2022.01
杨宜蓁
近年个资外泄事件频传,为落实个人资料保护,避免个资泄漏或遭窃损害民众权益,内政部于2021年11月29日依个人资料保护法之授权,分别针对9类指定非公务机关订定个人资料档案安全维护管理办法(下称个资维护办法或本办法)。除了警政类非公务机关个资维护办法于2021年11月3日发布施行外,其余个资安全维护办法均于2021年11月30日发布施行。
一、内政部于本次指定营建类、地政类、警政类等九类非公务机关订定本办法
本次内政部指定订定本办法之非公务机关类别,包含「警政类」、「营建类」、「地政类」、「移民业务机构」、「合作及人民团体类」、「宗教团体」、「政党及全国性民政财团法人」、「祭祀团体」、「殡葬服务业」共九类。
由于办法中就各类非公务机关之具体涵盖范围均已有明定,谨就「警政类」、「营建类」、「地政类」、「宗教团体」定义摘要如下:
| 编号 | 非公务机关之类别 | 非公务机关之定义 |
| 1 | 营建类 | 一、营造业。
二、不动产开发业(注:指以销售为目的,从事土地、建物等不动产投资兴建之行业)。 三、建筑师事务所。 四、公寓大厦管理维护公司。 五、都市更新业务财团法人。 六、其他经中央主管机关公告指定者。 |
| 2 | 地政类 | 一、不动产经纪业。
二、租赁住宅服务业。 三、不动产估价师事务所。 四、地政士事务所。 五、其他经中央主管机关公告指定者。 |
| 3 | 警政类 | 一、保全业。
二、当铺业。 三、枪炮弹药刀械业。 四、其他经中央主管机关公告指定者。 |
| 4 | 宗教团体
|
已完成寺庙登记之寺庙或宗教财团法人。 |
二、本办法适用于发布施行前「已成立」之非公务机关且需于6个月内报请备查
本次内政部订定之个资维护办法明定,本办法发布施行前已成立或许可经营的非公务机关,应于本办法发布施行日起6个月内订定个人资料档案安全维护计划及业务终止后个人资料处理方法,并报请主管机关备查。
如为新成立之非公务机关,则应于成立或许可经营后6个月内完成相关计划之报请备查义务。
三、遇有达到特定笔数之重大个资事故需于72小时内通报主管机关
依本次内政部订定之个资维护办法,所有经指定之非公务机关遇有达到特定笔数以上之个人资料事故时,均应于发现后「72小时」内,依「个人资料事故通报及纪录表」格式通报所在地直辖县市主管机关,并应副知中央主管机关。
依不同类别,非公务机关应通报之个人资料事故门坎可整理如下:
| 个人资料事故通报门坎 | 类别 |
| 150笔以上 | 移民业务机构类 |
| 500笔以上 | 祭祀团体类 |
| 1,000笔以上 | 营建类、地政类、殡葬服务业、政党及全国性民政财团法人、合作及人民团体类 |
| 5,000笔以上 | 警政类、宗教团体类 |
四、依资料库保有个资达特定数量,额外要求应采取之资讯安全措施
本次内政部订定之个资维护办法也对于使用资通讯系统搜集、处理或利用个资达一定笔数以上的非公务机关,额外要求应采取下列资讯安全措施(其中第五款及第六款所定措施,应定期演练及检讨改善):
(一) 使用者身分确认及保护机制
(二) 个资显示之隐码机制
(三) 网路传输安全加密机制
(四) 个资档案及资料库访问控制与保护监控措施
(五) 防止外部网路入侵对策
(六) 非法或异常使用行为的监控与因应等机制。
依资料库不同类别,对应保有个资数量应采取资讯安全措施之门坎可整理如下:
| 依资料库保有个资数量应采取资讯安全措施之门坎 | 类别 |
| 1,000笔以上 | 移民业务机构类 |
| 3,000笔以上 | 祭祀团体类 |
| 5,000笔以上 | 警政类、营建类、合作及人民团体类 |
| 10,000笔以上 | 地政类、宗教团体类、殡葬服务业、政党及全国性民政财团法人类 |
五、个资安全维护检查稽核纪录与个人资料使用情况之留存义务
依本办法规定,非公务机关应订定个人资料安全维护稽核机制,并指定适当人员每半年至少进行一次本计划及处理方法执行情形之检查,检查结果应向负责人提出报告,并留存相关纪录,其保存期限至少五年。
另非公务机关执行本计划及处理方法所定各种个人资料保护机制、程序及措施,应记录其个人资料使用情况,留存轨迹资料或相关证据。轨迹资料、相关证据及纪录除法令另有规定或契约另有约定外,应至少留存五年。
六、罚则
若非公务机关未依本办法制定个人资料档案安全维护计划或业务终止后个人资料处理方法,依个人资料保护法第48条第4款,将由中央目的事业主管机关或直辖县市政府限期改正,届期未改正者,按次处新台币2万元以上20万元以下罚款。