一、目的
監察院(以下簡稱本院)為執行政治獻金法(以下簡稱本法)第 7
條第 4 項規定,規範政治獻金不得捐贈者資料整合平臺(以下簡稱
本平臺)介接機關(構)電子資料(以下簡稱介接資料)之方式與範
圍、使用、管理及安全維護,俾符合個人資料保護法等相關法令,特
訂定本規範。
二、使用對象
(一)介接資料管理者:
本院為介接資料管理者,負責介接資料管理與維護,包括資料庫資
料之儲存、維護與安全保護。
(二)介接資料提供者:
本法第 7 條第 4 項所規定之機關(構)為介接資料提供者,負
責介接資料之提供。
(三)介接資料使用者:
1.本院及依本法經許可設立政治獻金專戶之政黨、政治團體及擬參
選人為介接資料使用者。
2.資料使用者應依本規範使用及管理介接資料。
三、介接資料之方式與範圍
(一)本院建置本平臺介接資料,資料傳遞服務均保留完整之稽核軌跡,
介接之方式如下:
1.SFTP 伺服器資料傳輸:設定介接資料提供者專屬之系統帳號、
密碼,並鎖定各介接機關(構)之特定電腦位址(IP),將介接
資料利用 SFTP 傳送至本院伺服主機。
2.網路服務(WebServices) 介面:介接資料提供者透過超文字傳
輸安全協定(HTTPS) 呼叫本院建置之 WebServices 介面,通
過本院提供之介接機關(構)專屬帳號、密碼認證機制,於鎖定
各介接機關(構)之特定電腦位址(IP)後,將介接資料利用
WebServices 傳送至本院伺服主機。
3.批次更新介面:介接資料提供者之資料維護人員須以機關憑證或
自然人憑證登入並經本院多憑證驗證系統進行驗證後登入本平臺
,僅就其所提供之資料依確認格式產製整批電子檔,進行批次上
傳新增、修改等作業。
4.單筆維護介面:介接資料提供者之資料維護人員須以機關憑證或
自然人憑證登入並經本院多憑證驗證系統進行驗證後登入本平臺
,僅就其所提供之資料進行單筆新增、修改等作業。
(二)介接資料之範圍:依據本法第 7 條第 4 項規定
1.內政部及各縣市政府核定之人民團體相關資料。
2.行政院所屬及各縣市政府主管符合本法第 7 條第 1 項第 1
款規定之公營事業或民營企業相關資料。
3.行政院公共工程委員會及財政部推動促參司核定符合本法第 7
條第 1 項第 2 款規定之廠商相關資料。
4.財政部財政資訊中心受理符合本法第 7 條第 1 項第 3 款規
定之營利事業申報相關資料(含未申報)。
5.內政部核定之政黨相關資料。
6.中央選舉委員會及各地選務機關公告之選舉相關資料
7.司法院核定之受監護宣告相關資料。
8.臺灣證券交易所股份有限公司及中華民國財團法人證券櫃檯買賣
中心之營利事業每日外資投資相關資料。
9.科技部科學工業園區管理局核定符合本法第 7 條第 1 項第 7
款至第 9 款規定之營利事業相關資料。
10.經濟部(含商業司、投資審議委員會、加工出口區管理處)核定
符合本法第 7 條第 1 項第 7 款至第 9 款規定之營利事業
相關資料。
四、介接資料使用者使用權限
(一)政黨、政治團體及擬參選人
1.限於經本院許可設立政治獻金專戶之政黨、政治團體及擬參選人
,始得透過本院政治獻金網路申報系統取得介接資料。
2.前款政黨或政治團體應以組織及團體憑證登入並經本院多憑證驗
證系統進行驗證後登入本院政治獻金網路申報系統,擬參選人應
以自然人憑證登入並經本院多憑證驗證系統進行驗證或登錄帳號
密碼驗證後登入。
3.登入本院政治獻金網路申報系統使用介接資料之權限,於完成政
治獻金會計報告書申報並經審核結案後,由系統自動終止之;逾
期未申報者,於本法第 21 條第 1 項所定受理申報截止後 6
個月,亦同。
4.介接資料使用者不得擅自將授權查詢之介接資料對外公開或移轉
他人使用。
(二)本院查核(調查)人員
本院經授權使用介接資料之查核(調)人員,須依規定登錄獨立帳
號密碼驗證後,始得透過本院政治獻金查核系統取得介接資料進行
查核作業。
五、介接資料使用者之管理
(一)政黨、政治團體及擬參選人
1.介接資料使用者應妥善保管相關憑證及帳號密碼,不得使用他人
憑證,亦不得將憑證及帳號密碼借予他人使用。
2.介接資料使用者若遺失憑證或懷疑私密金鑰及密碼遭破解,為維
護自身權益,應立即辦理憑證 IC 卡廢止及變更密碼等相關作業
。
3.使用介接資料中相關機敏資料,由本院政治獻金網路申報系統另
開專屬頁面進行必要資料輸入檢核,並於登入頁面告知使用者相
關法律責任,如發現異常使用情事,應送有關主管機關加強查察
。
(二)本院查核(調查)人員
1.不得將帳號密碼借予他人使用,亦不得使用他人帳號;帳號之密
碼每九十天應至少變更一次。
2.使用者帳號密碼為機密資訊,使用者應妥善保管不可外洩,為維
護自身權益,使用者懷疑密碼已洩漏時,應立即變更。
(三)使用介接資料及使用者權限之新增、變更及刪除等,應充分留存稽
核軌跡,並由本院主管不定期抽查檢視。系統管理者每年應至少進
行二次帳號及權限審查。
(四)介接資料使用者於作業完畢或臨時離開座位時,應立即登出系統,
以避免遭他人冒用。
(五)介接資料使用者對列印查詢結果之紙本資料應負保管之責,確保資
料不外流,並於使用完畢時,立即銷毀。
六、介接資料之保密、保護義務
(一)介接資料之儲存與安全保護由本院負責。
(二)對儲存介接資料之資料庫,應設定特定之系統管理者帳號密碼,此
帳號密碼應獨立使用,不可使用於資訊應用系統中。資料庫主機應
使用網路安全設備阻擋非必要連結,禁止直接存取網際網路,並關
閉 USB、序列埠等介面裝置,避免資料外洩或病毒傳入。
(三)機密資料於儲存、傳輸、使用過程中,應以加密方式進行。
(四)系統管理者帳號密碼由本院指定專人保管。系統管理者異動或離職
時,本院應立即指派接替之保管人並更改系統管理者密碼,並確實
辦理工作及相關文件、資料移交。
(五)系統管理者應定期檢視介接資料使用紀錄,確認資料正常使用。
(六)介接資料使用者若發現介接資料有遭竄改、外洩或其他不當使用之
虞時,應立即向本院通報。
(七)介接資料使用者對介接資料之使用,如違反個人資料保護法規定,
致當事人權益受損害者,應負損害賠償責任;涉及刑事責任者,移
送司法機關辦理。
(八)本院介接各機關(構)電子資料,除遵循資訊安全法令及本院資訊
安全管理規範外,並應符合各介接機關(構)訂定之系統安全及作
業管制等安全性規範。
七、安全管制、查核與稽核
(一)本院應記錄資料使用者之設定權限。
(二)本院應對資料使用者之行為與活動加以記錄、監控及稽核,包括使
用者查詢內容、次數、時間等資安紀錄(log) ,並得不定期查核
各項稽核軌跡。
(三)本院產製介接資料使用者查詢之資安紀錄(log) 報表,提供介接
資料之機關(構)得對前項紀錄進行查詢。
(四)每半年由本院資通安全稽核小組至少辦理一次內部稽核作業,並作
成稽核紀錄,稽核紀錄應留存五年備供查核。