個人資料蒐集一般規範
1.1 個人資料蒐集之原則：
1.1.1 符合法律規範。
1.1.2 符合本公司營運之需求。
1.1.3 『蒐集最小化』為原則。
1.1.4 凡蒐集必先取得組織正式核可。
1.1.5 凡蒐集必先完成必要之風險分析。
1.1.6 蒐集後必須要有保護其完整生命週期之能力。
1.1.7 所有蒐集皆需明確告知當事者並保留相關記錄。
1.2 個人資料蒐集作業規範：
1.2.1 所有員工嚴禁私自蒐集與個人相關之資料（例如：單位通訊錄），未經授權蒐集、處理或利用個人資料者，除自負法律責任外，依組織相關規定議處。
1.2.2 若有個人資料蒐集之需求，需進行個人資料蒐集作業程序。
1.2.3 新個人資料蒐集作業程序：
1.2.3.1 檢視組織之『個人資料檔案清冊』，確保組織目前無所欲蒐集之個人資料。
1.2.3.2 填寫『新個人資料蒐集申請表』（附件一）。
1.2.3.3 如需告知，需擬定告知函內容，範本請參考附件二。
1.2.3.4 個人資料管理委員會審核：
1.2.3.4.1 個人資料蒐集適法性分析
1.2.3.4.2 營運必要性分析
1.2.3.4.3 成本分析
1.2.3.4.4 風險分析
1.2.3.4.5 申請內容審核
1.2.3.5 更新『個人資料檔案清冊』
1.2.3.6 執行蒐集作業
1.2.3.7 所有個人資料之蒐集皆需有『特定目的』，且蒐集者必須確保該特定目的符合相關法源。在非必要情況下，不進行『特定目的外』之個人資料蒐集。若有業務上之必要，需求單位部門主管需備妥相關資料，至『個人資料管理委員會』中進行專案報告，取得委員會暨總經理同意後始可進行。
1.2.4 特種個人資料之蒐集、處理或利用：
1.2.4.1 依個人資料保護法之規範，除法律條列情況下，特種個人資料不得蒐集、處理或利用，本公司員工之『健康檢查』個人資料屬於特種個資，依『勞工安全衛生法§12』可蒐集、處理或利用。除此之外，本公司嚴禁在無法源依據下、處理或利用特種個人資料，如因業務必需，需求單位部門主管需備妥相關資料，至『個人資料管理委員會』中進行專案報告，取得委員會暨總經理同意後始可進行。
1.2.4.2 本公司使用特種個人資料之允許情況：
1.2.4.2.1 法律明文規定。
1.2.4.2.2 公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。
1.2.5 向當事人蒐集個人資料時，對當事人進行告知法律規範之事項：
1.2.5.1 以紙本蒐集，需在顯眼處載明需告知之事項，並針對個資告知事項獨立取得當事人之同意簽名。
1.2.5.2 以電子系統取得個人資料：
1.2.5.2.1 在系統實際取得當事者之個人資料前，務必將告知事項標示於顯眼處或以對話視窗告知，且必須明確取得當事人同意以『電子文件』方式同意『個人資料蒐集』之相關內容。
1.2.5.2.2 所有告知事項之內容必須完整記錄於資料庫中。
1.2.5.2.3 必須使用相關流程或技術，以確保提供資料為當事者本人。（例如：可使用簡訊搭配連結至本公司資訊系統進行認證）
1.2.5.2.4 個人資料蒐集時之告知內容如有異動，需經過組織正式核可且發佈後始可變更。所有變更、簽核以及發佈記錄皆需存查。
1.2.5.3 以電話進行個人資料蒐集：
1.2.5.3.1 在實際取得當事者之個人資料前，務必優先進行告知程序。
1.2.5.3.2 所有告知過程需錄音，且需取得當事人錄音之同意。
1.2.5.4 其他蒐集管道：若有蒐集之管道非前述所提，需進行下列程序：
1.2.5.4.1 至個人資料管理委員會進行專案報告，由個人資料管理委員會審核必要性。
1.2.5.4.2 由法務人員評估適法性。
1.2.5.4.3 由資訊單位評估技術可行性。
1.2.5.5 所有告知之過程以及證據皆需妥善保管：
1.2.5.5.1 接觸人員之管制。
1.2.5.5.2 存取之權限管理。
1.2.5.5.3 實體媒體之安全保管措施，例如：採異地多備份。
1.2.6 蒐集時需依法告知當事人，需留下證據、妥善保管。