客戶隱私權保護政策
中華電信重視「客戶隱私權保護」,遵循《個人資料保護法》、《國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法》。訂定《隱私權保護政策》,及嚴謹的個資隱私安全管理與防護措施,並建構資料治理制度,制定資料標準與分級,落實資料存取權限管控及資料擁有者之覆核機制,確保資料的存取與共享受到妥善治理與保護,以及資料的可用性、完整性及保密性。適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。
對內,我們制定《資料治理政策》及相關資料治理規範,向全體員工及供應商宣示中華電信達成個資隱私事故「零容忍」之決心,政策適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。
相關業務推展前,會進行風險評估,檢視與確保資料取用之合規性是否為符合法遵要求,以及資料保護機制是否到位,避免各項資料處理之風險,為在「客戶隱私權保護」上能有精進作為,導入國際ISO 27701管理制度,以確保資料生命週期之有效性與合規性。
針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護,除遵循政府相關法令規章,在法令規定之範圍內使用,不會提供、出租或以其他變相之方式,將個資揭露予第三人,且會依循公司所定之《隱私權保護政策》落實執行,致力維護客戶的資料安全及隱私權利。
➤ 前往瞭解我們的 《隱私權保護政策》 、 《資料治理政策》及 《個人資料蒐集告知聲明》
客戶個資隱私保護管理機制
資料治理運作組織與職掌
中華電信資料治理運作組織,架構及職掌:
- 資料治理策略委員會(一級組織):總經理擔任召集人,資料治理相關議題的最終決策組織,掌理中華電信資料治理發展。
- 數據發展處(二級組織):負責制定、推動公司資料治理規範與制度,並追蹤落實成效。
- 資料治理小組(三級組織):資料治理執行單位,確保資料保護、資料合規、資料品質、資料存取、資料工具及資料維運等六大面向之資料治理制度落實於全中華電信。
個資保護與隱私之風險管理作為
項目 | 說明 |
---|---|
個資隱私風險管理 (Group-wide risk management) |
|
績效量測與獎懲 (Disciplinary actions) |
|
隱私保護內部稽核 (Internal audit of privacy protection) |
- 總公司:每年辦理一次年度個資查核 - 總公司稽核處(直屬董事會)每年辦理內控查核 |
隱私保護第三方外部稽核 (External audit of privacy protection) |
|
強化供應商安全 (Enhance Supplier Security) |
|
內控體系與成果
個人資料事故預防、通報及應變程序
中華電信建構完善個資隱私事故之通報、緊急應變,及後續改善機制,制定《個人資料事故預防、通報及應變程序》,施以嚴密的保護措施,預防個資隱私資料遭未經授權的存取、揭露、使用與竄改,並定期演練提高員工警覺性與熟悉通報及應變處理作業。
一旦發現疑似個資外洩事件,須依通報窗口名單於時限內完成通報,若證實屬個資事故,依既有事故處理程序,立即啟動緊急應變程序,於規定時限內完成應變處理,程序包括:
- 評估影響範圍與嚴重程度,分級因應,如為重大個資事故,則須通報「資通安全處」及「資安長」。
- 成立個資事故應變小組,啟動緊急應變機制,進行事故調查與分析,確認事故根因,清查損害範圍,及保存相關事證。
- 監控輿情及客訴變化,掌握該事故個資遭不法蒐集、處理、利用之情形,預防損害擴大。
- 依法通知當事人與主管機關。若因該事故致使客戶權益受損,我們亦將提供當事人補償或法律協助,全力維護客戶權益。
- 對事故所造成之衝擊、損害及影響進行檢討改善,防範事故再次發生。
個資隱私事件
2023年,中華電信客服專線受理投訴「疑似洩密申訴案件」總計990件。其中,國家通訊傳播委員會(NCC)通知11件,透過客服專線投訴979件(佔全年客服專線服務量0.0028%),經證實並無個資洩漏之事實。
具體資料管理機制
中華電信對齊國際資料管理協會DMBOK各項核心領域,建構資料治理架構,含三層式之組織架構及職掌,並從資料品質、資料保護、資料存取及共享、資料工具、資料合規及資料維運等六大面向建構全公司使用資料的制度,讓資料被規範、可授權、被追蹤、被保護,確保公司及所屬機構能有效進行資料治理,使達到資料資產管控的一致性、可用性、安全性和合規性,符合國際標準。
- 資料品質:在確保中華電信之資料定義、監控、維護資料完整性,進而提升資料品質。
- 資料保護:構建公司保護資料的流程,以保護傳輸中、落地儲存的資料,並依據資料分級,訂定對資料資產的存取權,並確保可達到隱私保護、機密性及適切存取之目的。
- 資料存取與共享:確保中華電信在正確的時間提供正確的存取許可權,存取正確的資料確保資料的可用性、完整性及保密性。
- 資料工具:確保使用之資料治理工具皆受到管控,且依規定之流程進行更新、審查和核准。
- 資料維運:確保各類型業務之資料庫及資料資產受到妥善維護,且資料維運操作過程有留下日誌(log)記錄。
- 資料合規:確保遵循公司及政府相關法令規章,致力維護自身及客戶的資料安全及隱私權利。