、實地查核、要求供應商通過第三方認證等,視需要搭配進行。
  • 查核項目:依中華電信《隱私權保護政策》、管理要求,及法令法規,查核下列項目:
    - 個人資料之風險評估及管理機制
    - 事故之預防、通報及應變機制
    - 蒐集、處理、利用作業
    - 資料安全管理及人員管理
    - 認知宣導及教育訓練
    - 設備安全管理措施
    - 資料安全稽核機制
    - 使用紀錄、軌跡資料及證據保存
    - 個人資料安全維護之整體持續改善
  • 監督結果:不符合事項要求供應商限期改善,整體監督結果納入管理審查。

內控體系與成果

個人資料事故預防、通報及應變程序

中華電信建構完善個資隱私事故之通報、緊急應變,及後續改善機制,制定《個人資料事故預防、通報及應變程序》,施以嚴密的保護措施,預防個資隱私資料遭未經授權的存取、揭露、使用與竄改,並定期演練提高員工警覺性與熟悉通報及應變處理作業。


一旦發現疑似個資外洩事件,須依通報窗口名單於時限內完成通報,若證實屬個資事故,依既有事故處理程序,立即啟動緊急應變程序,於規定時限內完成應變處理,程序包括:

  1. 評估影響範圍與嚴重程度,分級因應,如為重大個資事故,則須通報「資通安全處」及「資安長」。
  2. 成立個資事故應變小組,啟動緊急應變機制,進行事故調查與分析,確認事故根因,清查損害範圍,及保存相關事證。
  3. 監控輿情及客訴變化,掌握該事故個資遭不法蒐集、處理、利用之情形,預防損害擴大。
  4. 依法通知當事人與主管機關。若因該事故致使客戶權益受損,我們亦將提供當事人補償或法律協助,全力維護客戶權益。
  5. 對事故所造成之衝擊、損害及影響進行檢討改善,防範事故再次發生。
...

個資隱私事件

2023年,中華電信客服專線受理投訴「疑似洩密申訴案件」總計990件。其中,國家通訊傳播委員會(NCC)通知11件,透過客服專線投訴979件(佔全年客服專線服務量0.0028%),經證實並無個資洩漏之事實。



具體資料管理機制

中華電信對齊國際資料管理協會DMBOK各項核心領域,建構資料治理架構,含三層式之組織架構及職掌,並從資料品質、資料保護、資料存取及共享、資料工具、資料合規及資料維運等六大面向建構全公司使用資料的制度,讓資料被規範、可授權、被追蹤、被保護,確保公司及所屬機構能有效進行資料治理,使達到資料資產管控的一致性、可用性、安全性和合規性,符合國際標準。

...
  1. 資料品質:在確保中華電信之資料定義、監控、維護資料完整性,進而提升資料品質。
  2. 資料保護:構建公司保護資料的流程,以保護傳輸中、落地儲存的資料,並依據資料分級,訂定對資料資產的存取權,並確保可達到隱私保護、機密性及適切存取之目的。
  3. 資料存取與共享:確保中華電信在正確的時間提供正確的存取許可權,存取正確的資料確保資料的可用性、完整性及保密性。
  4. 資料工具:確保使用之資料治理工具皆受到管控,且依規定之流程進行更新、審查和核准。
  5. 資料維運:確保各類型業務之資料庫及資料資產受到妥善維護,且資料維運操作過程有留下日誌(log)記錄。
  6. 資料合規:確保遵循公司及政府相關法令規章,致力維護自身及客戶的資料安全及隱私權利。

返回頂部