政府資訊公開法
臺北高等行政法院(行政),訴字,113年度,326號
TPBA,113,訴,326,20250827,1

臺北高等行政法院判決
高等行政訴訟庭第五庭
113年度訴字第326號
114年7月30日辯論終結
原 告 社團法人台灣人權促進會

代 表 人 涂予尹
訴訟代理人 郭怡青 律師
黃昱中 律師
被 告 內政部
代 表 人 劉世芳（部長）
訴訟代理人 李荃和 律師
陳怡君 律師
上列當事人間政府資訊公開法事件，原告不服行政院中華民國11
3年1月17日院臺訴字第1135000168號訴願決定，提起行政訴訟，
本院判決如下：
主 文
原告之訴駁回。
訴訟費用由原告負擔。
　　事實及理由
一、程序事項：
㈠本件原告起訴時，被告代表人原為林右昌，於訴訟進行中變 更為劉世芳，並具狀聲明承受訴訟（本院卷第137頁），核 無不合，應予准許。
㈡按行政訴訟法第111條第1項、第2項及第3項第2款規定：「（ 第1項）訴狀送達後，原告不得將原訴變更或追加他訴。但 經被告同意或行政法院認為適當者，不在此限。（第2項） 被告於訴之變更或追加無異議，而為本案之言詞辯論者，視 為同意變更或追加。（第3項）有下列情形之一者，訴之變 更或追加，應予准許：……二、訴訟標的之請求雖有變更，但 其請求之基礎不變。……」本件原告起訴時聲明原為：1.原處 分暨訴願決定均撤銷。2.被告就原告於民國112年3月17日之 申請，應作成准予提供以下政府資訊予原告之行政處分：⑴ 被告轄下持有戶役政資料之機關、單位名稱。⑵前款各單位 持有戶役政資料之欄位別。⑶內政部戶政司持有之戶政資料 之欄位別。⑷內政部調查外洩案經「加工」之欄位別。⑸被告 已知持有戶役政資料之私部門單位名稱。⑹107年迄今曾參與 戶役政資料介接之公、私部門清單。⑺107年迄今被告提供、 介接、使用戶役政資料之年度業務統計資料及研究報告（本 院卷第11-12頁）；嗣於訴訟進行中迭經變更或追加，最終



聲明則為：1.原處分暨訴願決定均撤銷。2.被告就原告於11 2年3月17日之申請，應作成准予提供以下政府資訊予原告之 行政處分：⑴被告轄下持有戶役政資料之機關、單位名稱（ 下或稱聲明請求事項⑴）。⑵前款各單位持有戶役政資料之欄 位別（下或稱聲明請求事項⑵）。⑶被告已知持有戶役政資料 之私部門單位名稱（下或稱聲明請求事項⑶）。⑷107年迄今 曾參與戶役政資料介接之公、私部門清單（下或稱聲明請求 事項⑷）。⑸107年迄今被告提供、介接、使用戶役政資料之 年度業務統計資料（下或稱聲明請求事項⑸，以上均見本院 卷第269-270、284、319-320頁)。經核其聲明請求事項⑴至⑷ 部分之請求之基礎不變（聲請請求事項⑸部分，詳如後述） ，且無礙訴訟終結及被告防禦，本院認為尚屬適當，應予准 許。　　
二、事實概要：
原告於112年3月17日去函（下稱系爭申請函）並填具申請書 （下稱系爭申請書）向被告提出申請，以據媒體報導110年1 0月間曾有高達約2,300萬筆來自我國之戶役政資料，在國外 論壇網站上遭人販售，案經多名立法委員質詢，被告於111 年1月10日承諾調查，並於2個月後公開調查報告，為協助公 民社會釐清戶役政資料介接現況、瞭解實際收受持有相關資 料欄位之公私部門，以提升公民參與監督，強化民主韌性， 依政府資訊公開法（下稱政資法）申請提供以下資料：1.該 部轄下有哪些機關或單位持有戶役政資料？各單位分別持有 戶役政資料哪些欄位？該部戶政司持有的戶政資料包含哪些 欄位？2.該部所知，有哪些私部門持有戶役政資料？3.自媒 體所報導之外洩年份即2018年迄今，曾參與介接戶役政資料 的單位（包含公私部門）有哪些？4.戶役政資料的內部稽核 措施、外部稽核措施、稽核紀錄保存期限。5.該部承諾立法 院完成的戶役政資料外洩調查報告。6.被告部長於112年3月 8日立法院備詢時，指出外洩之戶役政資料非原始資料，而 是經加工的資料，請問該部調查經過加工的外洩欄位有哪些 ？案經被告以112年4月18日台內戶字第1120014847號函（下 稱原處分）檢送被告112年2月24日台內資字第1120440788號 函送立法院之書面報告（即被告112年度內政資訊業務預算 凍結100萬元案解凍報告，下稱解凍報告）外，其餘則均予 否准。原告不服，提起訴願，經行政院113年1月17日院臺訴 字第1135000168號訴願決定（下稱訴願決定）駁回後，原告 猶不服，遂提起本件行政訴訟。
三、原告起訴主張及聲明：
　㈠主張要旨：




　1.原處分依刑事訴訟法（下稱刑訴法）第245條第1項、偵查不 公開作業辦法（下稱不公開辦法）第2條、第7條、政資法第 18條第1項第2款、第2項規定，拒絕原告之申請，顯有違誤 ，應予撤銷：
　 ⑴依最高行政法院102年度判字第147號判決意旨，可知政資 法相關規定，以資訊公開為原則，不公開為例外。基於政 府資訊公開之目的及例外解釋從嚴之法解釋原則，政資法 第18條第1項所列限制公開或不予提供之例外事由，應從 嚴解釋。次依最高行政法院108年度上字第930號判決內容 ，業已闡明政府資訊並非一與犯罪資料相關即得拒絕人民 申請公開，實已限縮政資法第18條第1項第2款之適用範圍 。
　 ⑵原告所申請提供之政府資訊，其內容均為被告依法處理或 業務上取得之戶役政資料「欄位別」及持有戶役政資料之 公私部門單位名單，實無涉「犯罪之偵查、追訴、執行」 ；且此等戶役政資料「欄位別」及持有戶役政資料之公私 部門單位名單之政府資訊，自無從「妨害刑事被告受公正 之裁判或有危害他人生命、身體、自由、財產」。是本件 申請，並無政資法第18條第1項第2款限制公開規定之適用 ，徵諸最高行政法院108年度上字第930號判決意旨，被告 不能以原告申請提供之內容與犯罪資料有關，或上述個資 外洩案已移送臺灣臺北地方檢察署（下稱臺北地檢署）偵 辦為由，即率爾拒絕原告之申請。
⑶原告向被告申請公開之項目，除已隨原處分提供之解凍報 告外，尚包括申請公開「該部轄下持有戶役政資料之機關 或單位」、「各單位分別持有戶役政資料之具體欄位」、 「該部戶政司所持有戶政資料之具體欄位」、「依該部所 知，持有戶役政資料之具體個人或團體等私部門」、「20 18年迄今，曾參與介接戶役政資料之具體單位（包含公、 私部門）」、「戶役政資料之內部稽核措施、外部稽核措 施、稽核紀錄、保存期限」等，以上申請公開之內容，無 一涉及具體個案，顯不該當政資法第18條第1項第2款所定 限制公開之要件，被告竟以該款規定為據，拒絕原告之申 請，若非昧於事實，即屬曲解法律，自不可採。退步言， 假設原告申請公開或提供之政府資訊與個資外洩案之偵查 、追訴、執行有關，然原處分對原告所申請之各項政府資 訊，何以有礙於個資外洩案之偵查，始終未置一語，亦無 具體解釋、說明，亦足見被告實無具體適法之理由拒絕原 告之申請，可見原處分之作成，顯係恣意推託，遑論有何 適用政資法第18條第1項第2款限制公開規定之空間。原處



分之作成，實屬被告裁量濫用，應予撤銷。
⑷依最高行政法院105年度判字第225號判決意旨，保有政資 法第18條所列資訊之政府機關，於受理人民申請提供該等 資訊時，自應本於法律賦予之裁量權限，就具體個案情形 判斷提供該項資訊所欲增進之公益，與不予提供該資訊而 維護之國家整體利益、公務執行的公益及個人隱私即人格 權保障之間何者重大，以求取平衡，方符法意。原處分僅 泛稱「為避免影響偵查，未便提供」，完全未就公開原告 申請提供之利益與不公開之利益間如何衡量，提出任何事 證或判斷標準來說明。徵諸最高行政法院105年度判字第2 25號判決意旨，原處分亦構成裁量怠惰之違法。 ⑸被告並非刑訴法及不公開辦法所定之偵查機關或偵查輔助 機關，自無不公開辦法之適用。原告請求之政府資訊亦非 臺北地檢署偵查所得之案件關係人個人資料或證據資料， 而是被告早已作成並持有之政府資訊。準此，原處分以刑 訴法第245條及不公開辦法第2條規定拒絕原告之申請，亦 非合法。綜上，被告以原處分拒絕原告之申請，除與政資 法第18條第1項第2款之要件不合，亦不適用刑訴法及不公 開辦法等規定，故原處分已違法，應予撤銷，被告自應依 原告之申請，提供政府資訊。
　2.縱令原告申請公開之政府資訊，涉及任何偵查中被告之個人 資料，被告仍有義務適用政資法第18條第2項規定，衡酌得 否施以區隔等防免揭露處置之方式後公開：
　　⑴依最高行政法院99年度判字第579號、102年度判字第147號 等判決意旨，業已說明政資法之相關規定自應以公開為原 則，不公開為例外。另依最高行政法院109年度判字第194 號判決內容，敘明政府資訊中雖含有限制公開或不予提供 之事項者，若可將該部分予以區隔，施以防免揭露處置， 已足以達到保密效果者，依政資法第18條第2項規定意旨 ，應就該其他部分公開或提供之（即資訊分離原則）。　　⑵原處分非但未就申請事項是否全數均應不予提供，抑或應 於施以區隔等防免揭露處置後公開等事，從事具體利益衡 量，甚至直接以政資法第18條第2項為據，駁回原告之申 請，其所作所為，完全背離政資法第18條第2項有關資訊 分離原則之理念，顯不可採。是原處分不附理由即以政資 法第18條第2項規定，拒絕原告之申請，顯已構成裁量濫 用，應予撤銷。
　3.依政資法第9條第1項規定，原告自具請被告提供聲明所列政 府資訊之權利；原告聲明請求各事項，符合系爭申請函所申 請之各項政府資訊，與訴願前置主義無違，亦即：聲明請求



事項⑴即為系爭申請函所載「貴部轄下有哪些機關或單位持 有戶役政資料」，聲明請求事項⑵即為系爭申請函所載「各 單位分別持有戶役政資料哪些欄位」，聲明請求事項⑶即為 系爭申請函所載「有哪些私部門持有戶役政資料」，聲明請 求事項⑷即為系爭申請函所載「2018年迄今，曾參與介接戶 役政資料的單位（包含公私部門）有哪些」，聲明請求事項 ⑸即為系爭申請函所載「戶役政資料的內部稽核措施、外部 稽核措施、稽核紀錄保存期限」。
　4.又依被告發布之「應用戶役政資訊系統安全稽核要點」（下 稱稽核要點）第2、3、5、6、8、9點規定，賦予被告遵循依 該稽核要點實施定期稽核之項目及程序，可見被告進行定期 稽核後，理應及顯已持有原告聲明請求事項⑴至⑸之政府資訊 如稽核結果及稽核紀錄表，且屬於政資法第7條第1項第5款 所定之業務統計資料，也屬於檔案法第2條第1項第2款所定 義之檔案，依最高行政法院110年度上字第523號判決等實務 見解，被告自應依原告申請，予以公開，要不能謊稱該等資 訊並不存在，或以原告無權請求提供為由拒絕公開；反之， 若被告未持有該等資訊，顯示被告內部已構成未依法定期稽 核之違法，被告自應法補正實施稽核程序及相關紀錄後，再 依原告申請提供政府資訊，而非放任其未依法定期稽核之違 法狀態，又扭曲事實辯稱該等資訊不存在。
　5.依被告答辯內容、行政院檔案卷內資料如被告線上資料查詢 資料項目表之資料種類，就是各級機關及連結機關申請戶役 政資訊應用時所填具之資料，被告身為戶役政資訊主管機關 ，並有核准授權各級機關及連結機關申請使用戶役政資訊之 權限，可見其於原告申請時，即已知悉並持有其曾核准授權 各級機關或連結單位申請戶役政資料應用之紀錄，卻辯稱該 等資訊不存在，實無理由；又被告曾製作「106年1月至107 年4月提供磁性媒體交互連結機關一覽表」，其後所為函文 亦記載該一覽表內容包括：機關名稱、交換媒體、交換週期 、資料項目、資料範圍及業務目的等政府資訊，足證其持有 相關政府資訊，其亦有承認其存有轄下持有戶役政資料之機 關、單位名稱、戶政資料欄位之相關政府資訊。　 ㈡聲明：
　1.原處分暨訴願決定均撤銷。
　2.被告就原告於112年3月17日之申請，應作成准予提供以下政 府資訊予原告之行政處分：
　　⑴被告轄下持有戶役政資料之機關、單位名稱。　　⑵前款各單位持有戶役政資料之欄位別。
　　⑶被告已知持有戶役政資料之私部門單位名稱。



　　⑷107年迄今曾參與戶役政資料介接之公、私部門清單。　　⑸107年迄今被告提供、介接、使用戶役政資料之年度業務統 計資料。
四、被告答辯及聲明：
　㈠答辯要旨：
　1.關於原告聲明請求事項⑸之部分：
　　就此事項，原告未依法填具申請書向被告申請，被告亦未曾 就此作成任何駁回之行政處分，甚於訴願程序中，原告亦未 曾提及於此，本非其訴願聲明之範圍，原告將該事項納入本 件訴訟之聲明，顯與行政訴訟法第5條第2項課予義務訴訟之 規定不符，亦有違訴願前置主義，該部分應以裁定駁回之。 再者，被告依職務需求，並無作成原告所述之年度業務統計 資料及研究報告，是該等資料亦非被告機關職權範圍內作成 或取得而實質存在於被告檔案庫之政府資訊範疇，依法亦無 作成之法定義務，礙難提供。
　2.關於原告聲明請求事項⑴至⑷之部分，均非屬被告於職權範圍 內作成或取得，而非以政資法第3條規定之形式存在於被告 檔案庫中之資訊，就此政資法並未賦予原告得請求被告作成 其所述資訊之權利，被告亦無應其要求作成該等政府資訊之 義務，是被告依法駁回申請，洵屬合法：
　 ⑴關於「被告轄下持有戶役政資料之機關、單位名稱」（按 ：即聲明請求事項⑴）、「前款各單位持有戶役政資料之 欄位別」（按：即聲明請求事項⑵）之部分：
　　 被告所屬機關（單位）持有之資料，可能係民眾申辦案件 時主動提供並由機關（單位）自行建置於系統，或依被告 訂定之「各機關申請提供戶籍資料及親等關聯資料辦法」 （下稱申請戶親辦法）之規定，向被告或地方戶政機關申 請應用戶政資料，惟被告所屬機關（單位）取得資料後， 亦可能依相關規定銷毀原始資料，因此究有哪些機關（單 位）仍實際持有戶政資料？持有哪些欄位？實非屬被告職 權範圍內作成或取得而存在之訊息；另各機關依申請戶親 辦法規定，向被告申請應用戶政資料，經被告依法審查後 同意提供，核被告之職務內容，並無就現有資料進行相關 整理與統計之需求，且依法亦無應任何民眾基於任何目的 之要求而必須作成該等政府資訊之法定義務。至於各機關 依申請戶親辦法規定申請應用戶政資料，其可申請之資料 項目，均公告於被告之戶政司全球資訊網／公開資訊／機關 連線資訊。
⑵關於「被告已知持有戶役政資料之私部門單位名稱」（按 ：即聲明請求事項⑶）之部分：




　 依申請戶親辦法第3條第1項規定可知，私部門無法向被告 申請應用戶政資料，從而，有關原告所詢有哪些私部門持 有戶政資料，非屬被告職權範圍內作成或取得而存在之訊 息。
⑶關於「107年迄今曾參與戶役政資料介接之公、私部門清單 」（按：即聲明請求事項⑷）之部分：
　 依申請戶親辦法第3條規定，申請機關包括全部中央與地 方各級機關，均得依相關規定，向被告申請應用戶政資料 ，因此中央與地方各級機關公部門，均於得取得戶政資料 之清單中，被告無另行作成統計資料。另依申請戶親辦法 規定，私部門無法向被告申請應用戶政資料，是有哪些私 部門曾參與介接戶政資料等資訊，亦非屬被告職權範圍內 作成或取得而實質存在之訊息。就原告主張稽核之公、私 部門清單部分，因所有公部門都可依被告訂定之稽核要點 進行申請，稽核之公部門清單即為所有之公部門，而因私 部門無法連接被告之戶政資訊系統，因此未對私部門進行 稽核，亦無所謂私部門之稽核清單。
　3.原告於114年7月1日準備程序中，主張被告應提出對於內部 稽核辦法及依稽核要點，取得被告之稽核紀錄及稽核情形， 惟原告所提聲明，無可對應此項請求，上開請求亦非原告申 請函及訴願聲明之請求範圍，與行政訴訟法第5條第2項及訴 願前置主義有悖，原告就此主張，顯非適法。另各申請應用 資料之機關，應自行依個人資料保護法及資通安全管理法等 相關規定，妥善處理、管理取得之資料，為使各機關應用戶 政資料，落實資訊安全管理及個資保護，被告訂定稽核要點 ，其中第13點規範各申請應用資料之機關，應自行訂定稽核 程序措施、稽核紀錄保存年限及稽核結果追蹤處理等相關程 序，是以戶役政資料之內部稽核措施、外部稽核措施及稽核 紀錄保存年限等，係由各該核准應用資料之機關自行訂定， 非屬被告職權範圍內作成或取得而存在之訊息。　4.有關原告之申請事項，經被告逐一審視其申請時所提供之資 訊，實無從依原告系爭申請函之資訊，判斷並知悉其所詢資 訊係由我國何政府機關作成或取得，自難依政資法第17條函 轉其他政府機關處理並通知原告，遂依法駁回申請，於法並 無違誤。
　㈡聲明：原告之訴駁回。
五、本院之判斷：
㈠前提事實：
　　前揭事實概要欄之事實，有原告法人登記證書（本院卷第25 頁）、系爭申請函（本院卷第121-122頁）、系爭申請書（



本院卷第127-128頁）、原處分（本院卷第103-104頁）、解 凍報告（本院卷第105-110頁）及訴願決定（本院卷第113-1 20頁）在卷可稽，堪可認定。
㈡應適用之法令及法理：
1.按為建立政府資訊公開制度，便利人民共享及公平利用政府 資訊，保障人民知的權利，增進人民對公共事務之瞭解、信 賴及監督，並促進民主參與，訂有政資法。依該法第3條規 定：「本法所稱政府資訊，指政府機關於職權範圍內作成或 取得而存在於文書、圖畫、照片、磁碟、磁帶、光碟片、微 縮片、積體電路晶片等媒介物及其他得以讀、看、聽或以技 術、輔助方法理解之任何紀錄內之訊息。」可知，所謂「政 府資訊」乃指政府機關於職權範圍內作成或取得而存在之訊 息。政府機關作成或取得「政府資訊」，固不分係基於公權 力行政或私經濟行政而為，然須係政府機關職權範圍內已作 成或取得，而以政資法第3條規定之方式存在者，始屬該法 規範之對象。故雖屬政府機關職權範圍內業務，然機關未有 以政資法第3條所規定之形式存在之資訊時，該法並未賦予 人民得請求政府機關作成之權利，政府機關亦無應其要求作 成政府資訊之義務（最高行政法院109年度判字第1284號、 第155號、107年度判字第468號等判決參照）。又依政資法 第9條第1項規定：「具有中華民國國籍並在中華民國設籍之 國民及其所設立之本國法人、團體，得依本法規定申請政府 機關提供政府資訊。持有中華民國護照僑居國外之國民，亦 同。」第18條第1項規定：「政府資訊屬於下列各款情形之 一者，應限制公開或不予提供之：一、經依法為國家機密或 其他法律、規定應秘密事項或限制、禁止公開者。二、公開 或提供有礙犯罪之偵查、追訴、執行或足以妨害刑事被告受 公正之裁判或有危害他人生命、身體、自由、財產者。三、 政府機關作成意思決定前，內部單位之擬稿或其他準備作業 。但對公益有必要者，得公開或提供之。四、政府機關為實 施監督、管理、檢（調）查、取締等業務，而取得或製作監 督、管理、檢（調）查、取締對象之相關資料，其公開或提 供將對實施目的造成困難或妨害者。五、有關專門知識、技 能或資格所為之考試、檢定或鑑定等有關資料，其公開或提 供將影響其公正效率之執行者。六、公開或提供有侵害個人 隱私、職業上秘密或著作權人之公開發表權者。但對公益有 必要或為保護人民生命、身體、健康有必要或經當事人同意 者，不在此限。七、個人、法人或團體營業上秘密或經營事 業有關之資訊，其公開或提供有侵害該個人、法人或團體之 權利、競爭地位或其他正當利益者。但對公益有必要或為保



護人民生命、身體、健康有必要或經當事人同意者，不在此 限。八、為保存文化資產必須特別管理，而公開或提供有滅 失或減損其價值者。九、公營事業機構經營之有關資料，其 公開或提供將妨害其經營上之正當利益者。但對公益有必要 者，得公開或提供之。」準此，人民申請提供政府資訊時， 受申請機關除有政資法第18條所規定，應限制公開或不予提 供之情形外，即應提供。亦即依前開規定及說明，須以原告 所申請之政府資訊，係被告於職權範圍內作成或取得，而以 政資法第3條所稱之方式存在，又無該法第18條應限制公開 或不予提供情形，被告始有提供之義務。
　2.又關於課予義務訴訟事件，行政法院係針對「法院裁判時原 告之請求權是否成立、行政機關有無行為義務」之爭議，依 法作成判斷。故其判斷基準時點，非僅以作成處分時之事實 及法律狀態為準，事實審法院言詞辯論程序終結時之事實狀 態的變更，以及法律審法院裁判時之法律狀態的變更，均應 綜合加以考量，以為判斷。裁判基準時決定後，將在此基準 時點以前所發生之事實及法律狀態的變化納入考慮範圍，解 釋個案應適用之實體法規定及法律適用原則以為法律適用作 成裁判（最高行政法院109年度大字第3號裁定理由三、(一) 1.參照）。再按行政訴訟採職權調查原則，行政法院應依職 權調查事實關係，不受當事人主張之拘束（行政訴訟法第12 5條第1項參照），行政機關之追補理由既有助於法院發現客 觀事實與法律依據，且符合訴訟（程序）經濟之要求。因此 ，於「未改變行政處分之本質與結果（同一性）」、「須屬 於裁判基準時已存在之理由」、「無礙當事人之攻擊防禦（ 程序保障權利）」及「須由行政機關自行追補理由」之前提 下，自得允許行政機關於行政訴訟中追補行政處分之理由及 其法律依據（最高行政法院108年度判字第232號判決參照） 。經查，本件原處分固係以：有關個資外洩案，目前法務部 調查局已移送臺北地檢署偵辦，並由其持續追查。依刑訴法 第245條第1項、不公開辦法第2條、第7條、政資法第18條第 1項第2款及第2項等規定，隨函檢送解凍報告，其餘資料基 於案件調查中，為避免影響偵查，未便提供等語，而否准原 告之申請（本院卷第103-104頁）。惟原告既提起本件課予 義務訴訟，請求判決被告應依原告於112年3月17日之申請， 應作成准予提供聲明請求事項⑴至⑸之政府資訊予原告之行政 處分，則被告於本院審理中，業已補陳前述答辯要旨之內容 ，原告就該等內容亦已知悉而提出相關書狀及陳述回應（本 院卷第211-220、229-233、241-244、259-261、263-266、2 69-272、283-298、319-324頁），經核與上述「未改變行政



處分之本質與結果（同一性）」、「須屬於裁判基準時已存 在之理由」、「無礙當事人之攻擊防禦（程序保障權利）」 及「須由行政機關自行追補理由」之前提無違，又有助於本 院發現客觀事實與法律依據，且符合訴訟程序經濟之要求， 自應准許被告為上開理由之追補，先予敘明。
㈢被告訂定稽核要點之目的、重點及核心：　　　1.被告為落實資訊安全管理及個人資料保護，並促使各機關應 用戶役政資訊系統符合其相關資訊安全管理規定，故訂定性 質上屬於行政規則之稽核要點，其中第2點規定：「（第1項 ）本要點之主管機關：在中央為本部；在直轄市為直轄市政 府；在縣（市）為縣（市）政府。（第2項）各級主管機關 應分別組成稽核小組，依本要點執行稽核作業。」第3點規 定：「稽核小組之組成及任務：㈠戶政：1、本部之稽核小組 由本部戶政司、資訊服務司及政風處組成，執行直轄市、縣 （市）政府、鄉（鎮、市、區）之戶政機關、本部連結機關 、資料持有、使用機關及戶役政資訊系統委外廠商之外部稽 核作業。對持有全國性資料之連結機關，得洽請資訊安全專 業機關（構），會同執行外部稽核作業。2、直轄市、縣（ 市）主管機關（以下簡稱地方主管機關）之稽核小組由直轄 市、縣（市）民政局（處）召集相關單位組成，執行所屬戶 政事務所、連結機關及涉戶政資訊系統作業相關委辦機關或 委外廠商之外部稽核作業。㈡役政：1、本部之稽核小組由本 部役政司、替代役訓練及管理中心等相關單位組成，執行直 轄市、縣（市）政府、鄉（鎮、市、區）之役政機關及本部 連結機關之外部稽核作業。2、地方主管機關之稽核小組由 直轄市、縣（市）役政單位召集相關單位組成，執行所轄公 所、連結機關及涉役政資訊系統作業相關委辦機關或委外廠 商之外部稽核作業。」第5點規定：「稽核頻率：㈠內部稽核 ：各級戶役政機關、連結機關、資料持有、使用機關及涉戶 役政資訊系統作業相關之委辦機關或委外廠商，每半年至少 辦理1次。㈡外部稽核：1、本部對持有全國性戶役政資料連 結機關、地方主管機關及戶役政資訊系統委外廠商，每年至 少辦理1次外部稽核，對其他連結機關每5年至少辦理1次。2 、地方主管機關對所屬戶政事務所、所轄鄉（鎮、市、區） 公所、連結機關及涉戶役政資訊系統作業相關之委辦機關或 委外廠商，每年至少辦理1次。3、中央及直轄市、縣(市)各 連結機關對資料持有、使用機關及涉戶役政資訊系統作業相 關之委辦機關或委外廠商，每半年至少辦理1次。」第6點規 定：「稽核重點：㈠對各級戶役政機關之稽核包括資通訊設 備及網路連線管理、工作站及行動工作站使用管理、可攜式



儲存媒體使用管理、存取控制、資訊安全事故管理、遵循性 及其他事項。㈡對連結機關之稽核包括人力資源、人員安全 管制、帳號密碼管理、資料管理機制、線上資料查詢、檔案 傳輸、查核及稽核落實情形、資通安全教育訓練及其他事項 。㈢對委辦機關或委外廠商之稽核包括人力資源、人員安全 管制、實體與環境安全、通訊與作業管理、存取控制、資訊 安全事故管理及契約文件各項資訊安全相關規定。㈣各級戶 役政機關應將使用外機關查詢系統納入稽核範圍。」第8點 規定：「本部對地方主管機關稽核程序及稽核結果追蹤處理 ：㈠排定至各直轄市、縣（市）政府及擇定其所屬戶政事務 所、所轄鄉（鎮、市、區）公所稽核之時程，並將稽核計畫 函知各直轄市、縣（市）政府。㈡以實地訪談、觀察與抽查 紀錄及表單方式進行稽核為原則。但遇有特殊情況者，得以 書面結合視訊方式為之。受稽核機關應配合提供相關資料。 ㈢完成稽核作業後，應將稽核結果、說明及應改善事項詳實 記錄於稽核紀錄表（附件一），經受稽核機關確認簽章。㈣ 直轄市、縣（市）政府受稽核結果，如有不符合事項，應依 稽核結果及應改善事項進行改善，並於受稽核日次一工作日 起7日內提出改善措施及預定完成日期，填列於改善措施紀 錄單（附件二），經主管簽章後，函送本部，並於預定完成 期限內執行改善完畢後，檢附相關證明文件函送本部辦理書 面複核。㈤戶政事務所、鄉（鎮、市、區）公所受稽核結果 ，如有不符合事項，應依稽核結果及應改善事項進行改善， 並於受稽核日次一工作日起7日內提出改善措施及預定完成 日期，填列於改善措施紀錄單，經主管簽章後，函送直轄市 、縣（市）政府，並於預定完成期限內改善完畢後，檢附相 關文件函送直轄市、縣（市）政府；直轄市、縣（市）政府 應於文到次日起1個月內實地辦理複核，並於改善措施紀錄 單填列複核結果，函送本部備查。」第9點規定：「本部對 連結機關稽核程序及稽核結果追蹤處理：㈠擇定受稽核機關 並排定稽核行程，申請全國性戶役政資料之連結機關原則全 數納入稽核，其他連結機關稽核擇定原則包括但不限於下列 各款：1、近2年使用戶役政資訊之資料量較多者。2、近2年 曾經不當使用戶役政資訊者或查有資料未銷毀情事者。3、 近3年曾受稽核，稽核結果不符合事項較多，或應改善事項 尚未完成者。4、近5年未曾接受稽核者。5、查有承辦人員 、專責人員或單位主管異動未通知本部者。㈡函知受稽核機 關稽核時程。受稽核機關應先自評並填寫連結機關應用戶役 政資訊連結作業稽核自我評審表（附件三），依期限函復。 ㈢進行實地稽核，受稽核機關應配合提供相關資料。但相關



資料屬受稽核機關應保守之秘密或有其他法定原因者，不在 此限。完成稽核作業後，應將稽核結果、說明及應改善事項 詳實記錄於稽核紀錄表（附件四）。㈣將稽核結果函知受稽 核機關。稽核結果如有不符合事項，受稽核機關應於受稽核 結果通知後30日內提出改善報告，內容應包含改善期限、改 善方式及列管作業，並依改善報告內容函復改善情形。屆期 未提出或未改善者，應停止連結提供資料。㈤稽核發現缺失 涉及戶政資料嚴重外洩者，責受稽核機關依資通安全事件通 報及應變辦法規定之程序辦理。㈥定期追蹤受稽核機關改善 情形，追蹤處理程序如下：1、將當年稽核結果之不符合事 項，填列稽核結果及改善情形追蹤表（附件五）。2、每半 年查證受稽核機關應改善事項完成情形，受稽核機關完成全 部應改善事項，始解除追蹤列管。㈦完成稽核作業後，如有 發生其他缺失情形，受稽核機關仍應限期提出改善報告。屆 期未提出或未改善者，應停止連結提供資料。」又上開規定 中所稱附件一之稽核紀錄表所載之稽核項目則有：1.資通訊 設備網路連線管理（項下再分有2細項）。2.工作站及行動 工作站使用管理（項下再分有2細項）。3.可攜式儲存媒體 使用管理（項下再分有2細項）。4.存取控制（項下再分有6 細項）。5.資訊安全事故管理（項下再分有2細項）。6.遵 循性（項下再分有15細項）。又所載之稽核結果則有符合、 不符合、不適用等3種結果以資勾選；所稱附表二之改善措 施紀錄單則有：「不符合事項問題描述」、「不符合事項原 因分析」、「改善措施」、「執行結果」、「複核結果」等 欄位；所稱附件三之稽核自我評審表所載之稽核項目則有： 1.人力資源、人員安全管制（項下再分有6細項）。2.帳戶 密碼管理（項下再分有13細項）。3.資料管理機制（項下再 分有4細項）。4.線上資料查詢（項下再分有5細項）。5.檔 案傳輸（項下再分有5細項）。6.查核及稽核落實情形（項 下再分有6細項）。7.資通安全教育訓練。8.管理規定。又 所載之自我評審則有符合、不符合、不適用等3種結果以資 勾選；所稱附件四之稽核紀錄表所載之稽核項目則有：1.人 力資源、人員安全管制（項下再分有6細項）。2.帳戶密碼 管理（項下再分有13細項）。3.資料管理機制（項下再分有 4細項）。4.線上資料查詢（項下再分有8細項）。5.檔案傳 輸（項下再分有5細項）。6.查核及稽核落實情形（項下再 分有6細項）。7.資通安全教育訓練。又所載之稽核結果則 有符合、不符合、不適用等3種結果以資勾選；所稱附件五 之稽核結果及改善情形追蹤表則有：「編號」、「年度」、 「稽核型式」、「改善事項」、「不符合原因分析」、「改



善措施」、「處理單位/人員「、改善措施單」、「相關佐 證資料」、「預計完成日」、「是否完成」、「實際完成日 期」、「複核、查證結果」、「備註」等欄位。　2.綜觀上開稽核要點第2、3、5、6、8、9點之規定、附件一之 稽核紀錄表所載之稽核項目及稽核結果、附件二之改善措施 紀錄單所載欄位、附件三之稽核自我評審表所載之稽核項目 及自我評審、附件四之稽核紀錄表所載之稽核項目及稽核結 果、附件五之稽核結果及改善情形追蹤表所載欄位，可知被 告為稽核要點所稱之中央主管機關，固有依該要點組成稽核 小組對各級戶政機關、連結機關、資料持有、使用機關、涉 及戶役政資訊系統作業相關之委辦機關等為執行定期外部稽 核作業，然此均僅及於稽核主體對稽核對象於個別受稽核時 之稽核方式，之後再對該個別受稽核對象提出稽核結果報告 予以檢討改進或複核，此觀之前述附件一之稽核紀錄表、附 表二之改善措施紀錄單、附件三之稽核自我評審表、附件四 之稽核紀錄表及附件五之稽核結果及改善情形追蹤表所載之 前開內容，皆僅係對個別受稽核對象所為，即可得悉，顯見 稽核要點規範之目的、重點及核心，在於稽核主體對於稽核 對象在個別接受定期稽核時，有無妥適落實資訊安全管理及 個人資料保護，而無涉稽核主體需對該等個別受稽核對象負