July 2023
臺灣經濟部預告「綜合商品零售業個人資料檔案安全維護管理辦法」草案
2023.07
白梅芳、郭彥含
經濟部於今(112)年5月23日預告將依個人資料保護法第27條第3項授權,訂定「綜合商品零售業個人資料檔案安全維護管理辦法(以下稱「草案」)」,要求百貨公司、量販店、超市及超商等綜合零售業,其資本額達新臺幣1000萬元以上並有招募會員或取得交易對象個人資料,或受經濟部指定者(以下稱「業者」),應訂定「個人資料檔案安全維護計畫(以下稱「安全維護計畫」)」,落實個人資料安全維護,重點內容如下。
1. 業者應依其業務規模及特性,衡酌經營資源之合理分配,規劃、訂定、檢討與修正個人資料安全維護措施,並指定負責之專責人員。(草案第四條至第五條)
2. 業者應依蒐集個人資料之特定目的,定期清查所保有之個人資料現況,並為適當之處置。(草案第七條)
3. 業者將個人資料為國際傳輸前,應檢視是否受中央主管機關限制,並告知當事人擬傳輸之國家或區域。(草案第八條)
4. 業者應訂定資料安全管理及人員管理措施、資訊安全措施、設備安全管理措施、業務終止後個人資料處理方法,並定期對員工進行認知宣導及教育訓練。(草案第九條至第十一條、第十三條、第十六條)
5. 業者保有之個人資料發生被竊取、洩漏、竄改或其他侵害事故時,應於72小時內通知主管機關,並以適當方式通知消費者。(草案第十二條)
6. 業者應訂定資料安全稽核機制,指定查核人員定期稽核安全維護計畫之執行情形及成效,並由其向公司代表人報告。(草案第十四條)
7. 業者應留存個人資料之使用紀錄、機器設備軌跡資料及其他證據資料至少5年。(草案第十五條)
8. 業者委託他人蒐集、處理或利用個人資料,應對受託人為適當之監督,並於委託契約或相關文件中,明確約定其內容。(草案第十九條)
9. 業者利用個人資料為宣傳、推廣或行銷時,應明確告知消費者業者立案名稱及個人資料來源,並提供消費者表示拒絕接受宣傳、推廣或行銷之方式,一旦消費者表示拒絕,應立即停止利用其個人資料。 (草案第二十條)
依草案規劃,業者應於正式辦法發布後六個月內完成訂定「個人資料檔案維護計畫」,業者若未訂定前述安全維護計畫或未依管理辦法採行適當之安全措施,依今年5月31日修正公告之個人資料保護法第48條,得處2萬元以上200萬元以下罰鍰;情節重大者,得處15萬元以上1,500萬元以下罰鍰,提醒相關業者注意。
白梅芳、郭彥含
經濟部於今(112)年5月23日預告將依個人資料保護法第27條第3項授權,訂定「綜合商品零售業個人資料檔案安全維護管理辦法(以下稱「草案」)」,要求百貨公司、量販店、超市及超商等綜合零售業,其資本額達新臺幣1000萬元以上並有招募會員或取得交易對象個人資料,或受經濟部指定者(以下稱「業者」),應訂定「個人資料檔案安全維護計畫(以下稱「安全維護計畫」)」,落實個人資料安全維護,重點內容如下。
1. 業者應依其業務規模及特性,衡酌經營資源之合理分配,規劃、訂定、檢討與修正個人資料安全維護措施,並指定負責之專責人員。(草案第四條至第五條)
2. 業者應依蒐集個人資料之特定目的,定期清查所保有之個人資料現況,並為適當之處置。(草案第七條)
3. 業者將個人資料為國際傳輸前,應檢視是否受中央主管機關限制,並告知當事人擬傳輸之國家或區域。(草案第八條)
4. 業者應訂定資料安全管理及人員管理措施、資訊安全措施、設備安全管理措施、業務終止後個人資料處理方法,並定期對員工進行認知宣導及教育訓練。(草案第九條至第十一條、第十三條、第十六條)
5. 業者保有之個人資料發生被竊取、洩漏、竄改或其他侵害事故時,應於72小時內通知主管機關,並以適當方式通知消費者。(草案第十二條)
6. 業者應訂定資料安全稽核機制,指定查核人員定期稽核安全維護計畫之執行情形及成效,並由其向公司代表人報告。(草案第十四條)
7. 業者應留存個人資料之使用紀錄、機器設備軌跡資料及其他證據資料至少5年。(草案第十五條)
8. 業者委託他人蒐集、處理或利用個人資料,應對受託人為適當之監督,並於委託契約或相關文件中,明確約定其內容。(草案第十九條)
9. 業者利用個人資料為宣傳、推廣或行銷時,應明確告知消費者業者立案名稱及個人資料來源,並提供消費者表示拒絕接受宣傳、推廣或行銷之方式,一旦消費者表示拒絕,應立即停止利用其個人資料。 (草案第二十條)
依草案規劃,業者應於正式辦法發布後六個月內完成訂定「個人資料檔案維護計畫」,業者若未訂定前述安全維護計畫或未依管理辦法採行適當之安全措施,依今年5月31日修正公告之個人資料保護法第48條,得處2萬元以上200萬元以下罰鍰;情節重大者,得處15萬元以上1,500萬元以下罰鍰,提醒相關業者注意。
