December 2023
数位经济相关产业个人资料档案安全维护管理办法之简介(台湾)
2023.12
翁乃方、周靖媛
台湾数位发展部(「数发部」)依个人资料保护法第27条第3项授权,于2023年10月12日发布「数位经济相关产业个人资料档案安全维护管理办法」(「管理办法」)[1],并于发布日施行。管理办法重点如下:
一、规范对象:
依法应订定个人资料档案安全维护计画及业务终止后个人资料处理方法(「安全维护计画」)之业者包括下列行业之自然人、私法人及其他团体(管理办法第2条):
1. 从事以网际网路方式零售商品之行业(不含电视、广播、电话等其他电子媒介及邮购方式);
2. 软体出版业;
3. 电脑程式设计、咨询及相关服务业;
4. 从事代客处理资料、主机及网站代管以及相关服务之行业(不含线上影音串流服务);
5. 第三方支付服务业(不含其他金融辅助业);
6. 其他资讯服务业。
二、规范内容:
1. 业者应依其业务规模及特性,配置管理人员负责订定及修正个人资料保护管理政策及安全维护计画,及执行安全维护计画。对内须公开周知个人资料保护管理政策,使所属人员明确了解遵循。(管理办法第4、5条)
2. 业者应定期清查所搜集、处理或利用的个人资料现况,以利界定安全维护计画之范围。业者应定期评估可能产生的风险,进而根据风险评估结果,采行适当的安全措施。(管理办法第6、7条)
3. 业者应订定因应个人资料安全事故的应变、通报及预防机制。如业者遇到将危及其正常营运或大量当事人权益之个人资料安全事故,应于知悉该事故后72小时内使用规定表格通报数发部,或通报直辖市、县(市)政府时副知数发部。(管理办法第8条)
4. 业者应订定个人资料搜集、处理及利用之内部管理程序,以确保符合个人资料保护法的各项规定。(管理办法第9条)
5. 业者将个人资料作国际传输时应遵守法令限制,并告知当事人传输区域,并对资料接收方(包括受委托或复委托者)为适当之监督。(管理办法第10条)
6. 业者应实施各项资料安全维护措施,包括资料安全管理、人员管理、认知宣导及教育训练、设备安全等措施。(管理办法第11~14条)
7. 业者应持续检查及改善个人资料安全维护计画执行,包含订定个人资料安全稽核机制、保存纪录及轨迹资料至少五年、证据保存至少五年,以及个人资料安全维护计画之整体持续改善机制。(管理办法第15~17条)
8. 业者之资本额为新台币1,000万元以上或保有个人资料笔数达5,000笔以上者,部分安全措施应每12个月至少实施及检讨改善一次。(管理办法第18条)
三、违反罚则:
受规范业者若于2024年1月12日前未订定前述安全维护计画或未依管理办法采行适当之安全措施,依个人资料保护法第48条规定,数发部得处以业者2万元以上200万元以下罚锾;其情节重大者,更得处以15万元以上1,500万元以下之罚锾,提醒相关业者注意。
[1] 同时,为避免法规适用之问题,「网际网路零售业及网际网路零售服务平台业个人资料档案安全维护计画及业务终止后个人资料处理作业办法」已于今年11月21日废止。
翁乃方、周靖媛
台湾数位发展部(「数发部」)依个人资料保护法第27条第3项授权,于2023年10月12日发布「数位经济相关产业个人资料档案安全维护管理办法」(「管理办法」)[1],并于发布日施行。管理办法重点如下:
一、规范对象:
依法应订定个人资料档案安全维护计画及业务终止后个人资料处理方法(「安全维护计画」)之业者包括下列行业之自然人、私法人及其他团体(管理办法第2条):
1. 从事以网际网路方式零售商品之行业(不含电视、广播、电话等其他电子媒介及邮购方式);
2. 软体出版业;
3. 电脑程式设计、咨询及相关服务业;
4. 从事代客处理资料、主机及网站代管以及相关服务之行业(不含线上影音串流服务);
5. 第三方支付服务业(不含其他金融辅助业);
6. 其他资讯服务业。
二、规范内容:
1. 业者应依其业务规模及特性,配置管理人员负责订定及修正个人资料保护管理政策及安全维护计画,及执行安全维护计画。对内须公开周知个人资料保护管理政策,使所属人员明确了解遵循。(管理办法第4、5条)
2. 业者应定期清查所搜集、处理或利用的个人资料现况,以利界定安全维护计画之范围。业者应定期评估可能产生的风险,进而根据风险评估结果,采行适当的安全措施。(管理办法第6、7条)
3. 业者应订定因应个人资料安全事故的应变、通报及预防机制。如业者遇到将危及其正常营运或大量当事人权益之个人资料安全事故,应于知悉该事故后72小时内使用规定表格通报数发部,或通报直辖市、县(市)政府时副知数发部。(管理办法第8条)
4. 业者应订定个人资料搜集、处理及利用之内部管理程序,以确保符合个人资料保护法的各项规定。(管理办法第9条)
5. 业者将个人资料作国际传输时应遵守法令限制,并告知当事人传输区域,并对资料接收方(包括受委托或复委托者)为适当之监督。(管理办法第10条)
6. 业者应实施各项资料安全维护措施,包括资料安全管理、人员管理、认知宣导及教育训练、设备安全等措施。(管理办法第11~14条)
7. 业者应持续检查及改善个人资料安全维护计画执行,包含订定个人资料安全稽核机制、保存纪录及轨迹资料至少五年、证据保存至少五年,以及个人资料安全维护计画之整体持续改善机制。(管理办法第15~17条)
8. 业者之资本额为新台币1,000万元以上或保有个人资料笔数达5,000笔以上者,部分安全措施应每12个月至少实施及检讨改善一次。(管理办法第18条)
三、违反罚则:
受规范业者若于2024年1月12日前未订定前述安全维护计画或未依管理办法采行适当之安全措施,依个人资料保护法第48条规定,数发部得处以业者2万元以上200万元以下罚锾;其情节重大者,更得处以15万元以上1,500万元以下之罚锾,提醒相关业者注意。
[1] 同时,为避免法规适用之问题,「网际网路零售业及网际网路零售服务平台业个人资料档案安全维护计画及业务终止后个人资料处理作业办法」已于今年11月21日废止。
