2022.02
黄郁婷、郭彦含
经济部于110年12月30日修正「网际网路零售业及网际网路零售服务平台业个人资料档案安全维护计划及业务终止后个人资料处理作业办法」(以下简称「本办法」),增订有关网际网路零售业及网际网路零售服务平台业(以下简称「网路零售业及平台」)个人资料重大事故通报及国际传输之规定。
网路零售业及平台若发生个人资料遭窃取、窜改、毁损、灭失或泄漏,且危及业者正常营运或大量当事人权益之重大个资事故,应自发现事故时起72小时内,依本办法所附之「个人资料侵害事故通报与纪录表」,以电子邮件方式通报总机构所在地直辖市或县(市)主管机关及副知经济部,并应视案情发展适时通报处理情形,以及将整体查处过程、结果与检讨等函报总机构所在地直辖市或县(市)主管机关并副知经济部。
此外,本办法并增订网路零售业及平台若要将消费者个人资料作国际传输,应先检视传输之区域是否受经济部限制,并且应事先告知消费者其个人资料所欲国际传输之区域,同时也要对国际传输之资料接收方进行监督,包含预定处理或利用个人资料之范围、类别、特定目的、期间、地区、对象及方式,以及确保消费者得依个人资料保护法(以下简称「个资法」)第三条行使权利。
本办法适用于从事网际网路零售业或网际网路零售服务平台业,且登记资本额1000万元以上之股份有限公司,或受经济部指定之公司或商号。业者若违反本办法之规定,主管机关除得依个资法处以罚款外,并得禁止业者搜集、处理或利用个人资料,命令删除、没入及销毁违法搜集之个人资料,并公布业者及其负责人姓名。