新光證券資通安全

資通安全管理法

中華民國107年 6 月 6 日
華總一義字第10700060021 號

第一章總則

第一條
為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益，特制定本法。

第二條
本法之主管機關為行政院。

第三條
本法用詞，定義如下：
一、資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全：指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。
四、資通安全事件：指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。
五、公務機關：指依法行使公權力之中央、地方機關（構）或公法人。但不包括軍事機關及情報機關。
六、特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
七、關鍵基礎設施：指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。
八、關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，經中央目的事業主管機關指定，並報主管機關核定者。
九、政府捐助之財團法人：指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院，及其年度預算書應依同條第四項規定送立法院審議之財團法人。

第四條
為提升資通安全，政府應提供資源，整合民間及產業力量，提升全民資通安全意識，並推動下列事項：
一、資通安全專業人才之培育。
二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。
三、資通安全產業之發展。
四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。
前項相關事項之推動，由主管機關以國家資通安全發展方案定之。

第五條
主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜，並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。
前項情勢報告、實施情形稽核概況報告及資通安全發展方案，應送立法院備查。

第六條
主管機關得委任或委託其他公務機關、法人或團體，辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
前項被委託之公務機關、法人或團體或被複委託者，不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。

第七條
主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件，訂定資通安全責任等級之分級；其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法，由主管機關定之。
主管機關得稽核特定非公務機關之資通安全維護計畫實施情形；其稽核之頻率、內容與方法及其他相關事項之辦法，由主管機關定之。
特定非公務機關受前項之稽核，經發現其資通安全維護計畫實施有缺失或待改善者，應向主管機關提出改善報告，並送中央目的事業主管機關。

第八條
主管機關應建立資通安全情資分享機制。
前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法，由主管機關定之。

第九條
公務機關或特定非公務機關，於本法適用範圍內，委外辦理資通系統之建置、維運或資通服務之提供，應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求，選任適當之受託者，並監督其資通安全維護情形。

第二章公務機關資通安全管理

第十條
公務機關應符合其所屬資通安全責任等級之要求，並考量其所保有或
處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。

第十一條
公務機關應置資通安全長，由機關首長指派副首長或適當人員兼任，負責推動及監督機關內資通安全相關事務。

第十二條
公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形；無上級機關者，其資通安全維護計畫實施情形應送交主管機關。

第十三條
公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。
受稽核機關之資通安全維護計畫實施有缺失或待改善者，應提出改善報告，送交稽核機關及上級或監督機關。

第十四條
公務機關為因應資通安全事件，應訂定通報及應變機制。
公務機關知悉資通安全事件時，除應通報上級或監督機關外，並應通報主管機關；無上級機關者，應通報主管機關。
公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告，並送交主管機關；無上級機關者，應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法，由主管機關定之。

第十五條
公務機關所屬人員對於機關之資通安全維護績效優良者，應予獎勵。前項獎勵事項之辦法，由主管機關定之。

第三章特定非公務機關資通安全管理

第十六條
中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後，指定關鍵基礎設施提供者，報請主管機關核定，並以書面通知受核定者。
關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。
關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。
中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。
關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者，應提出改善報告，送交中央目的事業主管機關。
第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報請主管機關核定之。

第十七條
關鍵基礎設施提供者以外之特定非公務機關，應符合其所屬資通安全
責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。
中央目的事業主管機關得要求所管前項特定非公務機關，提出資通安全維護計畫實施情形。
中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形，發現有缺失或待改善者，應限期要求受稽核之特定非公務機關提出改善報告。
前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法，由中央目的事業主管機關擬訂，報請主管機關核定之。

第十八條
特定非公務機關為因應資通安全事件，應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；如為重大資通安全事件者，並應送交主管機關。
前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法，由主管機關定之。
知悉重大資通安全事件時，主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施，並得提供相關協助。

第四章罰則

第十九條
公務機關所屬人員未遵守本法規定者，應按其情節輕重，依相關規定予以懲戒或懲處。前項懲處事項之辦法，由主管機關定之。

第二十條
特定非公務機關有下列情形之一者，由中央目的事業主管機關令限期改正；屆期未改正者，按次處新臺幣十萬元以上一百萬元以下罰鍰：
一、未依第十六條第二項或第十七條第一項規定，訂定、修正或實施資通安全維護計畫，或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第十六條第三項或第十七條第二項規定，向中央目的事業主管機關提出資通安全維護計畫之實施情形，或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第七條第三項、第十六條第五項或第十七條第三項規定，提出改善報告送交主管機關、中央目的事業主管機關，或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。
四、未依第十八條第一項規定，訂定資通安全事件之通報及應變機制，或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。
五、未依第十八條第三項規定，向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告，或違反第十八條第四項所定辦法中有關報告提出之規定。
六、違反第十八條第四項所定辦法中有關通報內容之規定。

第二十一條
特定非公務機關未依第十八條第二項規定，通報資通安全事件，由央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰，並令限期改正；屆期未改正者，按次處罰之。

第五章附則

第二十二條
本法施行細則，由主管機關定之。

第二十三條
本法施行日期，由主管機關定之。

第一章總則

第 1 條
為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

第 2 條
本法用詞，定義如下：
一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集：指以任何方式取得個人資料。
四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用：指將蒐集之個人資料為處理以外之使用。
六、國際傳輸：指將個人資料作跨國（境）之處理或利用。
七、公務機關：指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關：指前款以外之自然人、法人或其他團體。
九、當事人：指個人資料之本人。

第 3 條
當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。

第 4 條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。

第 5 條
個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

第 6 條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。
依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。

第 7 條
第十五條第二款及第十九條第一項第五款所稱同意，指當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。第十六條第七款、第二十條第一項第六款所稱同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之意思表示。公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。蒐集者就本法所稱經當事人同意之事實，應負舉證責任。

第 8 條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
有下列情形之一者，得免為前項之告知：
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害公共利益。
五、當事人明知應告知之內容。
六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

第 9 條
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。
有下列情形之一者，得免為前項之告知：ㄒ一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。第一項之告知，得於首次對當事人為利用時併同為之。

第 10 條
公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限：
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。

第 11 條
公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不在此限。
個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。
違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。

第 12 條
公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

第 13 條
公務機關或非公務機關受理當事人依第十條規定之請求，應於十五日內，為准駁之決定；必要時，得予延長，延長之期間不得逾十五日，並應將其原因以書面通知請求人。公務機關或非公務機關受理當事人依第十一條規定之請求，應於三十日內，為准駁之決定；必要時，得予延長，延長之期間不得逾三十日，並應將其原因以書面通知請求人。

第 14 條
查詢或請求閱覽個人資料或製給複製本者，公務機關或非公務機關得酌收必要成本費用。

第二章公務機關對個人資料之蒐集、處理及利用

第 15 條
公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：
一、執行法定職務必要範圍內。
二、經當事人同意。
三、對當事人權益無侵害。

第 16 條
公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人同意。

第 17 條
公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。

第 18 條
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

第三章非公務機關對個人資料之蒐集、處理及利用

第 19 條
非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：
一、法律明文規定。
二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。
八、對當事人權益無侵害。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

第 20 條
非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。
非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

第 21 條
非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之：
一、涉及國家重大利益。
二、國際條約或協定有特別規定。
三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。
四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。

第 22 條
中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。
中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。
中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同資訊、電信或法律等專業人員共同為之。對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得規避、妨礙或拒絕。
參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

第 23 條
對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限。

第 24 條
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、縣（市）政府聲明異議。
前項聲明異議，中央目的事業主管機關或直轄市、縣（市）政府認為有理由者，應立即停止或變更其行為；認為無理由者，得繼續執行。經該聲明異議之人請求時，應將聲明異議之理由製作紀錄交付之。
對於中央目的事業主管機關或直轄市、縣（市）政府前項決定不服者，僅得於對該案件之實體決定聲明不服時一併聲明之。但第一項之人依法不得對該案件之實體決定聲明不服時，得單獨對第一項之行為逕行提起行政訴訟。

第 25 條
非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分：
一、禁止蒐集、處理或利用個人資料。
二、命令刪除經處理之個人資料檔案。
三、沒入或命銷燬違法蒐集之個人資料。
四、公布非公務機關之違法情形，及其姓名或名稱與負責人。
中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防制違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方法為之。

第 26 條
中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。

第 27 條
非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

第四章損害賠償及團體訴訟

第 28 條
公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。

第 29 條
非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。依前項規定請求賠償者，適用前條第二項至第六項規定。

第 30 條
損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。

第 31 條
損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。

第 32 條
依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。二、保護個人資料事項於其章程所定目的範圍內。三、許可設立三年以上。

第 33 條
依本法規定對於公務機關提起損害賠償訴訟者，專屬該機關所在地之地方法院管轄。對於非公務機關提起者，專屬其主事務所、主營業所或住所地之地方法院管轄。前項非公務機關為自然人，而其在中華民國現無住所或住所不明者，以其在中華民國之居所，視為其住所；無居所或居所不明者，以其在中華民國最後之住所，視為其住所；無最後住所者，專屬中央政府所在地之地方法院管轄。第一項非公務機關為自然人以外之法人或其他團體，而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者，專屬中央政府所在地之地方法院管轄。

第 34 條
對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，得以自己之名義，提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與，並通知法院。前項訴訟，法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人，得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權，由該財團法人或公益社團法人於第一審言詞辯論終結前，擴張應受判決事項之聲明。其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者，亦得於法院公告曉示之一定期間內起訴，由法院併案審理。其他因同一原因事實受有損害之當事人，亦得聲請法院為前項之公告。前二項公告，應揭示於法院公告處、資訊網路及其他適當處所；法院認為必要時，並得命登載於公報或新聞紙，或用其他方法公告之，其費用由國庫墊付。依第一項規定提起訴訟之財團法人或公益社團法人，其標的價額超過新臺幣六十萬元者，超過部分暫免徵裁判費。

第 35 條
當事人依前條第一項規定撤回訴訟實施權之授與者，該部分訴訟程序當然停止，該當事人應即聲明承受訴訟，法院亦得依職權命該當事人承受訴訟。財團法人或公益社團法人依前條規定起訴後，因部分當事人撤回訴訟實施權之授與，致其餘部分不足二十人者，仍得就其餘部分繼續進行訴訟。

第 36 條
各當事人於第三十四條第一項及第二項之損害賠償請求權，其時效應分別計算。

第 37 條
財團法人或公益社團法人就當事人授與訴訟實施權之事件，有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。前項當事人中一人所為之限制，其效力不及於其他當事人。第一項之限制，應於第三十四條第一項之文書內表明，或以書狀提出於法院。

第 38 條
當事人對於第三十四條訴訟之判決不服者，得於財團法人或公益社團法人上訴期間屆滿前，撤回訴訟實施權之授與，依法提起上訴。財團法人或公益社團法人於收受判決書正本後，應即將其結果通知當事人，並應於七日內將是否提起上訴之意旨以書面通知當事人。

第 39 條
財團法人或公益社團法人應將第三十四條訴訟結果所得之賠償，扣除訴訟必要費用後，分別交付授與訴訟實施權之當事人。提起第三十四條第一項訴訟之財團法人或公益社團法人，均不得請求報酬。

第 40 條
依本章規定提起訴訟之財團法人或公益社團法人，應委任律師代理訴訟。

第五章罰則

第 41 條
意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

第 42 條
意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。

第 43 條
中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者，亦適用之。

第 44 條
公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一。

第 45 條
本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十二條之罪者，不在此限。

第 46 條
犯本章之罪，其他法律有較重處罰規定者，從其規定。

第 47 條
非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。

第 48 條
非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：一、違反第八條或第九條規定。二、違反第十條、第十一條、第十二條或第十三條規定。三、違反第二十條第二項或第三項規定。四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

第 49 條
非公務機關無正當理由違反第二十二條第四項規定者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二十萬元以下罰鍰。

第 50 條
非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。

第六章附則

第 51 條
有下列情形之一者，不適用本法規定：
一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。
二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。

第 52 條
第二十二條至第二十六條規定由中央目的事業主管機關或直轄市、縣（市）政府執行之權限，得委任所屬機關、委託其他機關或公益團體辦理；其成員因執行委任或委託事務所知悉之資訊，負保密義務。前項之公益團體，不得依第三十四條第一項規定接受當事人授與訴訟實施權，以自己之名義提起損害賠償訴訟。

第 53 條
法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

第 54 條
本法中華民國九十九年五月二十六日修正公布之條文施行前，非由當事人提供之個人資料，於本法一百零四年十二月十五日修正之條文施行後為處理或利用者，應於處理或利用前，依第九條規定向當事人告知。前項之告知，得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。未依前二項規定告知而利用者，以違反第九條規定論處。

第 55 條
本法施行細則，由法務部定之。

第 56 條
本法施行日期，由行政院定之。現行條文第十九條至第二十二條及第四十三條之刪除，自公布日施行。前項公布日於現行條文第四十三條第二項指定之事業、團體或個人應於指定之日起六個月內辦理登記或許可之期間內者，該指定之事業、團體或個人得申請終止辦理，目的事業主管機關於終止辦理時，應退還已繳規費。已辦理完成者，亦得申請退費。前項退費，應自繳費義務人繳納之日起，至目的事業主管機關終止辦理之日止，按退費額，依繳費之日郵政儲金之一年期定期存款利率，按日加計利息，一併退還。已辦理完成者，其退費，應自繳費義務人繳納之日起，至目的事業主管機關核准申請之日止，亦同。

第 1 條
本細則依個人資料保護法（以下簡稱本法）第五十五條規定訂定之。

第 2 條
本法所稱個人，指現生存之自然人。

第 3 條
本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

第 4 條
本法第二條第一款所稱病歷之個人資料，指醫療法第六十七條第二項所列之各款資料。
本法第二條第一款所稱醫療之個人資料，指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。
本法第二條第一款所稱基因之個人資料，指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料，指性取向或性慣行之個人資料。
本法第二條第一款所稱健康檢查之個人資料，指非針對特定疾病進行診斷或治療之目的，而以醫療行為施以檢查所產生之資料。
本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。

第 5 條
本法第二條第二款所定個人資料檔案，包括備份檔案。

第 6 條
本法第二條第四款所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。
本法第二條第四款所稱內部傳送，指公務機關或非公務機關本身內部之資料傳送。

第 7 條
受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

第 8 條
委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項：
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託者就第十二條第二項採取之措施。
三、有複委託者，其約定之受託者。
四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。
五、委託機關如對受託者有保留指示者，其保留指示之事項。
六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。
受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

第 9 條
本法第六條第一項但書第一款、第八條第二項第一款、第十六條但書第一款、第十九條第一項第一款、第二十條第一項但書第一款所稱法律，指法律或法律具體明確授權之法規命令。

第 10 條
本法第六條第一項但書第二款及第五款、第八條第二項第二款及第三款、第十條但書第二款、第十五條第一款、第十六條所稱法定職務，指於下列法規中所定公務機關之職務：
一、法律、法律授權之命令
二、自治條例。
三、法律或自治條例授權之自治規則。
四、法律或中央法規授權之委辦規則。

第 11 條
本法第六條第一項但書第二款及第五款、第八條第二項第二款所稱法定義務，指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第 12 條
本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。
前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。

第 13 條
本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料，指當事人自行對不特定人或特定多數人揭露其個人資料。
本法第六條第一項但書第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料，指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

第 14 條
本法第六條第一項但書第六款、第十一條第二項及第三項但書所定當事人書面同意之方式，依電子簽章法之規定，得以電子文件為之。

第 15 條
本法第七條第二項所定單獨所為之意思表示，如係與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

第 16 條
依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

第 17 條
本法第六條第一項但書第四款、第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱無從識別特定當事人，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者。

第 18 條
本法第十條但書第三款所稱妨害第三人之重大利益，指有害於第三人個人之生命、身體、自由、財產或其他重大利益。

第 19 條
當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時，應為適當之釋明。

第 20 條
本法第十一條第三項所稱特定目的消失，指下列各款情形之一：
一、公務機關經裁撤或改組而無承受業務機關。
二、非公務機關歇業、解散而無承受機關，或所營事業營業項目變更而與原蒐集目的不符。
三、特定目的已達成而無繼續處理或利用之必要。
四、其他事由足認該特定目的已無法達成或不存在。

第 21 條
有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或業務所必須：
一、有法令規定或契約約定之保存期限。
二、有理由足認刪除將侵害當事人值得保護之利益。
三、其他不能刪除之正當事由。

第 22 條
本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。
依本法第十二條規通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

第 23 條
公務機關依本法第十七條規定為公開，應於建立個人資料檔案後一個月內為之；變更時，亦同。公開方式應予以特定，並避免任意變更。本法第十七條所稱其他適當方式，指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。

第 24 條
公務機關保有個人資料檔案者，應訂定個人資料安全維護規定。

第 25 條
本法第十八條所稱專人，指具有管理及維護個人資料檔案之能力，且足以擔任機關之個人資料檔案安全維護經常性工作之人員。公務機關為使專人具有辦理安全維護事項之能力，應辦理或使專人接受相關專業之教育訓練。

第 26 條
本法第十九條第一項第二款所定契約或類似契約之關係，不以本法修正施行後成立者為限。

第 27 條
本法第十九條第一項第二款所定契約關係，包括本約，及非公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係，指下列情形之一者：一、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交易之目的，所進行之接觸或磋商行為。
二、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之連繫行為。

第 28 條
本法第十九條第一項第七款所稱一般可得之來源，指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

第 29 條
依本法第二十二條規定實施檢查時，應注意保守秘密及被檢查者之名譽。

第 30 條
依本法第二十二條第二項規定，扣留或複製得沒入或可為證據之個人資料或其檔案時，應掣給收據，載明其名稱、數量、所有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後，應作成紀錄。
前項紀錄當場作成者，應使被檢查者閱覽及簽名，並即將副本交付被檢查者；其拒絕簽名者，應記明其事由。
紀錄於事後作成者，應送達被檢查者，並告知得於一定期限內陳述意見。

第 31 條
本法第五十二條第一項所稱之公益團體，指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第 32 條
本法修正施行前已蒐集或處理由當事人提供之個人資料，於修正施行後，得繼續為處理及特定目的內之利用；其為特定目的外之利用者，應依本法修正施行後之規定為之。

第 33 條
本細則施行日期，由法務部定之。

前言:
身處資訊化社會與全球化時代，人與電腦、網路之關係益趨緊密。電子交易日趨普及，在經濟活動中，佔有相當重要的地位。利用電腦或電信技術在網路空間從事犯罪行為，更有日漸增加之趨勢。網際網路的誕生，的確為人類生活帶來許多的便捷。然而，它所衍生出的一些資訊安全或網路犯罪問題，確也已對國家社會安全，帶來更大的威脅。

一、何謂資通安全？
顧名思義就是資訊及通訊的安全。投資人以網路交易投資證券、期貨、申購股票及金融商品、管理帳務及個人投資資料，以網路方式執行之方便性是否同時兼顧資訊及通訊的安全性？

二、網路交易有那些風險
(電子式交易風險)
1.網路傳輸或電話語音等電子式交易在傳送資料上有著先天上的不可靠與不安全。
2.透過網路傳送資料隱含著中斷、延遲等危險。
(資料保管風險)
1.被他人冒名傳送訊息。
2.被他人從遠端監看訊息內容。
3.被他人竊取、串改、毀損資料內容。
4.收方否認收到訊息內容、送方否認送出訊息內容。
5.委託人個人密碼、電子憑證，如有遺失或遭竊，委託人自負其責。

三、何謂電子憑證？
憑證是由經合法憑證授權單位發出，以向他人確認您的身分。憑證含有資訊，可用來保護資料或在對其他電腦連線時建立安全保護。針對網路交易安全需求，提供完善的安控機制，使網路交易服務達到資料之隱密性、身份確認及不可否認性等安全需求。

四、使用電子憑證有哪些安全保證？
1.保障投資人的每筆電子交易安全。
2.委託單訊息內容不會被篡改。
3.不法者無法冒名進行下單。
4.委託單訊息內容不會洩漏。
5.交易有糾紛時能有相關證據資料做為仲裁之依據。

五、何時需使用憑證？
欲與證券商及期貨商產生交易聯繫時（如下單、刪單、申購、提領期貨交易保證金等），均需使用憑證。

六、網路交易應透過有設置網路安全控制機制之證券商及期貨商。

七、網路交易安全須知：
1.密碼設定原則：
密碼設定時請勿使用生日、電話、身份證字號或具規則性排列等容易被有心人士猜到的數字。

2.密碼管理原則：
(1). 應親自申請且妥善保管電子憑證（電子憑證儲存媒體種類有：磁片、硬碟、IC卡等），不將該憑證交與他人保管。
(2). 不要將個人的任何密碼告知他人。
(3). 針對重要的金融帳戶設定不同的專屬密碼，切勿使用與其他網路平台 (如網路購物網站) 之相同密碼。
(4). 請勿將密碼書寫於明顯且易讓他人取得之處。
(5). 經常不定時變更密碼並提升個人密碼強度，6-10位字英文與數字組成（英文字母大小寫視為不同字元）。
(6). 一般網站的密碼（可能是明碼）與網路交易的密碼應有所區分，以免被人猜中或盜用。

3.瀏覽器使用原則：
(1). 使用電子憑證，不要怕麻煩。
(2). 自己與他人共用電腦，都不要讓瀏覽器記下個人密碼。
(3). 離開座位或交易完畢要養成立刻登出網路之習慣。
(4). 最好不要在網路咖啡之類的公共場合使用有交易功能的網站。

4.交易糾紛之處理：
(1). 使用電子憑證投資人當交易有糾紛時相關證據資料均可為仲裁之依據。
(2). 交易糾紛可向下列各單位申訴或檢舉：
行政院金融監督管理委員會證券期貨局 (02)8773-5100
證券投資人及期貨交易人保護中心 (02)2712-8020
臺灣證券交易所(02)2348-5678
財團法人中華民國證券櫃檯買賣中心 (02)2366-6100
臺灣期貨交易所股份有限公司 (02)2369-5678
其他各證券相關單位

本公司證券交易網頁為 https://webap.sk88.com.tw ，此交易網頁 (https://webap.sk88.com.tw) 均有TWCA SSL伺服器數位憑證之安全加等級 (附一) 。
當使用者輸入帳號 (或身分證字號) 及密碼登入時，在帳號 (或身分證字號) 及密碼欄位部份，都會進行加密驗證處理，絶對不會洩露客戶所輸入之帳號密碼 (附二) 。
凡所有與下單交易、帳戶管理或憑證管理等作業，均以安全加密方式處理，亦無洩露之虞，符合電腦網路交易安全機制。

附一：本公司證券交易網頁

https://webap.sk88.com.tw均有TWCA SSL

附二：本公司證券交易網頁通過Symantec 諾頓網頁安全驗證。

附三：所有與下單交易、帳戶管理或憑證管理等作業，均經加密處理。

網際網路瀏覽器在瀏覽網站時都是依靠 TLS 傳輸層安全協定（TLS 是傳輸層安全協定 Transport Layer Security 的縮寫）所提供的資料加密和完整性保護瀏覽時的安全性。

然而 TLS 1.0、1.1 已被證實具有安全性的風險，為確保您網際網路瀏覽器連線機制的安全性，包含 Google Chrome、Microsoft IE/Edge、Mozilla Firefox、Apple Safari 等大廠瀏覽器，將停止支援 TLS 1.0、1.1 傳輸層安全協定。

為提升網站的安全性防護，本公司自109年12月31日起將陸續停用 TLS 1.1 (含)以下之傳輸加密協定，改用較為安全的 TLS 1.2 (含)以上的傳輸層安全協定，造成您的不便，敬請見諒！

本公司所有網站停用 TLS 1.0、1.1 後，若您的瀏覽器不支援 TLS 1.2，就會看到「無法顯示此網頁」的錯誤畫面或無法開啟網頁，建議您升級您的瀏覽器至最新版本。

目前最新版的主流瀏覽器皆支援 TLS 1.2 (含)以上協定，請用戶升級到最新版本之瀏覽器，以避免無法正常開啟或瀏覽網頁。

相關報導：https://www.ithome.com.tw/news/126434

網路釣魚為網路詐騙手法，歹徒會利用偽造的電子郵件、網站或通訊軟體，騙取使用者的個人私密資料(例如:身分證號碼、帳號、密碼等)，並進行犯罪行為。

防範網路釣魚，避免受害請注意：

請確認您在安全的網路環境及認識的網站下使用交易功能，不要利用公用電腦進行金融交易服務。
請勿使用與其他網站相同的帳號和密碼，並定期更改密碼。
接到詢問帳戶相關資訊的電話或郵件時，請提高警覺，勿將個人的身分資料與帳號、密碼告知他人。
養成良好的收信軟體使用習慣，不要開啟陌生的電子郵件，關閉預覽視窗，避免開啟或下載來路不明的程式或檔案。
將您的瀏覽器更新至最新版本，並將防毒軟體或安全修正程式更新至最新版本。
不要直接使用疑似詐騙通知信所提供之官方網站超連結，請於瀏覽器的網址列以自行輸入正確官方網址的方式連結之。

檢舉可疑信件與非法網站：

發現冒用新光證券名義的信件、網站、資料異常時，請立即向本公司檢舉，將於官方網站揭露，以避免其它投資人或網友受害。
請立即撥打新光證券客服中心0800-85-99-88或來信聯絡我們。

*提醒您，為維護資訊安全，建議於行動裝置安裝防毒或防護應用程式，以免遭受病毒或惡意軟體攻擊。

一、本聲明適用之範圍

凡以新光證券股份有限公司(以下簡稱本公司)名義申請使用之網域(Domain Name即sk88.com.tw及skis.com.tw)所架設之網站及APP(以下簡稱本APP)均適用本聲明。

二、個人資料之蒐集、處理、利用及保護

本APP對您個人資料的蒐集、處理、利用及保護，均依中華民國「個人資料保護法」辦理。

（一）個人資料之蒐集、處理與利用

本APP於使用者登入頁面未就姓名、身分證號、證券帳號、電話及Email等欄位進行遮蔽，以利使用者於登入時得透過介面確認其所輸入之資訊無誤，另因證券交易身份辨識目的，需要輸入個人身分證號碼、密碼或身分驗證碼；另除非事先告知，本APP不會在使用者不知情的狀況下，取得使用者之個人資料。
本APP在舉辦各種網上活動（如有獎徵答或網站調查等）時，有時會請您輸入個人基本資料，除依中華民國「個人資料保護法」辦理外，本APP絕不會洩漏或轉售給其他與該項活動不相關的他人或單位。此外，若您已申請成為本行證券線上通知服務的客戶，本APP可利用您的電子郵件傳送相關證券交易資料、通知類訊息、廣告及活動等。
本APP所蒐集的個人資料(包含姓名、身分驗證碼、證券帳號、銀行帳號、銀行戶名、電子郵件、出生年月日、IMEI等)，將依其蒐集之特定目的，做為本公司提供證券電子式交易業務範圍之用，除非事先說明並取得您的同意、或依相關法律規定，本APP不會將其做為超出蒐集特定目的以外之用途，亦不會任意對其他第三者揭露，其他個人資料將不會傳送至其他國(境)外地區處理。
本APP提供客戶選擇身分證號碼、統一編號、身分驗證碼及密碼是否暫存於行動裝置本機功能，以便利客戶可快捷登入。另為確保客戶交易安全，身分證號碼、身分驗證碼、統一編號登入紀錄(LOG)亦同步於伺服器妥善留存，並謹作為客戶交易查詢用途。

（二）個人資料之保護

本APP的資料蒐集採TLS（Transport Layer Security）機制進行資料傳輸的加密，並裝設防火牆以防止不法入侵及惡意程式之破壞，對重要機密性資料，皆以亂碼化機制儲存，以強化資料儲存、運用之安全。
您的個人資料嚴密地保存在本公司資料庫中，且相關處理人員皆簽有保密合約，如有違反保密義務者，將會受到相關的法律處分。

三、Cookies 技術之使用

Cookies 是伺服端為了區別使用者的不同喜好，經由瀏覽器寫入使用者硬碟的一些簡短資訊，但是使用者可以經由瀏覽器的設定，取消、或限制此項功能。如果您選擇拒絕所有的 cookies ，您就可能無法使用部分個人化服務，或是參與部分的活動。

四、APP對外的相關連結

連結網頁的使用為服務使用者，本APP內可能提供其他網站的網路連結，使用者可經由本APP所提供的連結，點選進入其他網站。但本APP並不保護使用者於該等連結網站中的隱私權。

五、自我保護措施

請妥善保管您的憑證、密碼或任何個人資料，切勿將任何個人資料提供給第三人。在您使用完本APP所提供的各項服務功能後，請務必記得登出帳戶，以防止他人讀取您的個人資料。

六、網路安全保護措施

為了資訊安全的目的和確保這項服務能夠繼續服務所有的網路使用者，本APP提供了以下的安全保護措施。

使用網路入侵偵測系統，監控網路流量，以確認未經授權而企圖上載或更改、網頁資訊或蓄意破壞者。
裝設防火牆防止非法入侵、破壞或竊取資料，以避免電子式交易系統遭到非法使用，以保障使用者的權益。
裝設掃毒軟體，定期掃毒，以提供使用者更安全的電子式交易系統。
不定期模擬駭客攻擊，演練發生安全事件時的系統回復程序，並提供適當的安全防禦等級。
自動接收所有來自相關作業系統廠商或應用程式廠商所寄發的安全維護電子信通知，並依照電子信的建議，安裝適當的修改程式(PATCH)。

七、本聲明之生效與修訂

本隱私權及資訊安全聲明自本APP發布起即生效，然因社會環境與法令規定之變遷、或科技技術之進步，本APP將不定時修訂與公布本聲明書，並採用最新技術與法規盡力保護您的網路隱私與安全，請您隨時參覽本APP之聲明書，以保障您的權益。

八、蒐集、儲存安全敏感性資料

本APP對您個人資料的蒐集、處理、利用及保護，均依中華民國「個人資料保護法」辦理。

使用者登入本APP時，因證券交易身份辨識目的，需要輸入個人身分證號碼、密碼或身分驗證碼；另除非事先告知，本APP不會在使用者不知情的狀況下，取得使用者之個人資料。
本APP在舉辦各種網上活動（如有獎徵答或網站調查等）時，有時會請您輸入個人基本資料，除依中華民國「個人資料保護法」辦理外，本APP絕不會洩漏或轉售給其他與該項活動不相關的他人或單位。此外，若您已申請成為本行證券線上通知服務的客戶，本APP可利用您的電子郵件傳送相關證券交易資料、通知類訊息、廣告及活動等。
本APP所蒐集的個人資料(包含姓名、身分證號碼、身分驗證碼、證券帳號、銀行帳號、銀行戶名、電子郵件、出生年月日、IMEI等)，將依其蒐集之特定目的，做為本公司提供證券電子式交易業務範圍之用，除非事先說明並取得您的同意、或依相關法律規定，本APP不會將其做為超出蒐集特定目的以外之用途，亦不會任意對其他第三者揭露，其他個人資料將不會傳送至其他國(境)外地區處理。
本APP提供客戶選擇身分證號碼、統一編號、身分驗證碼及密碼是否暫存於行動裝置本機功能，以便利客戶可快捷登入。另為確保客戶交易安全，身分證號碼、身分驗證碼、統一編號登入紀錄(LOG)亦同步於伺服器妥善留存，並謹作為客戶交易查詢用途。

九、與我們聯絡

若您對本服務隱私權及資訊安全政策內容有任何疑問，請逕至本公司入口網站(https://www.skis.com.tw)諮詢。

資料共享隱私權政策

一、資料共享目的：

新光證券股份有限公司秉持穩健、誠信、敬業的經營理念服務客戶，順應金融環境及客戶理財需求之變化，致力於提供客戶誠信、可靠的服務。為提供客戶更便利的開戶體驗，本公司與其它金融機構辦理資料共享，減少客戶重覆輸入資料及往返金融機構間取得資料之不便性。為保障客戶的資料與權益，依據「個人資料保護法」、「金融機構間資料共享指引」等相關法令及函釋，訂定「資料共享隱私權政策」。

二、共享資料之金融機構：

1. 中國信託商業銀行股份有限公司
2. 臺灣新光商業銀行股份有限公司
3. 瑞興商業銀行

三、共享資料範圍

辦理資料共享前應事先取得客戶同意，共享資料範圍包含客戶基本資料、身分核驗資料、帳戶資料、金融商品或服務之交易紀錄、負面資訊、認識客戶(KYC)資料及金融機構加值之資料、電子通訊歷程紀錄(如IP 位址)或其他經客戶及合作公司同意共享之資料等。共享之資料如屬身分核驗資料、負面資訊等非公開資料，對客戶權益有較大影響性者，應進行必要之查證或提供其他強化客戶資料保護措施。

四、客戶資料保護措施

依據本公司訂定之內部管理規範，包含資訊提供、應用系統、電腦系統安全、網路安全、系統資料存取控制、業務永續運作計畫、資通安全事件管理等嚴格措施保護客戶資料及資安防護，於資料共享時，以檔案加密及傳輸加密等安全機制進行資料傳輸，並建立防火牆保護非必要之連線，防範不法入侵，避免客戶資料遭到非法存取，以確保客戶資訊蒐集、處理、傳送、儲存及流通之安全。

五、客戶權益維護

客戶可以隨時提出停止資料共享之要求，本公司將儘速停止並通知共享資料之金融機構。客戶若有辦理資料共享作業所生之申訴及爭議，得以書面、電子郵件或致電客服中心等方式通知本公司，本公司將竭誠處理。

請注意，本隱私權政策可能會不定時修訂，建議您定期於本公司官網查閱本政策以了解最新的隱私權規定。

資訊安全政策

第 1 條訂定目的及依據

為強化本公司資訊安全管理，確保資訊之可用性、完整性及機密性，並提升同仁對資訊安全之認知，以保障員工、客戶與本公司之權益特考量本公司業務需求，並參照包括但不限於「建立證券商資通安全檢查機制」、「建立期貨商資通安全檢查機制」、「個人資料保護法」等相關法令訂定本政策。

第 2 條適用對象及範圍

本政策適用對象為本公司員工、委外廠商及訪客皆應遵守以維護資訊之安全。各項資通系統及資訊資產之資訊安全管理範圍，另於「資訊安全作業準則」明訂之。

第 3 條名詞定義

資訊安全係指將管理程序及安全防護技術應用於各項資訊作業，包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體及經由印表機所列印之各式報表，以確保資訊蒐集、處理、傳送、儲存及流通之安全。

第 4 條資訊安全目標

本公司資訊安全管理以維護客戶權益為基礎，並以「保護資訊資產安全」及「維持業務持續運作，以達企業永續經營」為目標，進而達成本公司之使命及願景。

第 5 條資訊安全組織、權責及分工

本公司應成立跨部門之「資訊安全推行小組」，並指定高階主管為召集人，綜理資訊安全政策推動及資源調度事務負責制定資訊安全政策，並統籌資訊安全規劃、督導、監控、協調及推動資訊安全管理制度運作。
本公司應明確劃分資訊部門與業務單位之權責，並於「資訊安全作業準則」明訂之。

第 6 條資訊安全事件通報程序

本公司應建立資訊安全事件管理程序，以確保資訊安全事件能即時、妥善地回應、控制與處理。

第 7 條資訊安全原則及標準

高階主管應積極參與資訊安全管理活動，提供對資訊安全之支持及承諾。
為確保本公司可發揮最大利益，並善盡社會責任，本公司應以符合法令及風險管理之原則，建立完善之資訊安全管理制度，保護本公司所擁有及使用之資訊與個人資料。
本公司應視資訊安全管理需要及所屬資安分級要求，配置適當人力資源及設備並指定專人或專責單位負責規劃與執行資訊安全工作前述資訊安全人員應取得並維持相當資通安全專業證照，另得視需要委請外界的學者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
本公司應提供人員資訊安全訓練課程，以提昇人員資訊安全認知。
本公司應參考「建立證券商/期貨商資通安全檢查機制分級防護應辦事項附表」辦理資訊安全分級防護應辦事項。
本政策應以書面、電子（E-MAIL）或其他方式通知員工及與接觸本公司業務之公私機關（構）、提供資訊服務之廠商共同遵行。
委外作業均應與委外廠商簽署保密協議書，並要求廠商遵循本政策以及相關程序之規定，不得未經授權使用或濫用本公司之各類資訊資產。

第 8 條員工遵守規定

本公司所有同仁若未遵循資訊安全相關規範或有任何違反資訊安全要求之行為，應依相關規定議處。

第 9 條定期檢視

本公司每年應由資訊安全推行小組，以獨立及客觀之方式進行，評估資訊安全政策，以反映法令規章、技術、業務或環境等因素之最新發展，確保資訊安全實務作業之有效性，並留存相關紀錄。

第 10 條報告與申報

本公司每年應將前一年度資訊安全整體執行情形，由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條規定之內部控制制度聲明書，於會計年度終了後三個月內提報董事會通過，並將該聲明書內容揭露於主管機關指定之申報網站。

第 11 條其他

本政策未盡事宜，悉依法令及本公司有關規定辦理。

第 12 條核定層級及修訂單位

本政策經本公司董事會通過後施行，修正時亦同。
本政策訂定及修訂權責單位為資訊安全推行小組。

第 13 條

本政策訂於 2025年 3月 5日。

【使用條款】

歡迎您使用新光證券所提供的各項金融資訊服務，當您使用新光證券下單網頁與軟體時，即表示您已閱讀、瞭解並同意接受所有內容。新光證券有權於任何時間修改或變更條款，建議您隨時注意該等修改或變更。

本公司系統資訊僅供參考，所有資訊以台灣證券交易所、櫃檯買賣中心及期貨交易所資料為準。投資人若依此以為買賣依據，須自負盈虧之責。

本公司及其資料提供者，合作結盟廠商與相關電信業者網路系統因硬體設備之故障、失靈或人為操作上之疏失導致傳輸無法使用、遲延、或造成任何資料內容(包括文字、數字、圖片、影像)遺失中斷、暫時、缺漏、更新延誤或儲存上之錯誤，本公司均不負任何責任。

交易系統無法正常運作或無法確定委託狀況時，請先聯繫您的專屬營業員，查詢委託狀況或下單。投資人了解並同意電子交易並非唯一委託方式，如遇非本公司所能控制之情況，無法以電子交易方式傳達其意思時，願意以親自、電話或書面等其他方式替代電子交易。

本公司投資參考資料內容，係由"大州數位股份有限公司"、"奇唯科技股份有限公司"、"精誠股份有限公司"、"三竹資訊股份有限公司"、"CMoney全曜財經資訊股份有限公司"所提供，不得作為任何交易行為之依據，使用者依建議或資料內容進行任何投資行為所產生之風險及盈虧，均需完全自行負擔，新光證券不對使用者之投資決策負任何責任。

本公司網站中之所有鏈結可能連結到其他個人、公司或組織之網站，對被鏈結之該等個人、公司或組織之網站上所提供之產品、服務或資訊，本公司概不擔保其真實性、即時性、正確性及完整性。