财团法人金融联合徵信中心bheh.docx

《财团法人金融联合徵信中心bheh.docx》由会员分享，可在线阅读，更多相关《财团法人金融联合徵信中心bheh.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、財團法人人金融聯合合徵信中中心提供去識識別化信信用風險險研究用用資料資資訊安全控管作業要要點（95.01.18 本中心心第四屆屆第十五五次董事事及監察察人聯席席會議通通過）第一條(宗旨)為提升本本中心資資料庫附附加價值值，在兼兼顧保障障資料當當事人之之隱私與與資料安全下，提供去識識別化之之信用風風險研究究加值性性資訊與與研究用用資料，以協助金融機構發展信用風險模型或其他相關研究，特制定本作業要點並予公開揭露。第二條(適用對對象)本作要點點規範之之對象為為：1. 本中心提提供去識識別化信信用風險險研究用用資料之之權責相關關部門、單單位與人人員。2. 資料使用用者：(1) 會員金融融機構：係指經經

2、本中心心同意，並並簽訂保保密承諾諾書，至至本中心心指定之之中心內內部作業業平台，對本中中心所提提供去識識別化之之信用風風險研究究用資料料進行分分析研究究之會員員金融機機構。(2) 其他外部部單位：係指與與本中心心簽訂專專案研究究合約(含保密密承諾書)之研究究單位或或專家學學者，或或與本中中心簽訂訂技術合合作相關關合約(含含保密承承諾書)之諮詢顧顧問公司司，至本本中心指指定之中中心內部部作業平平台，對本中中心所提提供去識識別化之之信用風風險研究究用資料料進行分析析研究者者。第三條(資訊安安全控管管作業)本要點所所稱之資訊訊安全控管作業，係係指除遵循循本中心心既有整整體資訊訊安全控控管之架構與內內

3、涵外，於提提供去識識別化信信用風險險研究用用資料時時，須額額外適用用遵循之之資訊安安全控管管作業規規範。第四條(信用風風險研究究用資料)信用風險險研究用用資料係係指自本本中心信信用資料料庫中所所擷取，並經一定定之資料料處理與與去識別別化程序序後，供本要要點適用用之使用者者所使用之資資料。依資料料性質，可可區分為為以下二二類：1. 原始資料料檔案：係指以個別別單筆資資料(某某單一個個人或企企業為資資料主體體，其所對應應之各欄欄位屬性性資料或或變數資資料)所所組成之研研究用資資料檔案案。此類類資料檔檔案未進進行實質質統計運運算。2. 統計性資資料：係係指將多筆資資料彙整整計算後後所產生生之群組組統

4、計結結果，其其呈現方方式包括括絕對數數值、統計數數值(如如平均數數、中位位數、四四分位數數等)，及及其所換換算之百百分比數數值等。統計計性資料料依資料料性質可可細分為下下列二類：(1) 數量型統統計資料料：係指指以次數數或數量量(如：案件數數、人數數、企業業家數等等)呈現現之統計計資料。(2) 數值型統統計資料料：係指數量型型統計資資料所對應應衍生之之其他數數值(如如授信金金額、額額度、營營業額等等)。第五條(資料去去識別化化)為使資料料當事人人隱私保保護與資資訊使分分享使用用間取得得合理之之平衡，本要點點所稱之之資料去去識別化化係指，去除或或隱匿足足以識別別個別資資料當事事人(個個人或企企業

5、)之之相關資資訊，使使資訊使使用者在在正常使使用之情情況下，無無從識別資料當當事人之之身份，其其所運用用之資料料處理程程序與技技術。1. 分類：依依不同性性質之風風險研究究用資料，資資料去識識別化可可分為以以下兩類類：(1) 直接去識識別化：主要針針對原始始資料檔案案。係指將個別別原始資料料中可能能識別出出個別資資料當事事人之攸攸關資料料移除或或以其他他方式取取代，資資訊使用用者在正正常使用用之情況況下，無無從識別別個別資料料當事人人之身份。(2) 間接去別別識化：主要針針對統計計性資料料。係指指以設定定最低樣樣本數門門檻及其其他統計計檢定方方法，使使產出之之統計性性資料，資訊使用者在正常使用

6、之情況下，無從識別個別樣本之身份。2. 應遵循之之原則：(1) 資料去識識別化程程序與技術之應用用，除應應評估資料料當事人人身份之隱匿匿程度外外，亦應應考量資料料去識別別化後相相對減損損之資訊訊價值，並輔以相對應之資訊安控程序與措施。(2) 不同性質質之信用用風險研研究用資資料應有有不同程程度之資資料去識識別化要要求，本本中心產產出各類信用用風險研研究用資資料之主主辦部門門或單位位，應評估估所提之之供資料料對資料料當事人人隱私之之敏感性性，於適適當文件件(如表表格說明明、編輯輯說明、資料去去識別化化及資訊訊安控檢檢查表等等)中明明確定訂訂資料保保護作法法。(3) 本中心各各主辦部部門或單單位提

7、供供信用風風險研究究用資料前前，應遵遵循本要要點訂定定之原則則與程序序申請核准准，並參考考本中心心其他部部門或單單位業經經核准之之既有作作法，類似資資料之去去識別化化標準與與資訊安安控措施施應一致致。第六條(資料取取得之程程序與基基本資訊訊安全控管作業業)信用風險險研究用用資料之取取得，應遵循循本中心心資料料研究服服務平台台提供會會員機構構專案研研究服務務要點，委委外專題題研究實實施要點點之規規定，檢具研研究計畫畫書，並並簽訂資資訊安全全保密承承諾書，申請使用本中心資料研究服務平台。申請經核准後，使用單位或個人須至本中心指定之本中心內部作業平台，並遵循本中心所有資訊安全控管規範，本中心主辦部門

8、或單位另應依資料使用目的與特性，進行下列事前防範、事中監控與研究結果攜出限制：1. 事前防範範：(1) 人員方面面：使用用單位事事前應依規定定詳列資資料服務務平台使使用人員員之人數數、名單單及其必必要性，提出申申請並經經本中心心核准；使用人人員名單單之異動動應重新新提出申申請。(2) 硬體方面面：本中中心資料料研究服務務平台存存放信用用風險研研究用資料之之伺服器器應與本本中心資資料庫以以防火牆牆區隔，資資料使用用人員使使用之電電腦，為為連接研研究服務務平台伺伺服器之之終端機機，無上上傳及下下載資料料功能，電電腦輸出出入埠應應貼有封封條，為為完全封封閉之作作業系統統，並禁禁止連接接網際網網路、中

9、中心內部部網路及及資料庫庫。(3) 軟體方面面：僅得得進行資資料分析析，使用用者無法法開啟檢視視完整之之資料檔檔案。2. 事中監控控：(1) 人員方面面：核准准使用人人員名單單之身份份確認、進進出管制制與紀錄錄。(2) 硬體方面面：應設設定作業業環境之之安全控控管機制制，包括括禁止攜攜帶行動動電話、電電腦、攝攝影設備備、可攜攜式資料料儲存設設備等；作業區區應全程監監視攝影影。(3) 軟體方面面：資料料分析軟軟體使用用紀錄自動動留存，並每日列表由專人檢視。3. 結果攜出出與使用用限制：資料使使用人員員僅得就就研究分分析之統統計性資資料報表表結果(非研究究用之個個別單筆筆資料)，提出出攜出申申請，

10、經經本中心心依據本本要點訂訂定之資資料去識識別化標標準審核核通過，並並經資料料使用單單位簽定定保密與與使用限限制同意意書後，方方得攜出出。第七條(提供原原始資料料檔案具體內內涵之正正面表列列)資料使用用者申請請使用原始始資料檔檔案之案案件，本本中心主主辦部門門或單位位應充分瞭瞭解該項項研究申申請之必必要性，根根據申請請使用者者提出之研研究計畫畫書，經審慎慎評估後後，正面表表列下列具體所所需資料料檔案內內涵，依程序序簽請核核准。1. 研究用資資料檔案案篩選原原則與邏邏輯。2. 變數資料料欄位之之明細與與定義。3. 資料日期期(或期期間)與與資料來來源。4. 研究用資資料檔案案所包含含之總筆筆數。

11、第八條(提供原原始資料料檔案之之資料去去識別化化與資訊安全控管作業業)1. 提供原始始資料檔檔案之本本中心主主辦部門門或單位位應考資資料檔案案之內涵涵與資料料特性，擬擬訂下列具體之之資料去去識別化化或資訊訊安控配配套作法法：(1) 訂定直直接去識識別化資料項項目：足足以直接接識別資資料當事事人之資資料，例例如：個個人之身身分證號號、住址、電電話號碼碼；企業業之統一一編號、股股票代號號、營業業地址、主主要負責責人或股股東名單單或身分分證號等等，應予移除除，或必必要時以以其他方方式取代代(例如身身分證號號如有資資料連結結之功能能，得以以其他無無規則性性之編碼碼取代)。(2) 針對區隔隔下之資料料組

12、合訂訂定最低低樣本數數門檻：所提供供資料主主體之所屬區區隔之資資料組合合，於本本中心資資料庫中中之樣本本數應大大於十個(含含)。2. 其他應注注意資料料項目及及額外安安控措施施：如經由同同筆資料料之不同同欄位相相互比對對，可間間接識別別資料當當事人之之資料(例如：揭露某某家企業業所屬之產產業別與與其營業收入，即可可推測資資料當事事企業)之疑慮慮較高時時，除應依依循第六六條有關關資料研研究服務務平台使使用之規規範外，應明訂以下之更嚴格之資訊安控審查程序：(1) 事前防範範：i. 從嚴審核核研究計計畫(包包括資料料需求)、研究究人員人人數與資資格、保保密承諾諾書之內容容等，必要時時提高核核准層級級

13、。ii. 界定資料料研究服服務平台台限制使使用之高高風險分分析指令令，並列表表告知資資料使用用者該類類指令之之執行應應知會本中中心指定定之專責責人員。(2) 事中監控控：i. 本中心指指定專責責人員負負責高風風險指令令使用必必要性之之審核與與必要時時代為操作作。ii. 高風險指指令使用用紀錄之之每日列列表與檢檢視，以及訂定定異常使用用狀況之程程度與處處理方式式(例如請使使用者說說明、停停止使用用資料研研究服務務平台並並通知其其所屬單單位等)。3. 若前項所所規範之之項目經經第十一一條規定定組成之之審議會會議認定定仍有資資料安全全疑慮者者，則應應由本中中心人員員全程代代為操作作，並每每日列表表檢

14、視資資料使用用紀錄。第九條(提供統統計性資資料之呈呈現類型型與具體體內涵之之正面表表列)本中心提提供之統統計性研研究用資資料，係係以數量量型統計計資料與與數值型型統計資資料為資資料主體體變化組組合而成成，依呈現現方式區區分為：一、制制式表格格之指標標性統計計資料，二、區隔隔選擇組組合之統統計資料料，三、統統計資料料組成之之資料檔檔案。本中心心主辦部部門或單單位應正正面表列列所提供供統計性性資料之之具體內內涵。1. 制式表格格之指標標性統計計資料：係指使使用者僅僅能選用本中中心依既既定格式式與內涵涵製作完完成之指指標性統統計資料料。本中中心主辦辦部門或或單位應應正面表表列之項項目如下下：(1)

15、統計表之之目錄與與名稱。(2) 每一統計計表應包包括該表表之下列列項目：i. 數量型資資料或數數值型資資料之具具體內涵涵(數量量型統計計資料：如家數數；數值值型統計計資料：如金額額)及其其型態(如絕對對數值、百百分比、平平均數、中中位數等等)。ii. 分組數量量與每一一分組及及其組距距設定，並並說明分分組之定定義。iii. 每一資料料組合之之具體樣樣本數，與與各欄各各列之樣樣本合計計數。iv. 資料日期期(或期期間)與與資料來來源。2. 區隔選擇擇組合之之統計資資料：係指使使用者能能依其資資料分析析需求，使使用本中中心既定定之資料料區隔選選項，自自行選擇擇不同區區隔之組組合產出出統計資資料。本

16、本中心主主辦部門門或單位位應正面面表列之之項目如如下：(1) 區隔選單單：具體體區隔面面向及每每一面向向下之其其最小區區隔單位位之說明明，及每每一最小小區隔單單位其對對應之樣樣本數。(2) 資料內涵涵選單：提統計計資料具具體內涵涵(數量量型統計計資料：如家數數；數值值型統計計資料：如金額額)及其其型態(如絕對對數值、百百分比、平平均數、中中位數等等)。(3) 區隔選擇擇組合與限限制：對對使用者者選擇面面向或區區隔之數數量限制制。(4) 最細之區區隔選擇擇組合下下，每一一資料組組合之樣樣本數。(5) 資料日期期(或期期間)與與資料來來源。3. 統計資料料組成之之資料檔檔案：係指以統計性性資料為為

17、單筆資資料所組組成之研研究用資資料檔案案。統計計性研究究用單筆筆資料係係指，以數數量型統統計資料料為資資料主體體，數數值型統統計資料料為其其欄位變變數資料料所組成成單筆資資料(例例如某筆筆資料之之呈現型型態如下下：200家同一一產業之之企業為為資料主主體，其其所對應應彙整統統計之授授信金額額、授信信額度、營營業額等等變數資資料)。本本中心主主辦部門門或單位位應正面面表列之之項目如如下：(1) 單筆資料料之資料料主體組組成之說說明及其其樣本數數(數量量型統計計資料)。(2) 變數資料料欄位之之明細與定定義(數數值型統統計資料料)。(3) 資料總筆筆數。(4) 資料日期期(或期期間)與與資料來來源

18、。第十條(提供統統計性資資料之資資料去識識別化與資訊安全控管作業業)提供統計計性資料料本中心心主辦部門門或單位位應考量量統計性性資料之之分類與與正面表表列之具具體內涵涵，擬訂訂下列具體之之資料間接去去識別化化標準準與方法法：1. 數量型資資料：設定每每一表格格之最低低樣本數數門檻數數量，最最低不得得少於十十個樣本本數。2. 數值型資資料：除應符符合前項項數量型型資訊每每一表格格之最低低樣本數數門檻數數量外，另另應設定定適當之之統計檢檢定數值值門檻，以確保保該表格格內之每每一樣本本所代表表之數值值達一定定程度分分散，每每一資料料組合中中最之大大數值不不得超過過該資料料組合總總數值之之百分之之三十

19、。3. 統計資料料組成之之資料檔檔案：(1) 資料內涵涵應同時時符合前前項數量量型資料料與數值值型資料料之門檻檻與標準準。(2) 適用第八八條2.、3. 規定定之應注注意資料料項目及及額外安安控措施施。第十一條條(資料料提供與與使用之之核准)1. 本中心對對外提供供去識別別化信用用風險研研究用資料之具具體內涵涵，及其配配套之資資訊安控控措施，應應由主辦辦部門或或單位檢檢附下列列文件，由由總經理理召集副副總經理理及相門門主管所所組成之之審議會會議進行行審查，審審查時得得視案情情需要，邀邀請外部部學者專專家參加加。(1) 依本中心心資料料研究服服務平台台提供會會員機構構專案研研究服務務要點，委委外

20、專題題研究實實施要點點提出之研究究計畫書書與申請請文件。(2) 實際使用用本中心心料研究究服務平平台之人人員名單單與必要要性說明明。(3) 資料使用用單位與與人員簽簽訂之資資訊安全全保密承承諾書。(4) 資料去識識別化及及資訊安安控檢查查表：其其內容載載明第七七條至第第十條所所規定信信用風險險研究用用資料之之具體內內涵正面面表列，及及配套之之資料去去識別化化作法與與及必要要之資訊訊安控機機制。2. 經核准提提供之資資料內涵涵及其去去識別化化、資訊訊安控機機制，主主辦部門門或單位位仍應持持續檢視視資料當當事人隱隱私保護護與資訊訊分享使使用間之之動態平平衡，提提出修正正建議提提審議會議進進行討論論。第十二條條(本要要點之實施施與修正正)本要點經經董事會會通過後後實施，修修正時亦亦同。11