December 2023
數位經濟相關產業個人資料檔案安全維護管理辦法之簡介(臺灣)
2023.12
翁乃方、周靖媛
臺灣數位發展部(「數發部」)依個人資料保護法第27條第3項授權,於2023年10月12日發布「數位經濟相關產業個人資料檔案安全維護管理辦法」(「管理辦法」)[1],並於發布日施行。管理辦法重點如下:
一、規範對象:
依法應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法(「安全維護計畫」)之業者包括下列行業之自然人、私法人及其他團體(管理辦法第2條):
1. 從事以網際網路方式零售商品之行業(不含電視、廣播、電話等其他電子媒介及郵購方式);
2. 軟體出版業;
3. 電腦程式設計、諮詢及相關服務業;
4. 從事代客處理資料、主機及網站代管以及相關服務之行業(不含線上影音串流服務);
5. 第三方支付服務業(不含其他金融輔助業);
6. 其他資訊服務業。
二、規範內容:
1. 業者應依其業務規模及特性,配置管理人員負責訂定及修正個人資料保護管理政策及安全維護計畫,及執行安全維護計畫。對內須公開周知個人資料保護管理政策,使所屬人員明確瞭解遵循。(管理辦法第4、5條)
2. 業者應定期清查所蒐集、處理或利用的個人資料現況,以利界定安全維護計畫之範圍。業者應定期評估可能產生的風險,進而根據風險評估結果,採行適當的安全措施。(管理辦法第6、7條)
3. 業者應訂定因應個人資料安全事故的應變、通報及預防機制。如業者遇到將危及其正常營運或大量當事人權益之個人資料安全事故,應於知悉該事故後72小時內使用規定表格通報數發部,或通報直轄市、縣(市)政府時副知數發部。(管理辦法第8條)
4. 業者應訂定個人資料蒐集、處理及利用之內部管理程序,以確保符合個人資料保護法的各項規定。(管理辦法第9條)
5. 業者將個人資料作國際傳輸時應遵守法令限制,並告知當事人傳輸區域,並對資料接收方(包括受委託或複委託者)為適當之監督。(管理辦法第10條)
6. 業者應實施各項資料安全維護措施,包括資料安全管理、人員管理、認知宣導及教育訓練、設備安全等措施。(管理辦法第11~14條)
7. 業者應持續檢查及改善個人資料安全維護計畫執行,包含訂定個人資料安全稽核機制、保存紀錄及軌跡資料至少五年、證據保存至少五年,以及個人資料安全維護計畫之整體持續改善機制。(管理辦法第15~17條)
8. 業者之資本額為新臺幣1,000萬元以上或保有個人資料筆數達5,000筆以上者,部分安全措施應每12個月至少實施及檢討改善一次。(管理辦法第18條)
三、違反罰則:
受規範業者若於2024年1月12日前未訂定前述安全維護計畫或未依管理辦法採行適當之安全措施,依個人資料保護法第48條規定,數發部得處以業者2萬元以上200萬元以下罰鍰;其情節重大者,更得處以15萬元以上1,500萬元以下之罰鍰,提醒相關業者注意。
[1] 同時,為避免法規適用之問題,「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」已於今年11月21日廢止。
翁乃方、周靖媛
臺灣數位發展部(「數發部」)依個人資料保護法第27條第3項授權,於2023年10月12日發布「數位經濟相關產業個人資料檔案安全維護管理辦法」(「管理辦法」)[1],並於發布日施行。管理辦法重點如下:
一、規範對象:
依法應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法(「安全維護計畫」)之業者包括下列行業之自然人、私法人及其他團體(管理辦法第2條):
1. 從事以網際網路方式零售商品之行業(不含電視、廣播、電話等其他電子媒介及郵購方式);
2. 軟體出版業;
3. 電腦程式設計、諮詢及相關服務業;
4. 從事代客處理資料、主機及網站代管以及相關服務之行業(不含線上影音串流服務);
5. 第三方支付服務業(不含其他金融輔助業);
6. 其他資訊服務業。
二、規範內容:
1. 業者應依其業務規模及特性,配置管理人員負責訂定及修正個人資料保護管理政策及安全維護計畫,及執行安全維護計畫。對內須公開周知個人資料保護管理政策,使所屬人員明確瞭解遵循。(管理辦法第4、5條)
2. 業者應定期清查所蒐集、處理或利用的個人資料現況,以利界定安全維護計畫之範圍。業者應定期評估可能產生的風險,進而根據風險評估結果,採行適當的安全措施。(管理辦法第6、7條)
3. 業者應訂定因應個人資料安全事故的應變、通報及預防機制。如業者遇到將危及其正常營運或大量當事人權益之個人資料安全事故,應於知悉該事故後72小時內使用規定表格通報數發部,或通報直轄市、縣(市)政府時副知數發部。(管理辦法第8條)
4. 業者應訂定個人資料蒐集、處理及利用之內部管理程序,以確保符合個人資料保護法的各項規定。(管理辦法第9條)
5. 業者將個人資料作國際傳輸時應遵守法令限制,並告知當事人傳輸區域,並對資料接收方(包括受委託或複委託者)為適當之監督。(管理辦法第10條)
6. 業者應實施各項資料安全維護措施,包括資料安全管理、人員管理、認知宣導及教育訓練、設備安全等措施。(管理辦法第11~14條)
7. 業者應持續檢查及改善個人資料安全維護計畫執行,包含訂定個人資料安全稽核機制、保存紀錄及軌跡資料至少五年、證據保存至少五年,以及個人資料安全維護計畫之整體持續改善機制。(管理辦法第15~17條)
8. 業者之資本額為新臺幣1,000萬元以上或保有個人資料筆數達5,000筆以上者,部分安全措施應每12個月至少實施及檢討改善一次。(管理辦法第18條)
三、違反罰則:
受規範業者若於2024年1月12日前未訂定前述安全維護計畫或未依管理辦法採行適當之安全措施,依個人資料保護法第48條規定,數發部得處以業者2萬元以上200萬元以下罰鍰;其情節重大者,更得處以15萬元以上1,500萬元以下之罰鍰,提醒相關業者注意。
[1] 同時,為避免法規適用之問題,「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」已於今年11月21日廢止。
