為落實金管會對金融機構對個人資料保護管理及資通安全事件的相關規範,投信投顧公會日前要求各投信投顧業者,將個人資料保護管理及資通安全事件通報等相關規範,列入各公司「內部控制制度」之中。
投信投顧業者表示,投信投顧公會要求各公司應依個人資料範圍及其業務涉及個人資料蒐集、處理、利用之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管理機制。另為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,各公司也應訂定下列應變、通報及預防機制。
投信投顧業者表示,日後若有發生個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故時,各公司應採取之各類措施,包括:1.控制當事人損害之方式。2.查明事故後通知當事人之適當方式。3.應通知當事人事故事實、所為因應措施及諮詢服務專線等內容等外,且要立即通報金管會。
投信投顧公會進一步指出,依個人資料保護法規定第十一條第三項規定,各投信投顧業者所有刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄,其軌跡資料、相關證據及紀錄,應至少留存五年。法令另有規定或契約另有約定者,不在此限。
此外,當「因網路或電力中斷等事由,致無法於通報系統完成前述通報作業時」,主管機關也要求各公司應先行以電話方式向主管機關證期局及相關單位辦理事件通報,待網路通訊恢復正常後,仍須至通報系統補登錄通報資訊。如遇資通安全事件,危及人員生命或設備遭到破壞等涉及民、刑事案件時,各公司應作好相關資料(含稽核紀錄)保全工作,通報檢調單位請求處理。
