第一章總則 第 1 條 (立法目的)為保護消費者權益,促進國民消費生活安全,提昇國民消費生活品質,特制定本法。有關消費者之保護,依本法之規定,本法未規定者,適用其他法律。 第 2 條 (名詞定義)本法所用名詞定義如下: 一 消費者:指以消費為目的而為交易、使用商品或接受服務者。 二 企業經營者:指以設計、生產、製造、輸入、經銷商品或提供服務為營業者。 三 消費關係:指消費者與企業經營者間就商品或服務所發生之法律關係。 四 消費爭議:指消費者與企業經營者間因商品或服務所生之爭議。 五 消費訴訟:指因消費關係而向法院提起之訴訟。 六 消費者保護團體:指以保護消費者為目的而依法設立登記之法人。 七 定型化契約條款:指企業經營者為與不特定多數消費者訂立同類契約之用,所提出預先擬定之契約條款。 定型化契約條款不限於書面,其以放映字幕、張貼、牌示、網際網路、或其他方法表示者,亦屬之。 八 個別磋商條款:指契約當事人個別磋商而合意之契約條款。 九 定型化契約:指以企業經營者提出之定型化契約條款作為契約內容之全部或一部而訂定之契約。 一○郵購買賣:指企業經營者以廣播、電視、電話、傳真、型錄、報紙 、雜誌、網際網路、傳單或其他類似之方法,使消費者未能檢視商 品而與企業經營者所為之買賣。 一一 訪問買賣:指企業經營者未經邀約而在消費者之住居所或其他場所 從事銷售,所為之買賣。 一二 分期付款:指買賣契約約定消費者支付頭期款,餘款分期支付,而 企業經營者於收受頭期款時,交付標的物與消費者之交易型態。 第 3 條 (定期檢討、協調、改進)政府為達成本法目的,應實施下列措施,並應就與下列事項有關之法規及其執行情形,定期檢討、協調、改進之: 一 維護商品或服務之品質與安全衛生。 二 防止商品或服務損害消費者之生命、身體、健康、財產或其他權益。 三 確保商品或服務之標示,符合法令規定。 四 確保商品或服務之廣告,符合法令規定。 五 確保商品或服務之度量衡,符合法令規定。 六 促進商品或服務維持合理價格。 七 促進商品之合理包裝。 八 促進商品或服務之公平交易。 九 扶植、獎助消費者保護團體。 一○協調處理消費爭議。 一一 推行消費者教育。 一二 辦理消費者諮詢服務。 一三 其他依消費生活之發展所必要之消費者保護措施。 政府為達成前項之目的,應制定相關法律。 第 4 條 (企業經營者提供之商品或服務應遵守事項)企業經營者對於其提供之商品或服務,應重視消費者之健康與安全,並向消費者說明商品或服務之使用方法,維護交易之公平,提供消費者充分與正確之資訊,及實施其他必要之消費者保護措施。 第 5 條 (充實消費資訊)政府、企業經營者及消費者均應致力充實消費資訊,提供消費者運用,俾能採取正確合理之消費行為,以維護其安全與權益。 第 6 條 (主管機關)本法所稱主管機關: 在中央為目的事業主管機關;在直轄市為直轄市政府;在縣 (市) 為縣 (市) 政府。 第二章消費者權益 第一節健康與安全保障 第 7 條 (企業經營者就其商品或服務所應負之責任)從事設計、生產、製造商品或提供服務之企業經營者,於提供商品流通進入市場,或提供服務時,應確保該商品或服務,符合當時科技或專業水準可合理期待之安全性。 商品或服務具有危害消費者生命、身體、健康、財產之可能者,應於明顯處為警告標示及緊急處理危險之方法。 企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。 但企業經營者能證明其無過失者,法院得減輕其賠償責任。 第 7-1 條 (舉證責任)企業經營者主張其商品於流通進入市場,或其服務於提供時,符合當時科技或專業水準可合理期待之安全性者,就其主張之事實負舉證責任。 商品或服務不得僅因其後有較佳之商品或服務,而被視為不符合前條第一項之安全性。 第 8 條 (企業經營者就其商品或服務所負之除外責任)從事經銷之企業經營者,就商品或服務所生之損害,與設計、生產、製造商品或提供服務之企業經營者連帶負賠償責任。 但其對於損害之防免已盡相當之注意,或縱加以相當之注意而仍不免發生損害者,不在此限。 前項之企業經營者,改裝、分裝商品或變更服務內容者,視為前條之企業經營者。 第 9 條 (輸入商品或服務之提供者)輸入商品或服務之企業經營者,視為該商品之設計、生產、製造者或服務之提供者,負本法第七條之製造者責任。 第 10 條 (企業經營者對於危險商品或服務之處理行為)企業經營者於有事實足認其提供之商品或服務有危害消費者安全與健康之虞時,應即回收該批商品或停止其服務。 但企業經營者所為必要之處理,足以除去其危害者,不在此限。 商品或服務有危害消費者生命、身體、健康或財產之虞,而未於明顯處為警告標示,並附載危險之緊急處理方法者,準用前項規定。 第 10-1 條 (損害賠償責任)本節所定企業經營者對消費者或第三人之損害賠償責任,不得預先約定限制或免除。 第二節定型化契約 第 11 條 (定型化契約之一般條款)企業經營者在定型化契約中所用之條款,應本平等互惠之原則。 定型化契約條款如有疑義時,應為有利於消費者之解釋。 第 11-1 條 (審閱期間)企業經營者與消費者訂立定型化契約前,應有三十日以內之合理期間,供消費者審閱全部條款內容。 違反前項規定者,其條款不構成契約之內容。 但消費者得主張該條款仍構成契約之內容。 中央主管機關得選擇特定行業,參酌定型化契約條款之重要性、涉及事項之多寡及複雜程度等事項,公告定型化契約之審閱期間。 第 12 條 (定型化契約無效之情形)定型化契約中之條款違反誠信原則,對消費者顯失公平者,無效。 定型化契約中之條款有下列情形之一者,推定其顯失公平: 一 違反平等互惠原則者。 二 條款與其所排除不予適用之任意規定之立法意旨顯相矛盾者。 三 契約之主要權利或義務,因受條款之限制,致契約之目的難以達成者。 第 13 條 (契約之一般條款構成契約內容之要件)定型化契約條款未經記載於定型化契約中者,企業經營者應向消費者明示其內容;明示其內容顯有困難者,應以顯著之方式,公告其內容,並經消費者同意受其拘束者,該條款即為契約之內容。 前項情形,企業經營者經消費者請求,應給與定型化契約條款之影本或將該影本附為該契約之附件。 第 14 條 (契約之一般條款不構成契約內容之要件)定型化契約條款未經記載於定型化契約中而依正常情形顯非消費者所得預見者,該條款不構成契約之內容。 第 15 條 (定型化契約中一般條款無效之情形)定型化契約中之定型化契約條款牴觸個別磋商條款之約定者,其牴觸部分無效。 第 16 條 (契約部份無效之情形)定型化契約中之定型化契約條款,全部或一部無效或不構成契約內容之一部者,除去該部分,契約亦可成立者,該契約之其他部分,仍為有效。 但對當事人之一方顯失公平者,該契約全部無效。 第 17 條 (企業經營者使用定型化契約應向主管機關報備)中央主管機關得選擇特定行業,公告規定其定型化契約應記載或不得記載之事項。 違反前項公告之定型化契約,其定型化契約條款無效。 該定型化契約之效力,依前條規定定之。 企業經營者使用定型化契約者,主管機關得隨時派員查核。 第三節特種買賣 第 18 條 (課出賣人以上之告知義務)企業經營者為郵購買賣或訪問買賣時,應將其買賣之條件、出賣人之姓名、名稱、負責人、事務所或住居所告知買受之消費者。 第 19 條 (郵購或訪問買賣之解約)郵購或訪問買賣之消費者,對所收受之商品不願買受時,得於收受商品後七日內,退回商品或以書面通知企業經營者解除買賣契約,無須說明理由及負擔任何費用或價款。 郵購或訪問買賣違反前項規定所為之約定無效。 契約經解除者,企業經營者與消費者間關於回復原狀之約定,對於消費者較民法第二百五十九條之規定不利者,無效。 第 19-1 條 (準用規定)前二條規定,於以郵購買賣或訪問買賣方式所為之服務交易,準用之。 第 20 條 (保管義務)未經消費者要約而對之郵寄或投遞之商品,消費者不負保管義務。 前項物品之寄送人,經消費者定相當期限通知取回而逾期未取回或無法通知者,視為拋棄其寄投之商品。 雖未經通知,但在寄送後逾一個月未經消費者表示承諾,而仍不取回其商品者,亦同。 消費者得請求償還因寄送物所受之損害,及處理寄送物所支出之必要費用。 第 21 條 (契約書應載事項)企業經營者與消費者分期付款買賣契約應以書面為之。 前項契約書應載明下列事項: 一 頭期款。 二 各期價款與其他附加費用合計之總價款與現金交易價格之差額。 三 利率。 企業經營者未依前項規定記載利率者,其利率按現金交易價格週年利率百分之五計算之。 企業經營者違反第二項第一款、第二款之規定者,消費者不負現金交易價格以外價款之給付義務。 第四節消費資訊之規範 第 22 條 (企業經營者對消費者所負之義務,不得低於廣告之內容)企業經營者應確保廣告內容之真實,其對消費者所負之義務不得低於廣告之內容。 第 22-1 條 (總費用之範圍及年百分率計算方式)企業經營者對消費者從事與信用有關之交易時,應於廣告上明示應付所有總費用之年百分率。 前項所稱總費用之範圍及年百分率計算方式,由各目的事業主管機關定之。 第 23 條 (損害賠償責任)刊登或報導廣告之媒體經營者明知或可得而知廣告內容與事實不符者,就消費者因信賴該廣告所受之損害與企業經營者負連帶責任。 前項損害賠償責任,不得預先約定限制或拋棄。 第 24 條 (商品及服務之標示)企業經營者應依商品標示法等法令為商品或服務之標示。 輸入之商品或服務,應附中文標示及說明書,其內容不得較原產地之標示及說明書簡略。 輸入之商品或服務在原產地附有警告標示者,準用前項之規定。 第 25 條 (書面保證書應載事項)企業經營者對消費者保證商品或服務之品質時,應主動出具書面保證書。 前項保證書應載明下列事項: 一 商品或服務之名稱、種類、數量,其有製造號碼或批號者,其製造號碼或批號。 二 保證之內容。 三 保證期間及其起算方法。 四 製造商之名稱、地址。 五 由經銷商售出者,經銷商之名稱、地址。 六 交易日期。 第 26 條 (包裝之規定)企業經營者對於所提供之商品應按其性質及交易習慣,為防震、防潮、防塵或其他保存商品所必要之包裝,以確保商品之品質與消費者之安全。 但不得誇張其內容或為過大之包裝。 第三章消費者保護團體 第 27 條 (消費者保護團體之定義)消費者保護團體以社團法人或財團法人為限。 消費者保護團體應以保護消費者權益、推行消費者教育為宗旨。 第 28 條 (消費者保護團體之任務)消費者保護團體之任務如下: 一 商品或服務價格之調查、比較、研究、發表。 二 商品或服務品質之調查、檢驗、研究、發表。 三 商品標示及其內容之調查、比較、研究、發表。 四 消費資訊之諮詢、介紹與報導。 五 消費者保護刊物之編印發行。 六 消費者意見之調查、分析、歸納。 七 接受消費者申訴,調解消費爭議。 八 處理消費爭議,提起消費訴訟。 九 建議政府採取適當之消費者保護立法或行政措施。 一○建議企業經營者採取適當之消費者保護措施。 一一 其他有關消費者權益之保護事項。 第 29 條 (商品及服務之檢驗)消費者保護團體為從事商品或服務檢驗,應設置與檢驗項目有關之檢驗設備或委託設有與檢驗項目有關之檢驗設備之機關、團體檢驗之。 執行檢驗人員應製作檢驗紀錄,記載取樣、使用之檢驗設備、檢驗方法、經過及結果,提出於該消費者保護團體。 第 30 條 (消費者組織參與權)政府對於消費者保護之立法或行政措施,應徵詢消費者保護團體、相關行業、學者專家之意見。 第 31 條 (商品或服務檢驗得請求政府協助之)消費者保護團體為商品或服務之調查、檢驗時,得請求政府予以必要之協助。 第 32 條 (消費者保護組織之獎勵)消費者保護團體辦理消費者保護工作成績優良者,主管機關得予以財務上之獎助。 第四章行政監督 第 33 條 (調查進行方式)直轄市或縣 (市) 政府認為企業經營者提供之商品或服務有損害消費者生命、身體、健康或財產之虞者,應即進行調查。 於調查完成後,得公開其經過及結果。 前項人員為調查時,應出示有關證件,其調查得依下列方式進行: 一 向企業經營者或關係人查詢。 二 通知企業經營者或關係人到場陳述意見。 三 通知企業經營者提出資料證明該商品或服務對於消費者生命、身體、健康或財產無損害之虞。 四 派員前往企業經營者之事務所、營業所或其他有關場所進行調查。 五 必要時,得就地抽樣商品,加以檢驗。 第 34 條 (調查之扣押)直轄市或縣 (市) 政府於調查時,對於可為證據之物,得聲請檢察官扣押之。 前項扣押,準用刑事訴訟法關於扣押之規定。 第 35 條 (主管機關辦理檢驗)直轄市或縣 (市) 主管機關辦理檢驗,得委託設有與檢驗項目有關之檢驗設備之消費者保護團體、職業團體或其他有關公私機構或團體辦理之。 第 36 條 (企業經營者改善、收回或停止生產之情形)直轄市或縣 (市) 政府對於企業經營者提供之商品或服務,經第三十三條之調查,認為確有損害消費者生命、身體、健康或財產,或確有損害之虞者,應命其限期改善、回收或銷燬,必要時並得命企業經營者立即停止該商品之設計、生產、製造、加工、輸入、經銷或服務之提供,或採取其他必要措施。 第 37 條 (借用大眾傳播媒體公告之情形)直轄市或縣 (市) 政府於企業經營者提供之商品或服務,對消費者已發生重大損害或有發生重大損害之虞,而情況危急時,除為前條之處置外,應即在大眾傳播媒體公告企業經營者之名稱、地址、商品、服務、或為其他必要之處置。 第 38 條 (中央或省之主管機關必要時之措施)中央主管機關認為必要時,亦得為前五條規定之措施。 第 39 條 (消費者保護官之設置及任用)消費者保護委員會、直轄市、縣 (市) 政府各應置消費者保護官若干名。 消費者保護官之任用及職掌,由行政院定之。 第 40 條 (消費者保護委員之設置)行政院為研擬及審議消費者保護基本政策與監督其實施,設消費者保護委員會。 消費者保護委員會以行政院副院長為主任委員,有關部會首長、全國性消費者保護團體代表、全國性企業經營者代表及學者、專家為委員。 其組織規程由行政院定之。 第 41 條 (消費者保護委員會之職掌)消費者保護委員會之職掌如下: 一 消費者保護基本政策及措施之研擬及審議。 二 消費者保護計畫之研擬、修訂及執行成果檢討。 三 消費者保護方案之審議及其執行之推動、連繫與考核。 四 國內外消費者保護趨勢及其與經濟社會建設有關問題之研究。 五 消費者保護之教育宣導、消費資訊之蒐集及提供。 六 各部會局署關於消費者保護政策、措施及主管機關之協調事項。 七 監督消費者保護主管機關及指揮消費者保護官行使職權。 消費者保護委員會應將消費者保護之執行結果及有關資料定期公告。 第 42 條 (消費者服務中心之設置)直轄市、縣 (市) 政府應設消費者服務中心,辦理消費者之諮詢服務、教育宣導、申訴等事項。 直轄市、縣 (市) 政府消費者服務中心得於轄區內設分中心。 第五章消費爭議之處理 第一節申訴與調解 第 43 條 (申訴之處理期限)消費者與企業經營者因商品或服務發生消費爭議時,消費者得向企業經營者、消費者保護團體或消費者服務中心或其分中心申訴。 企業經營者對於消費者之申訴,應於申訴之日起十五日內妥適處理之。 消費者依第一項申訴,未獲妥適處理時,得向直轄市、縣 (市) 政府消費者保護官申訴。 第 44 條 (申訴調解)消費者依前條申訴未能獲得妥適處理時,得向直轄市或縣 (市) 消費爭議調解委員會申請調解。 第 44-1 條 (消費爭議調解事項之訂定)前條之消費爭議調解事件之受理及程序進行等事項,由消費者保護委員會定之。 第 45 條 (消費爭議調解委員會之設置)直轄市、縣 (市) 政府應設消費爭議調解委員會,置委員七至十五名。 前項委員以直轄市、縣 (市) 政府代表、消費者保護官、消費者保護團體代表、企業經營者所屬或相關職業團體代表充任之,以消費者保護官為主席,其組織另定之。 第 45-1 條 (調解程序不公開)調解程序,於直轄市、縣 (市) 政府或其他適當之處所行之,其程序得不公開。 調解委員、列席協同調解人及其他經辦調解事務之人,對於調解事件之內容,除已公開之事項外,應保守秘密。 第 45-2 條 (消費爭議之調解)關於消費爭議之調解,當事人不能合意但已甚接近者,調解委員得斟酌一切情形,求兩造利益之平衡,於不違反兩造當事人之主要意思範圍內,依職權提出解決事件之方案,並送達於當事人。 前項方案,應經參與調解委員過半數之同意,並記載第四十五條之三所定異議期間及未於法定期間提出異議之法律效果。 第 45-3 條 (調解不成立)當事人對於前條所定之方案,得於送達後十日之不變期間內,提出異議。 於前項期間內提出異議者,視為調解不成立;其未於前項期間內提出異議者,視為已依該方案成立調解。 第一項之異議,消費爭議調解委員會應通知他方當事人。 第 45-4 條 (送達)關於小額消費爭議,當事人之一方無正當理由,不於調解期日到場者,調解委員得審酌情形,依到場當事人一造之請求或依職權提出解決方案,並送達於當事人。 前項之方案,應經全體調解委員過半數之同意,並記載第四十五條之三所定異議期間及未於法定期間提出異議之法律效果。 第一項之送達,不適用公示送達之規定。 第一項小額消費爭議之額度,由行政院定之。 第 45-5 條 (提出異議)當事人對前條之方案,得於送達後十日之不變期間內,提出異議;未於異議期間內提出異議者,視為已依該方案成立調解。 當事人於異議期間提出異議,經調解委員另定調解期日,無正當理由不到場者,視為依該方案成立調解。 第 46 條 (調解書之效力)調解成立者應作成調解書。 前項調解書之作成及效力,準用鄉鎮市調解條例第二十二條至第二十六條之規定。 第二節消費訴訟 第 47 條 (消費訴訟之管轄)消費訴訟,得由消費關係發生地之法院管轄。 第 48 條 (消費法庭)高等法院以下各級法院及其分院得設立消費專庭或指定專人審理消費訴訟事件。 法院為企業經營者敗訴之判決時,得依職權宣告為減免擔保之假執行。 第 49 條 (消費者保護組織之訴訟權)消費者保護團體許可設立三年以上,申請消費者保護委員會評定優良,置有消費者保護專門人員,且合於下列要件之一,並經消費者保護官同意者,得以自己之名義,提起第五十條消費者損害賠償訴訟或第五十三條不作為訴訟: 一 社員人數五百人以上之社團法人。 二 登記財產總額新臺幣一千萬元以上之財團法人。 消費者保護團體依前項規定提起訴訟者,應委任律師代理訴訟。 受委任之律師,就該訴訟,除得請求預付或償還必要之費用外,不得請求報酬。 消費者保護團體關於其提起之第一項訴訟,有不法行為者,許可設立之主管機關應廢止其許可。 消費者保護團體評定辦法,由消費者保護委員會另定之。 第 50 條 (消費者損害賠償訴訟)消費者保護團體對於同一之原因事件,致使眾多消費者受害時,得受讓二十人以上消費者損害賠償請求權後,以自己名義,提起訴訟。 消費者得於言詞辯論終結前,終止讓與損害賠償請求權,並通知法院。 前項訴訟,因部分消費者終止讓與損害賠償請求權,致人數不足二十人者,不影響其實施訴訟之權能。 第一項讓與之損害賠償請求權,包括民法第一百九十四條、第一百九十五條第一項非財產上之損害。 前項關於消費者損害賠償請求權之時效利益,應依讓與之消費者單獨個別計算。 消費者保護團體受讓第三項所定請求權後,應將訴訟結果所得之賠償,扣除訴訟及依前條第二項規定支付予律師之必要費用後,交付該讓與請求權之消費者。 消費者保護團體就第一項訴訟,不得向消費者請求報酬。 第 51 條 (消費者求償之訴訟)依本法所提之訴訟,因企業經營者之故意所致之損害,消費者得請求損害額三倍以下之懲罰性賠償金;但因過失所致之損害,得請求損害額一倍以下之懲罰性賠償金。 第 52 條 (訴訟之免繳裁判費)消費者保護團體以自己之名義提起第五十條訴訟,其標的價額超過新臺幣六十萬元者,超過部分免繳裁判費。 第 53 條 (訴訟之免繳裁判費)消費者保護官或消費者保護團體,就企業經營者重大違反本法有關保護消費者規定之行為,得向法院訴請停止或禁止之。 前項訴訟免繳裁判費。 第 54 條 (消費者集體訴訟)因同一消費關係而被害之多數人,依民事訴訟法第四十一條之規定,選定一人或數人起訴請求損害賠償者,法院得徵求原被選定人之同意後公告曉示,其他之被害人得於一定之期間內以書狀表明被害之事實、證據及應受判決事項之聲明、併案請求賠償。 其請求之人,視為已依民事訴訟法第四十一條為選定。 前項併案請求之書狀,應以繕本送達於兩造。 第一項之期間,至少應有十日,公告應黏貼於法院牌示處,並登載新聞紙,其費用由國庫墊付。 第 55 條 (訴訟法定代理之準用)民事訴訟法第四十八條、第四十九條之規定,於依前條為訴訟行為者,準用之。 第六章罰則 第 56 條 (罰則)違反第二十四條、第二十五條或第二十六條規定之一者,經主管機關通知改正而逾期不改正者,處新臺幣二萬元以上二十萬元以下罰鍰。 第 57 條 (罰則)企業經營者拒絕、規避或阻撓主管機關依第十七條第三項、第三十三條或第三十八條規定所為之調查者,處新臺幣三萬元以上三十萬元以下罰鍰,並得連續處罰。 第 58 條 (罰則)企業經營者違反主管機關依第三十六條或第三十八條規定所為之命令者,處新臺幣六萬元以上一百五十萬元以下罰鍰,並得連續處罰。 第 59 條 (罰則)企業經營者有第三十七條規定之情形者,主管機關除依該條及第三十六條之規定處置外,並得對其處新臺幣十五萬元以上一百五十萬元以下罰鍰。 第 60 條 (停止營業之情形)企業經營者違反本法規定情節重大,報經中央主管機關或消費者保護委員會核准者,得命停止營業或勒令歇業。 第 61 條 (處罰)依本法應予處罰者,其他法律有較重處罰之規定時,從其規定;涉及刑事責任者,並應即移送偵查。 第 62 條 (罰鍰)本法所定之罰鍰,由主管機關處罰,經限期繳納後,屆期仍未繳納者,依法移送強制執行。 第七章附則 第 63 條 (施行細則)本法施行細則,由行政院定之。 第 64 條 (施行日)本法自公布日施行。
行政院及所屬各機關資訊安全管理要點壹、目 的 一、 行政院為推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,保障民眾權益,特訂定本要點。 貳、通 則 二、 本要點所稱各機關,指行政院所屬各部、會、行、處、局、署、院、台灣省政府、台灣省諮議會及其所屬機關(構)。 三、 各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。 四、 本要點所稱適當及充足之資訊安全措施,應綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,致機關資訊資產遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務之程度,採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。 五、 各機關應就下列事項,訂定資訊安全計畫實施,並定期評估實施成效: (一) 資訊安全政策訂定。 (二) 資訊安全權責分工。 (三) 人員管理及資訊安全教育訓練。 (四) 電腦系統安全管理。 (五) 網路安全管理。 (六) 系統存取控制管理。 (七) 系統發展及維護安全管理。 (八) 資訊資產安全管理。 (九) 實體及環境安全管理。 (十) 業務永續運作計畫管理。 (十一) 其他資訊安全管理事項。 六、 本要點所稱資訊安全政策,指機關為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等。 參、資訊安全政策擬訂 七、 各機關應依實際業務需求,訂定機關資訊安全政策,並以書面、電子或其他方式告知所屬員工、連線作業之公私機構及提供資訊服務之廠商共同遵行。 八、 各機關訂定之資訊安全政策,應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 肆、組織及權責 九、 各機關應依下列分工原則,配賦有關單位及人員之權責: (一) 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊單位負責辦理。 (二) 資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。 (三) 資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。 各機關未設置資訊及政風單位者,由機關首長指定適當單位及人員負責辦理。 機關業務性質特殊者,得由機關首長調整第一項分工原則。 十、 各機關對所屬機關(構)資訊作業,應進行定期或不定期之資訊安全稽核。 各機關對所屬機關(構)進行外部稽核作業,由資訊單位會同政風單位或稽核單位辦理。 十一、 各機關應指定副首長或高層主管人員負責資訊安全管理事項之協調及推動。 各機關得視需要,成立跨部門之資訊安全推行小組,統籌資訊安全政策、計畫、資源調度等事項之協調研議。 前項資訊安全小組之幕僚作業,由資訊單位或首長指定之單位負責。 十二、 各機關應視資訊安全管理需要,指定適當人員負責辦理資訊安全相關事宜。 伍、人員管理及資訊安全教育訓練 十三、 各機關對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。 十四、 各機關應針對管理、業務及資訊等不同工作類別之需求,定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升機關資訊安全水準。 十五、 各機關應加強資訊安全管理人力之培訓,提升資訊安全管理能力。 各機關資訊安全人力或經驗如有不足,得洽請學者專家或專業機關(構)提供顧問諮詢服務。 十六、 各機關負責重要資訊系統之管理、維護、設計及操作之人員,應妥適分工,分散權責,並視需要建立制衡機制,實施人員輪調,建立人力備援制度。 十七、 各機關首長及各級業務主管人員,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。 陸、電腦系統安全管理 十八、 各機關辦理資訊業務委外作業,應於事前研提資訊安全需求,明訂廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。 十九、 各機關對系統變更作業,應建立控管制度,並建立紀錄,以備查考。 二十、 各機關應依相關法規或契約規定,複製及使用軟體,並建立軟體使用管理制度。 二十一、 各機關應採行必要的事前預防及保護措施,偵測及防制電腦病毒及其他惡意軟體,確保系統正常運作。 柒、網路安全管理 二十二、 各機關利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求,並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項,研擬妥適的安全控管措施。 二十三、 各機關開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 二十四、 各機關與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與機關內部網路之資料傳輸與資源存取。 二十五、 各機關開放外界連線作業之資訊系統,必要時應以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料。 二十六、 各機關利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。 機關網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭不當或不法之竊取使用。 二十七、 各機關應訂定電子郵件使用規定,機密性資料及文件,不得以電子郵件或其他電子方式傳送。 機密性資料以外之敏感性資料及文件,如有電子傳送之需要,各機關應視需要以適當的加密或電子簽章等安全技術處理。 機關業務性質特殊,須利用電子郵件或其他電子方式傳送機密性資料及文件者,得採用權責主管機關認可之加密或電子簽章等安全技術處理。 二十八、 各機關採購資訊軟硬體設施,應依國家標準或權責主管機關訂定之政府資訊安全規範,研提資訊安全需求,並列入採購規格。 各機關發展及應用加密技術,應採用權責主管機關認可之密碼模組產品。 各機關採購外國產製之密碼模組產品,應請廠商提出輸出許可或相關授權文件,確保密碼模組之安全性,並避免採購金鑰代管或金鑰回復功能之產品。 捌、系統存取控制 二十九、 各機關應訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。 三十、 各機關應依資訊安全政策,賦予各級人員必要的系統存取權限;機關員工之系統存取權限,應以執行法定任務所必要者為限。對被賦予系統管理最高權限之人員及掌理重要技術及作業控制之特定人員,應經審慎之授權評估。 三十一、 各機關離(休)職人員,應立即取消使用機關內各項資訊資源之所有權限,並列入機關人員離(休)職之必要手續。 機關人員職務調整及調動,應依系統存取授權規定,限期調整其權限。 三十二、 各機關應建立系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新;使用者通行密碼之更新周期,由機關視作業系統及安全管理需求決定,最長以不超過六月個為原則。 對機關內外擁有系統存取特別權限之人員,應建立使用人員名冊,加強安全控管,並縮短密碼更新周期。 三十三、 各機關開放外界連線作業,應事前簽訂契約或協定,明定其應遵守之資訊安全規定、標準、程序及應負之責任。 三十四、 各機關對系統服務廠商以遠端登入方式進行系統維修者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。 三十五、 各機關之重要資料委外建檔,不論在機關內外執行,均應採取適當及足夠之安全管制措施,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。 三十六、 各機關應確立系統稽核項目,建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業;系統中之稽核紀錄檔案,應禁止任意刪除及修改。 三十七、 各機關自行開發或委外發展系統,應在系統生命週期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。 玖、系統發展及維護安全管理 三十八、 各機關對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。 各機關基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。 三十九、 各機關委託廠商建置及維護重要之軟硬體設施,應在機關相關人員監督及陪同下始得為之。 拾、業務永續運作之規劃 四十、 各機關應訂定業務永續運作計畫,評估各種人為及天然災害對機關正常業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。 四十一、 各機關應建立資訊安全事件緊急處理機制,在發生資訊安全事件時,應依規定之處理程序,立即向權責主管單位或人員通報,採取反應措施,並聯繫檢警調單位協助偵查。 四十二、 各機關應依相關法規,訂定及區分資料安全等級,並依不同安全等級,採取適當及充足之資訊安全措施。 拾壹、其 他 四十三、 各機關應就設備安置、周邊環境及人員進出管制等,訂定妥善之實體及環境安全管理措施。 拾貳、附 則 四十四、 機關業務性質特殊者,得參照本要點另定有關規定。 四十五、 直轄市或縣(市)政府未訂定資訊安全管理規定者,得準用本要點。
電信管理法 健康食品管理法施行細則