隱私權保護政策

確保客戶隱私權益

類別

客戶隱私權保護政策

中華電信重視「客戶隱私權保護」，遵循《個人資料保護法》、《國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法》。訂定《隱私權保護政策》，及嚴謹的個資隱私安全管理與防護措施，並建構資料治理制度，制定資料標準與分級，落實資料存取權限管控及資料擁有者之覆核機制，確保資料的存取與共享受到妥善治理與保護，以及資料的可用性、完整性及保密性。適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。

對內，我們制定《資料治理政策》及相關資料治理規範，向全體員工及供應商宣示中華電信達成個資隱私事故「零容忍」之決心，政策適用範圍涵蓋中華電信所有分公司、營運據點、子公司與供應商。

相關業務推展前，會進行風險評估，檢視與確保資料取用之合規性是否為符合法遵要求，以及資料保護機制是否到位，避免各項資料處理之風險，為在「客戶隱私權保護」上能有精進作為，導入國際ISO 27701管理制度，以確保資料生命週期之有效性與合規性。

針對營運過程中所涉及之個資隱私之蒐集、處理、利用及保護，除遵循政府相關法令規章，在法令規定之範圍內使用，不會提供、出租或以其他變相之方式，將個資揭露予第三人，且會依循公司所定之《隱私權保護政策》落實執行，致力維護客戶的資料安全及隱私權利。

➤ 前往瞭解我們的《隱私權保護政策》、《資料治理政策》及《個人資料蒐集告知聲明》

客戶個資隱私保護管理機制

資料治理運作組織與職掌

中華電信資料治理運作組織，架構及職掌：

資料治理策略委員會（一級組織）：總經理擔任召集人，資料治理相關議題的最終決策組織，掌理中華電信資料治理發展。
數據發展處（二級組織）：負責制定、推動公司資料治理規範與制度，並追蹤落實成效。
資料治理小組（三級組織）：資料治理執行單位，確保資料保護、資料合規、資料品質、資料存取、資料工具及資料維運等六大面向之資料治理制度落實於全中華電信。

個資保護與隱私之風險管理作為

項目	說明
個資隱私風險管理（Group-wide risk management）	建立符合國際個資隱私管理標準與相關法令法規的風險管理制度。業務推展前，會識別關鍵業務及運行時的隱私資訊，進行隱私衝擊分析，並識別內外部威脅及其衝擊程度與機率。訂定風險處理目標與措施，並落實委外作業供應商的督管責任。定期召開管理階層審查會議，作為隱私政策訂定的重要依據。
績效量測與獎懲（Disciplinary actions）	《隱私權保護政策》以「零容忍」為最高準則。將資安與個資保護成效納入全體員工之績效評核項目，經總經理核准後實施，定期檢討執行成效，未達目標需進行改善。對於因過失遺失、不當查詢、取得、使用或故意洩漏客戶個人資料的行為，將實施記過之處分，最嚴重者可能終止勞動契約。
隱私保護內部稽核（Internal audit of privacy protection）	依循《隱私權保護政策》、《個人資料保護法》等相關法令規定，定期進行內部稽核，持續強化隱私保護作業程序。 - 分支機構：每年定期自辦查核 - 總公司：每年辦理一次年度個資查核 - 總公司稽核處（直屬董事會）每年辦理內控查核
隱私保護第三方外部稽核（External audit of privacy protection）	《隱私權保護政策》每年定期通過第三方（SGS-Taiwan）符合性查證。導入國際ISO 27701管理制度，建立整體一致資安與個資隱私保護管理制度框架。資通安全管理(ISMS)及個資隱私管理(PIMS)已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、CSA STAR、BS 10012等資安與個資隱私標準證書。範圍涵蓋中華電信所有營運活動，及100% IT相關基礎建設，包括：行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。每年接受外部稽核與認證，確保資料生命週期之有效性與合規性，提供消費者更完善的資安與個資隱私資料保護。
強化供應商安全（Enhance Supplier Security）	制定標準化之「資通安全附加條款」與「個人資料保護附加條款」，強制納入採購或合作供應商契約中。明訂對供應商之資安及個資隱私保護管理要求及罰則，確保供應商按照我們授權的方式處理客戶的個資，無權將我們客戶的個人資訊用於其自身目的，我們並定期進行監督管理，確保符合中華電信的《隱私權保護政策》及管理要求。監督管理方式：依委託業務性質及風險程度，採取與其相稱之監督方式，包含日常巡檢、供應商自檢、定期／不定期會議、資訊系統安控措施、資安評級工具、實地查核、要求供應商通過第三方認證等，視需要搭配進行。查核項目：依中華電信《隱私權保護政策》、管理要求，及法令法規，查核下列項目： - 個人資料之風險評估及管理機制 - 事故之預防、通報及應變機制 - 蒐集、處理、利用作業 - 資料安全管理及人員管理 - 認知宣導及教育訓練 - 設備安全管理措施 - 資料安全稽核機制 - 使用紀錄、軌跡資料及證據保存 - 個人資料安全維護之整體持續改善監督結果：不符合事項要求供應商限期改善，整體監督結果納入管理審查。

➤ 前往瞭解我們的《隱私權保護政策符合性聲明書》

內控體系與成果

個人資料事故預防、通報及應變程序

中華電信建構完善個資隱私事故之通報、緊急應變，及後續改善機制，制定《個人資料事故預防、通報及應變程序》，施以嚴密的保護措施，預防個資隱私資料遭未經授權的存取、揭露、使用與竄改，並定期演練提高員工警覺性與熟悉通報及應變處理作業。

一旦發現疑似個資外洩事件，須依通報窗口名單於時限內完成通報，若證實屬個資事故，依既有事故處理程序，立即啟動緊急應變程序，於規定時限內完成應變處理，程序包括：

評估影響範圍與嚴重程度，分級因應，如為重大個資事故，則須通報「資通安全處」及「資安長」。
成立個資事故應變小組，啟動緊急應變機制，進行事故調查與分析，確認事故根因，清查損害範圍，及保存相關事證。
監控輿情及客訴變化，掌握該事故個資遭不法蒐集、處理、利用之情形，預防損害擴大。
依法通知當事人與主管機關。若因該事故致使客戶權益受損，我們亦將提供當事人補償或法律協助，全力維護客戶權益。
對事故所造成之衝擊、損害及影響進行檢討改善，防範事故再次發生。

個資隱私事件

2023年，中華電信客服專線受理投訴「疑似洩密申訴案件」總計990件。其中，國家通訊傳播委員會（NCC）通知11件，透過客服專線投訴979件（佔全年客服專線服務量0.0028%），經證實並無個資洩漏之事實。

具體資料管理機制

中華電信對齊國際資料管理協會DMBOK各項核心領域，建構資料治理架構，含三層式之組織架構及職掌，並從資料品質、資料保護、資料存取及共享、資料工具、資料合規及資料維運等六大面向建構全公司使用資料的制度，讓資料被規範、可授權、被追蹤、被保護，確保公司及所屬機構能有效進行資料治理，使達到資料資產管控的一致性、可用性、安全性和合規性，符合國際標準。

資料品質：在確保中華電信之資料定義、監控、維護資料完整性，進而提升資料品質。
資料保護：構建公司保護資料的流程，以保護傳輸中、落地儲存的資料，並依據資料分級，訂定對資料資產的存取權，並確保可達到隱私保護、機密性及適切存取之目的。
資料存取與共享：確保中華電信在正確的時間提供正確的存取許可權，存取正確的資料確保資料的可用性、完整性及保密性。
資料工具：確保使用之資料治理工具皆受到管控，且依規定之流程進行更新、審查和核准。
資料維運：確保各類型業務之資料庫及資料資產受到妥善維護，且資料維運操作過程有留下日誌（log）記錄。
資料合規：確保遵循公司及政府相關法令規章，致力維護自身及客戶的資料安全及隱私權利。

項目	說明
個資隱私風險管理（Group-wide risk management）	建立符合國際個資隱私管理標準與相關法令法規的風險管理制度。業務推展前，會識別關鍵業務及運行時的隱私資訊，進行隱私衝擊分析，並識別內外部威脅及其衝擊程度與機率。訂定風險處理目標與措施，並落實委外作業供應商的督管責任。定期召開管理階層審查會議，作為隱私政策訂定的重要依據。
績效量測與獎懲（Disciplinary actions）	《隱私權保護政策》以「零容忍」為最高準則。將資安與個資保護成效納入全體員工之績效評核項目，經總經理核准後實施，定期檢討執行成效，未達目標需進行改善。對於因過失遺失、不當查詢、取得、使用或故意洩漏客戶個人資料的行為，將實施記過之處分，最嚴重者可能終止勞動契約。
隱私保護內部稽核（Internal audit of privacy protection）	依循《隱私權保護政策》、《個人資料保護法》等相關法令規定，定期進行內部稽核，持續強化隱私保護作業程序。 - 分支機構：每年定期自辦查核 - 總公司：每年辦理一次年度個資查核 - 總公司稽核處（直屬董事會）每年辦理內控查核
隱私保護第三方外部稽核（External audit of privacy protection）	《隱私權保護政策》每年定期通過第三方（SGS-Taiwan）符合性查證。導入國際ISO 27701管理制度，建立整體一致資安與個資隱私保護管理制度框架。資通安全管理(ISMS)及個資隱私管理(PIMS)已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、CSA STAR、BS 10012等資安與個資隱私標準證書。範圍涵蓋中華電信所有營運活動，及100% IT相關基礎建設，包括：行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。每年接受外部稽核與認證，確保資料生命週期之有效性與合規性，提供消費者更完善的資安與個資隱私資料保護。
強化供應商安全（Enhance Supplier Security）	制定標準化之「資通安全附加條款」與「個人資料保護附加條款」，強制納入採購或合作供應商契約中。明訂對供應商之資安及個資隱私保護管理要求及罰則，確保供應商按照我們授權的方式處理客戶的個資，無權將我們客戶的個人資訊用於其自身目的，我們並定期進行監督管理，確保符合中華電信的《隱私權保護政策》及管理要求。監督管理方式：依委託業務性質及風險程度，採取與其相稱之監督方式，包含日常巡檢、供應商自檢、定期／不定期會議、資訊系統安控措施、資安評級工具、實地查核、要求供應商通過第三方認證等，視需要搭配進行。查核項目：依中華電信《隱私權保護政策》、管理要求，及法令法規，查核下列項目： - 個人資料之風險評估及管理機制 - 事故之預防、通報及應變機制 - 蒐集、處理、利用作業 - 資料安全管理及人員管理 - 認知宣導及教育訓練 - 設備安全管理措施 - 資料安全稽核機制 - 使用紀錄、軌跡資料及證據保存 - 個人資料安全維護之整體持續改善監督結果：不符合事項要求供應商限期改善，整體監督結果納入管理審查。