2023.07
白梅芳、郭彦含
经济部于今(112)年5月23日预告将依个人资料保护法第27条第3项授权,订定「综合商品零售业个人资料档案安全维护管理办法(以下称「草案」)」,要求百货公司、量贩店、超市及超商等综合零售业,其资本额达新台币1000万元以上并有招募会员或取得交易对象个人资料,或受经济部指定者(以下称「业者」),应订定「个人资料档案安全维护计画(以下称「安全维护计画」)」,落实个人资料安全维护,重点内容如下。
1. 业者应依其业务规模及特性,衡酌经营资源之合理分配,规划、订定、检讨与修正个人资料安全维护措施,并指定负责之专责人员。(草案第四条至第五条)
2. 业者应依搜集个人资料之特定目的,定期清查所保有之个人资料现况,并为适当之处置。(草案第七条)
3. 业者将个人资料为国际传输前,应检视是否受中央主管机关限制,并告知当事人拟传输之国家或区域。(草案第八条)
4. 业者应订定资料安全管理及人员管理措施、资讯安全措施、设备安全管理措施、业务终止后个人资料处理方法,并定期对员工进行认知宣导及教育训练。(草案第九条至第十一条、第十三条、第十六条)
5. 业者保有之个人资料发生被窃取、泄漏、窜改或其他侵害事故时,应于72小时内通知主管机关,并以适当方式通知消费者。(草案第十二条)
6. 业者应订定资料安全稽核机制,指定查核人员定期稽核安全维护计画之执行情形及成效,并由其向公司代表人报告。(草案第十四条)
7. 业者应留存个人资料之使用纪录、机器设备轨迹资料及其他证据资料至少5年。(草案第十五条)
8. 业者委托他人搜集、处理或利用个人资料,应对受托人为适当之监督,并于委托契约或相关文件中,明确约定其内容。(草案第十九条)
9. 业者利用个人资料为宣传、推广或行销时,应明确告知消费者业者立案名称及个人资料来源,并提供消费者表示拒绝接受宣传、推广或行销之方式,一旦消费者表示拒绝,应立即停止利用其个人资料。 (草案第二十条)
依草案规划,业者应于正式办法发布后六个月内完成订定「个人资料档案维护计画」,业者若未订定前述安全维护计画或未依管理办法采行适当之安全措施,依今年5月31日修正公告之个人资料保护法第48条,得处2万元以上200万元以下罚锾;情节重大者,得处15万元以上1,500万元以下罚锾,提醒相关业者注意。
本网站上所有资料内容(「内容」)均属理慈国际科技法律事务所所有。本所保留所有权利,除非获得本所事前许可外,均不得以任何形式或以任何方式重制、下载、散布、发行或移转本网站上之内容。
所有内容仅供作参考且非为特定议题或具体个案之法律或专业建议。所有内容未必为最新法律及法规之发展,本所及其编辑群不保证内容之正确性,并明示声明不须对任何人就信赖使用本网站上全部或部分之内容,而据此所为或经许可而为或略而未为之结果负担任何及全部之责任。撰稿作者之观点不代表本所之立场。如有任何建议或疑义,请与本所联系。