January 2022
內政部指定營建類等九類非公務機關訂定個資安全維護辦法─明訂重大事故72小時通報義務與加強資安措施
2022.01
楊宜蓁
近年個資外洩事件頻傳,為落實個人資料保護,避免個資洩漏或遭竊損害民眾權益,內政部於2021年11月29日依個人資料保護法之授權,分別針對9類指定非公務機關訂定個人資料檔案安全維護管理辦法(下稱個資維護辦法或本辦法)。除了警政類非公務機關個資維護辦法於2021年11月3日發布施行外,其餘個資安全維護辦法均於2021年11月30日發布施行。
一、內政部於本次指定營建類、地政類、警政類等九類非公務機關訂定本辦法
本次內政部指定訂定本辦法之非公務機關類別,包含「警政類」、「營建類」、「地政類」、「移民業務機構」、「合作及人民團體類」、「宗教團體」、「政黨及全國性民政財團法人」、「祭祀團體」、「殯葬服務業」共九類。
由於辦法中就各類非公務機關之具體涵蓋範圍均已有明定,謹就「警政類」、「營建類」、「地政類」、「宗教團體」定義摘要如下:
二、本辦法適用於發布施行前「已成立」之非公務機關且需於6個月內報請備查
本次內政部訂定之個資維護辦法明定,本辦法發布施行前已成立或許可經營的非公務機關,應於本辦法發布施行日起6個月內訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法,並報請主管機關備查。
如為新成立之非公務機關,則應於成立或許可經營後6個月內完成相關計畫之報請備查義務。
三、遇有達到特定筆數之重大個資事故需於72小時內通報主管機關
依本次內政部訂定之個資維護辦法,所有經指定之非公務機關遇有達到特定筆數以上之個人資料事故時,均應於發現後「72小時」內,依「個人資料事故通報及紀錄表」格式通報所在地直轄縣市主管機關,並應副知中央主管機關。
依不同類別,非公務機關應通報之個人資料事故門檻可整理如下:
四、依資料庫保有個資達特定數量,額外要求應採取之資訊安全措施
本次內政部訂定之個資維護辦法也對於使用資通訊系統蒐集、處理或利用個資達一定筆數以上的非公務機關,額外要求應採取下列資訊安全措施(其中第五款及第六款所定措施,應定期演練及檢討改善):
(一) 使用者身分確認及保護機制
(二) 個資顯示之隱碼機制
(三) 網路傳輸安全加密機制
(四) 個資檔案及資料庫存取控制與保護監控措施
(五) 防止外部網路入侵對策
(六) 非法或異常使用行為的監控與因應等機制。
依資料庫不同類別,對應保有個資數量應採取資訊安全措施之門檻可整理如下:
五、個資安全維護檢查稽核紀錄與個人資料使用情況之留存義務
依本辦法規定,非公務機關應訂定個人資料安全維護稽核機制,並指定適當人員每半年至少進行一次本計畫及處理方法執行情形之檢查,檢查結果應向負責人提出報告,並留存相關紀錄,其保存期限至少五年。
另非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,應記錄其個人資料使用情況,留存軌跡資料或相關證據。軌跡資料、相關證據及紀錄除法令另有規定或契約另有約定外,應至少留存五年。
六、罰則
若非公務機關未依本辦法制定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,依個人資料保護法第48條第4款,將由中央目的事業主管機關或直轄縣市政府限期改正,屆期未改正者,按次處新台幣2萬元以上20萬元以下罰鍰。
楊宜蓁
近年個資外洩事件頻傳,為落實個人資料保護,避免個資洩漏或遭竊損害民眾權益,內政部於2021年11月29日依個人資料保護法之授權,分別針對9類指定非公務機關訂定個人資料檔案安全維護管理辦法(下稱個資維護辦法或本辦法)。除了警政類非公務機關個資維護辦法於2021年11月3日發布施行外,其餘個資安全維護辦法均於2021年11月30日發布施行。
一、內政部於本次指定營建類、地政類、警政類等九類非公務機關訂定本辦法
本次內政部指定訂定本辦法之非公務機關類別,包含「警政類」、「營建類」、「地政類」、「移民業務機構」、「合作及人民團體類」、「宗教團體」、「政黨及全國性民政財團法人」、「祭祀團體」、「殯葬服務業」共九類。
由於辦法中就各類非公務機關之具體涵蓋範圍均已有明定,謹就「警政類」、「營建類」、「地政類」、「宗教團體」定義摘要如下:
| 編號 | 非公務機關之類別 | 非公務機關之定義 |
| 1 | 營建類 | 一、營造業。 二、不動產開發業(註:指以銷售為目的,從事土地、建物等不動產投資興建之行業)。 三、建築師事務所。 四、公寓大廈管理維護公司。 五、都市更新業務財團法人。 六、其他經中央主管機關公告指定者。 |
| 2 | 地政類 | 一、不動產經紀業。 二、租賃住宅服務業。 三、不動產估價師事務所。 四、地政士事務所。 五、其他經中央主管機關公告指定者。 |
| 3 | 警政類 | 一、保全業。 二、當舖業。 三、槍砲彈藥刀械業。 四、其他經中央主管機關公告指定者。 |
| 4 | 宗教團體 | 已完成寺廟登記之寺廟或宗教財團法人。 |
二、本辦法適用於發布施行前「已成立」之非公務機關且需於6個月內報請備查
本次內政部訂定之個資維護辦法明定,本辦法發布施行前已成立或許可經營的非公務機關,應於本辦法發布施行日起6個月內訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法,並報請主管機關備查。
如為新成立之非公務機關,則應於成立或許可經營後6個月內完成相關計畫之報請備查義務。
三、遇有達到特定筆數之重大個資事故需於72小時內通報主管機關
依本次內政部訂定之個資維護辦法,所有經指定之非公務機關遇有達到特定筆數以上之個人資料事故時,均應於發現後「72小時」內,依「個人資料事故通報及紀錄表」格式通報所在地直轄縣市主管機關,並應副知中央主管機關。
依不同類別,非公務機關應通報之個人資料事故門檻可整理如下:
| 個人資料事故通報門檻 | 類別 |
| 150筆以上 | 移民業務機構類 |
| 500筆以上 | 祭祀團體類 |
| 1,000筆以上 | 營建類、地政類、殯葬服務業、政黨及全國性民政財團法人、合作及人民團體類 |
| 5,000筆以上 | 警政類、宗教團體類 |
四、依資料庫保有個資達特定數量,額外要求應採取之資訊安全措施
本次內政部訂定之個資維護辦法也對於使用資通訊系統蒐集、處理或利用個資達一定筆數以上的非公務機關,額外要求應採取下列資訊安全措施(其中第五款及第六款所定措施,應定期演練及檢討改善):
(一) 使用者身分確認及保護機制
(二) 個資顯示之隱碼機制
(三) 網路傳輸安全加密機制
(四) 個資檔案及資料庫存取控制與保護監控措施
(五) 防止外部網路入侵對策
(六) 非法或異常使用行為的監控與因應等機制。
依資料庫不同類別,對應保有個資數量應採取資訊安全措施之門檻可整理如下:
| 依資料庫保有個資數量應採取資訊安全措施之門檻 | 類別 |
| 1,000筆以上 | 移民業務機構類 |
| 3,000筆以上 | 祭祀團體類 |
| 5,000筆以上 | 警政類、營建類、合作及人民團體類 |
| 10,000筆以上 | 地政類、宗教團體類、殯葬服務業、政黨及全國性民政財團法人類 |
五、個資安全維護檢查稽核紀錄與個人資料使用情況之留存義務
依本辦法規定,非公務機關應訂定個人資料安全維護稽核機制,並指定適當人員每半年至少進行一次本計畫及處理方法執行情形之檢查,檢查結果應向負責人提出報告,並留存相關紀錄,其保存期限至少五年。
另非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,應記錄其個人資料使用情況,留存軌跡資料或相關證據。軌跡資料、相關證據及紀錄除法令另有規定或契約另有約定外,應至少留存五年。
六、罰則
若非公務機關未依本辦法制定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,依個人資料保護法第48條第4款,將由中央目的事業主管機關或直轄縣市政府限期改正,屆期未改正者,按次處新台幣2萬元以上20萬元以下罰鍰。
