一、經濟部中小及新創企業署（以下簡稱本署）為規範中小企業融資服務
  平台介接公務及非公務機關電子資料之蒐集、使用、管理及安全維護
  符合個人資料保護法、稅捐稽徵法、營業秘密法等相關法令規定，避
  免資料不當使用或外洩情事發生，特訂定本規範。

二、用詞定義
  （一）介接機關：指提供中小企業融資服務平台電子資料之公務及非
     公務機關。
  （二）介接資料：指介接機關提供中小企業融資服務平台之電子資料
     ，區分如下：
     1.原始資料：指得以識別特定當事人之資料。
     2.加值資料：指原始資料經處理後或其揭露方式無從識別特定
      當事人或不易與其他資料結合為得以識別特定當事人之資料
      。
     3.沙盒伺服器資料：指儲存於受本署控管之主機環境中之加值
      資料。
  （三）介接資料管理單位：指本署及財團法人金融聯合徵信中心（以
     下簡稱聯徵中心）。
  （四）介接資料使用單位，包括下列第一類至第四類使用單位：
     1.第一類使用單位：指經介接機關同意，並經本署授權使用介
      接資料之聯徵中心會員機構。
     2.第二類使用單位：指辦理本署委託中小企業發展條例所定輔
      導業務，經介接機關同意並經本署授權使用介接資料之單位
      。
     3.第三類使用單位：指其他經介接機關同意，並經本署授權使
      用介接資料之單位。
     4.第四類使用單位：指依法辦理公司、有限合夥、商業或稅籍
      登記之營利事業。
  （五）資料使用者：指第一類至第三類使用單位主管或第四類使用單
     位負責人指定辦理介接資料查詢業務者。

三、介接資料管理單位權責
  （一）本署：
     1.負責管理第二類至第四類使用單位之連線作業及資料交換之
      相關軟硬體設備建置、管理及維護，並得就第二類至第四類
      使用單位資格、審核方式及其他應遵行事項另訂之。
     2.本署得於執行特定職務必要範圍內，於取具企業代表人或其
      負責人之授權下，查調企業、其負責人之介接資料。
  （二）聯徵中心：負責第一類使用單位之連線作業及資料交換之相關
     軟硬體設備建置、管理及維護。

四、介接資料之取用限制及種類
  （一）介接資料之取用限制：第一類使用單位得取用原始資料；第二
     類及第三類使用單位，除另有規定或經本署同意外，僅得取用
     加值資料；第四類使用單位僅得取用其原始資料。
  （二）介接資料種類如下：
     1.財政部財政資訊中心九十八年二月二十七日台財稅字第０九
      八０四００一六一０號函核定之各項經加值運算之財務比率
      五十項及比對發票驗證結果，及一百零六年十二月七日資國
      字第一０六０００三六三七號函、一百零九年四月一日資電
      字第一０九０００一四三五號函及一百一十二年三月十五日
      臺稅稽徵字第一一二００五四二九一０號函核定之查調項目
      。
     2.經濟部商業發展署核定之公司登記相關資料。
     3.經濟部產業發展署核定之工廠登記相關資料。
     4.台灣電力股份有限公司提供之企業用電及欠費等相關資料。
     5.台灣自來水股份有限公司、臺北自來水事業處提供之企業用
      水及繳費等相關資料。
     6.勞動郭耙工保險局核定之投保人數及欠費等相關資料。
     7.其他介接機關提供之介接資料。

五、第一類至第三類使用單位為融資授信目的、資金媒合目的或辦理中小
  企業發展條例所定輔導業務，於執行特定職務必要範圍內，查調企業
  、其負責人之介接資料時，應分別取得其書面授權或電子授權，及蒐
  集個人資料告知事項暨個人資料提供同意書。

六、第一類至第三類使用單位取得書面授權之方式
  （一）書面授權方式分為下列兩種：
     1.企業代表人或其負責人填寫書面授權書，同意第一類至第三
      類使用單位於執行特定職務必要範圍內蒐集、處理及使用介
      接資料。
     2.企業代表人或其負責人親臨第一類至第三類使用單位時，由
      其於電子手寫裝置簽署授權書電子檔，同意該使用單位於執
      行特定職務必要範圍內蒐集、處理及使用介接資料。
  （二）第一類使用單位應確實審核企業與負責人身分及其授權資訊，
     並於取得其書面授權後，始可將書面授權書傳真，或將授權書
     電子檔傳送至聯徵中心備查。
  （三）第二類及第三類使用單位應確實審核企業與負責人身分及其授
     權資訊，並於取得其書面授權後，始可將書面授權書傳真，或
     將授權書電子檔傳送至本署備查。

七、第一類至第三類使用單位取得電子授權之方式
  （一）企業代表人或其負責人透過網際網路連線至第一類至第三類使
     用單位之資訊系統或數位服務頁面，利用電子憑證授權該使用
     單位於執行特定職務必要範圍內蒐集、處理及使用介接資料。
  （二）第一類使用單位應確實審核企業與負責人身分及其授權資訊，
     並於取得其電子憑證授權後，始可將授權資訊透過該使用單位
     之資訊系統傳送至聯徵中心備查。
  （三）第二類及第三類使用單位應確實審核企業與負責人身分及其授
     權資訊，並於取得其電子憑證授權後，始可將授權資訊透過該
     使用單位之資訊系統傳送至本署備查。

八、第一類至第三類使用單位之善良管理人注意義務
  （一）應對書面授權書及授權書電子檔之驗證結果及其真實性負責。
  （二）應確保電子憑證授權之授權資訊不被竄改，及具備不可否認性
     ，且其授權資訊可完整呈現並於日後取出查驗，並應對其驗證
     結果及真實性負責。

九、第四類使用單位由企業代表人、其負責人或資料使用者，透過網際網
  路連線至中小企業融資服務平台之數位服務頁面，填具電子申請表單
  ，並以其電子憑證，以本規範所定方式取得該企業、負責人之介接資
  料。

十、第四類使用單位應盡善良管理人注意義務，以確保其電子憑證與同意
  資訊不被竄改，及具備不可否認性，且其授權資訊可完整呈現並於日
  後取出查驗，並應對其驗證結果及真實性負責。

十一、第一類至第三類使用單位取得介接資料之方式如下：
   （一）第一類使用單位：
      1.經聯徵中心透過中小企業融資服務平台，介接國家發展委
       員會（以下簡稱國發會）「創新 E化服務—中小企業融資
       服務」取得第四點第二款第一目至第三目介接資料。
      2.經聯徵中心透過中小企業融資服務平台取得第四點第二款
       第四目至第六目介接資料。
      3.依各該介接機關指定方式取得第四點第二款第七目介接資
       料。
   （二）第二類及第三類使用單位：
      1.經中小企業融資服務平台，介接國發會「創新 E化服務－
       中小企業融資服務」取得第四點第二款第一目至第三目介
       接資料。
      2.經中小企業融資服務平台取得第四點第二款第四目至第六
       目介接資料。
      3.依各該介接機關指定方式取得第四點第二款第七目介接資
       料。

十二、第一類至第三類使用單位之介接資料交換標準介面如下：
   （一）第一類使用單位資料交換標準介面：
      1.建置企業服務匯流排介面（ESB），以 Web Services做為
       資料交換標準介面，並由 GSN開放特殊連線，與聯徵中心
       以VPN網路介接，專線連線通道應作加密處理。
      2.限聯徵中心透過 VPN網路及加密檔案傳輸軟體取得介接資
       料，供聯徵中心會員機構內部業務徵審、查調之用。
   （二）第二類及第三類使用單位資料交換標準介面係指建置企業服
      務匯流排介面（ESB），以 Web Services或SFTP做為資料交
      換標準介面，資料傳輸加密處理，並以本署規定之 VPN網路
      介接。

十三、第一類至第三類使用單位對於資料使用者之管理如下：
   （一）第一類使用單位之資料使用者，其指定與登記、帳號及密碼
      等相關管理規範由聯徵中心訂之。
   （二）第二類及第三類使用單位之資料使用者，其指定與登記、帳
      號及密碼等相關規定，應依資通安全責任等級分級辦法資通
      系統防護基準系統防護需求存取控制及識別與鑑別分級為「
      中」之控制措施辦理。

十四、經本署認定符合資格之第二類使用單位，得於執行特定職務必要範
   圍內，透過其合法專屬網路位址連線至本署控管之主機環境內運用
   沙盒伺服器資料，其運用方式如下：
   （一）需以自行設計之資料加值方式或運算加值資料之原始程式碼
      ，運用沙盒伺服器資料。
   （二）前款所稱資料加值方式及原始程式碼，應提經本署審核通過
      。

十五、第一類至第三類使用單位之查調管理責任
   （一）第一類至第三類使用單位應確實保存書面授權書、電子授權
      憑證及其相關授權資料、檔案及查調紀錄，保存期限應至少
      至特定目的消失後五年，其單位有更長之保存期限規定者，
      從其規定。所稱查調紀錄，包括但不限於查調者帳號、查調
      者IP、查調日期、時間等項目。
   （二）第一類至第三類使用單位於取得介接資料後，有未核貸、未
      媒合成功、未完成輔導業務或資料蒐集之特定目的消失，應
      於知悉後或事實發生之日起三十日內刪除介接資料。

十六、第一類至第三類使用單位之保密及保護義務：
   （一）於執行特定職務必要範圍內得蒐集、處理或利用介接資料，
      並應符合特定目的，不得對外公開、移轉或轉讓他人，亦不
      得傳送至國外。
   （二）第一類使用單位應依資通安全管理法、個人資料保護法、資
      訊安全作業規範、各介接機關訂定之系統安全及作業管制等
      資通安全管理規範使用介接資料及「財團法人金融聯合徵信
      中心及其會員透過中小企業融資服務平台介接公務及非公務
      機關電子資料使用管理辦法」等相關規範辦理介接資料之保
      密及保護。
   （三）第二類及第三類使用單位應依資通安全管理法、個人資料保
      護法、資訊安全作業規範、各介接機關訂定之系統安全及作
      業管制等資通安全管理規範辦理介接資料之保密及保護。

十七、介接資料使用單位及資料使用者對列印之紙本資料應負保管之責，
   妥善存放，確保資料不外流，並於使用完畢後，立即銷毀。

十八、介接資料使用單位及資料使用者若發現介接資料外洩、遭竊、遭竄
   改或遺失等情事，應立即向本署通報。經本署查證屬實者，即通報
   該介接資料所屬介接機關。

十九、介接資料使用單位及資料使用者對介接資料之使用，如有違法情事
   ，致當事人權益受損害者，應自負相關法律責任及損害賠償。

二十、本署應對介接資料使用單位之查調行為加以記錄、監控及稽核。查
   調記錄應至少包括查調者帳號、查調者IP、查調日期、時間、查調
   條件等項目，並留存至少五年。

二十一、本署應產製資安紀錄報表，定期與各介接機關、聯徵中心與第二
    類及第三類使用單位交叉比對查詢件數是否相符。

二十二、介接機關得不定期至本署調閱相關資料進行抽查，另本署及介接
    機關得不定期派員至介接資料使用單位調閱相關資料進行抽查，
    各使用單位不得拒絕。

二十三、聯徵中心應定期將第一類使用單位之各項查核結果彙整提供本署
    ，本署應於每年彙整後，函送介接機關備查。

二十四、第二類及第三類使用單位應辦理內部自行查核作業如下：
    （一）應指派查核人員，每月對於查調紀錄進行抽查，抽查比例
       如下：
       1.每月查調紀錄總筆數少於十筆者，應全數查核。
       2.每月查調紀錄總筆數逾十筆且不超過一萬筆者，應至少
        抽查百分之二，且抽查筆數不得少於十筆。
       3.每月查調紀錄總筆數逾一萬筆者，得就超過部分調降抽
        查比例至千分之五。
    （二）抽查時，查核人員應查核所調案件是否依規定程序辦理且
       符合業務所需，並應將查核結果作成查核報告，且查核報
       告應留存至少五年。

二十五、第二類及第三類使用單位應辦理內部稽核作業如下：
    （一）應定期辦理內部稽核作業，依資料敏感程度及雙方資通安
       全責任等級約定稽核次數，如有查調異常事項，得不定期
       進行稽核作業。
    （二）內部稽核作業應由業務單位會同政風單位及業務系統管理
       單位辦理，並作成稽核紀錄，稽核紀錄應至少留存五年。

二十六、第二類及第三類使用單位應定期將前二點所定查核報告及稽核紀
    錄提供本署，本署應於每年彙整後，函送介接機關備查。

二十七、介接資料使用單位如有違法或未依本規範進行查調之情事，本署
    將立即終止該單位使用本平台之一切權利，倘有侵害第三人權利
    致受有損害時，應自負相關法律責任及損害賠償。