护个资 投信投顾业将列内控
为落实金管会对金融机构对个人资料保护管理及资通安全事件的相关规范,投信投顾公会日前要求各投信投顾业者,将个人资料保护管理及资通安全事件通报等相关规范,列入各公司「内部控制制度」之中。
投信投顾业者表示,投信投顾公会要求各公司应依个人资料范围及其业务涉及个人资料搜集、处理、利用之流程,评估可能产生之个人资料风险,并根据风险评估之结果,订定适当之管理机制。另为因应个人资料之窃取、窜改、毁损、灭失或泄漏等安全事故,各公司也应订定下列应变、通报及预防机制。
投信投顾业者表示,日后若有发生个人资料被窃取、窜改、毁损、灭失或泄漏等安全事故时,各公司应采取之各类措施,包括:1.控制当事人损害之方式。2.查明事故后通知当事人之适当方式。3.应通知当事人事故事实、所为因应措施及咨询服务专线等内容等外,且要立即通报金管会。
投信投顾公会进一步指出,依个人资料保护法规定第十一条第三项规定,各投信投顾业者所有删除、停止处理或利用所保有之个人资料后,应留存下列纪录,其轨迹资料、相关证据及纪录,应至少留存五年。法令另有规定或契约另有约定者,不在此限。
此外,当「因网路或电力中断等事由,致无法于通报系统完成前述通报作业时」,主管机关也要求各公司应先行以电话方式向主管机关证期局及相关单位办理事件通报,待网路通讯恢复正常后,仍须至通报系统补登录通报资讯。如遇资通安全事件,危及人员生命或设备遭到破坏等涉及民、刑事案件时,各公司应作好相关资料(含稽核纪录)保全工作,通报检调单位请求处理。