隱私權保護政策與管理
鑑於各子公司經營之金融業務皆包含大量個人資料,本集團透過 客戶資料保密措施 、 客戶資料共享隱私權聲明 及「個資保護」3 大面向,完善隱私權保護之內容,並將相關管理措施納入權責單位之每半年「法令遵循自行評估檢核表」,據以定期自行評估,俾利落實遵循。
客戶資料保密
為提供客戶更完整及多元的金融商品或服務,本公司訂有「 客戶資料保密措施」 並公告於各子公司官方網頁,內容明定客戶資料蒐集方式、資料儲存及保管方式、資料安全及保護方法、資料分類、利用範圍及項目、資料利用目的、資料揭露對象、客戶資料變更修改方式、客戶不願收到本集團共同行銷活動訊息或不願再讓本集團交互運用其資料之處理方式,及揭露交互運用客戶資料之子公司。
客戶資料共享隱私權聲明
為提升客戶便利性、強化本公司風險控管及促進與金融機構間跨業合作,在資訊安全之原則下可合理利用客戶資料與確保消費者權益,制定「辦理金融機構間資料共享作業準則」,建立本集團辦理金融機構間資料共享作業之控管機制,並於公司網站揭露本集團「 客戶資料共享之隱私權保護聲明 」,內容包含資料共享之客戶保護措施及客戶權益維護救濟方式等,以提升本集團資料共享之透明度及客戶信賴度。
個資保護
本公司訂定「個人資料保護管理政策」,適用對象包括本公司、子公司與受本公司及子公司委託蒐集、處理或利用個人資料之供應商,以落實本集團對個人資料與隱私權保護之目的,此外另訂有「個人資料檔案安全維護辦法」與「個人資料檔案安全稽核機制」,各子公司亦均訂有個人資料保護管理政策或運用要點等規範,如合庫銀行對於相關蒐集客戶個人資料之「性質」、「使用方式」、「保留期間」、「存取、移轉、修正、刪除」、「對第三方的揭露」及「得自由選擇是否提供相關個人資料及類別」等客戶權益,均完整公示於官方網頁揭露告知客戶,且於商品或服務說明中亦充分揭露或告知,並設置相關之資料修改、取消運用、申訴機制等辦法。
本公司及各子公司亦設置個人資料保護管理之運作組織,推動及辦理個人資料檔案之安全稽核、研訂個人資料檔案可接受之風險值並據以辦理個人資料檔案風險評估作業及自評作業等,另依「個人資料保護管理政策」規定本公司應定期辦理內部稽核,查核個人資料保護管理制度及執行之有效性。子公司依主管機關要求,應委託外部機構辦理查核,如合庫銀行每年委請會計師進行個人資料保護確信之專案查核、合庫人壽每年委請會計師辦理落實度檢查,以及合庫票券於會計師辦理內部控制制度之查核時亦包含個人資料保護之內容,以利掌握個資保護管理情形並加以精進。2023 年合庫銀行及合庫人壽皆已取得「BS 10012 : 2017 個人資訊管理系統」國際標準驗證,並通過定期審查作業,維持驗證證書之有效性;合庫證券亦完成臺灣個人資料保護與管理制度(TPIPAS)外部驗證,順利通過驗證更新,持續維持 TPIPAS 驗證之有效性。
隱私權保護事件處理
為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,本公司訂有「個人資料安全事故應變通報及預防要點」,各子公司亦建置個資事故處理及通報程序,如合庫銀行訂有「個人資料安全事故處理與通知管理要點」處理個資外洩事件,若屬一般個資事故,應先通報權責單位,其處理程序包含查明原委後以適當方式通知當事人及研議矯正預防措施;若涉及客戶個人資料且屬重大事故,即成立危機處理小組進行重大個人資料安全事故後續因應措施,並持續與當事人溝通,必要時統一發布新聞稿。另集團內亦訂有「個人資料保護管理政策」及「員工獎懲要點」等規定,本公司或子公司所屬人員如有違反個人資料保護相關規範,須接受懲戒或追究法律責任,如員工洩漏業務機密或違反內規,將受申誡、記過甚至終止勞動契約等懲處;此外,若供應商及其所屬人員違反個人資料保護相關規範或有關個人資料保護之契約約定,致本公司或子公司受有損害時,亦應負損害賠償責任。2023 年度本集團無資訊外洩事件、無個資相關的資訊外洩事件占比、無受影響之顧客數,亦無違反個資保護之裁罰事件或相關個資投訴案件,其中合庫銀行除無個資外洩案件及客戶隱私相關之法律訴訟情事外,完整監控客戶個人資料的使用狀況,約 54.45% 客戶資料在不違反相關法規及與客戶之約定下進行二次使用。
隱私權保護教育訓練
本集團定期舉辦個人資料保護之教育訓練,如合庫銀行舉辦「個資事件預防與個資事故演練緊急應變」課程、合庫人壽於數位學習平台提供「個人資料保護」課程,以提高員工日常作業利用個人資料之適法性及安全性意識。