法律觀點-網購業訂定《個資安全維護計劃》,八點不可少

數位個資辦法今年10月發佈施行,從事網購、第三方支付及其他資訊服務業等數位經濟產業的業者,須在明年1月12日前訂定《個資安全維護計劃》,否則恐挨罰。圖/本報資料照片

爲防止消費者的個資被竊取、竄改、毀損、滅失或泄漏,行政院數位發展部在今年10月12日發佈施行了《數位經濟相關產業個人資料檔案安全維護管理辦法》(下稱數位個資辦法)。如果你是「從事以網際網路方式零售商品的行業」(俗稱網購)、「軟體出版業」、「電腦程式設計、諮詢及相關服務業」、「從事代客處理資料、主機及網站代管以及相關服務的行業」、「第三方支付業」、「其他資訊服務業」等「數位經濟相關產業」的業者,則會受到數位個資辦法規範。

■限在明年1月12日前完成,否則恐挨罰

上述業者必須在明年1月12日前訂定《個資安全維護計劃》,如果沒有在期限內完成,則可能會被按次處以2萬元至200萬元的罰鍰;如果情節重大或是經限期改正卻仍未改正,甚至可能會被按次處以15萬元至1,500萬元的罰鍰,不可不慎!

此外,爲避免業務規模較小的業者負擔過多成本在訂定及執行《個資安全維護計劃》,數位個資辦法是採分級管理頻率。如果業者的資本額達1,000萬元以上,或是保有個資筆數達5,000筆以上,則必須每年至少實施及檢討改善安全維護計劃一次。另就其他特殊情形(例如在數位個資辦法施行後才增資達1,000萬元以上的業者),該辦法第18條也訂有其他細節性的規定。

業者訂定的《個資安全維護計劃》內必須包含以下的具體內容(參該辦法第3條至第17條),業者並須保存執行《個資安全維護計劃》的相關紀錄至少五年︰

一、業者就個資蒐集、處理、利用的目的及情形,須符合《個人資料保護法》第6條第1項、第7條第1項、第8條、第9條、第19條第1項、第20條的規定。

二、業者須對個資採取適當的安全管理措施,包括加密、備份的保護、傳輸的安全、資通系統的防火牆、電子郵件過濾機制或其他入侵偵測設備、異常存取資料行爲的監控、更新並執行防毒軟體、執行惡意程式檢測、設定認證機制、就個資的呈現予以適當且一致性的遮蔽等。

三、就個資被竊取、竄改、毀損、滅失或泄漏等安全事故,若將危及業者的正常營運或大量當事人權益,則業者必須於知悉事故後72小時內通報行政院數位發展部,或通報直轄市、縣(市)政府時副知行政院數位發展部。

四、就個資被竊取、竄改、毀損、滅失或泄漏等安全事故,業者須訂定事故發生後的應變機制(包括降低、控制當事人損害的方式、查明事故後通知當事人的適當方式及內容)、通報機制(通知當事人事故的發生與處理情形,及後續供當事人查詢的管道)、預防機制(研議避免再發生安全事故的措施)。

五、業者須與員工約定個資保密義務、設定員工接觸個資的權限、對員工實施個資保護認知宣導及教育訓練。

六、若業者將個資作國際傳輸,則業者須將欲傳輸的區域告知當事人,並對資料接收方爲監督。

七、業者須定期清查確認所蒐集、處理或利用的個資現況,界定哪些個資應納入《個資安全維護計劃》的範圍。並須就個資蒐集、處理或利用的流程,定期評估可能產生的風險,並根據風險評估結果,採行適當的安全措施。且須定期檢查《個資安全維護計劃》執行狀況,並作成評估報告。

八、業者須建置維護個資正確性的機制,以及刪除個資的機制。就當事人對其個資請求查詢、閱覽、制給複製本、補充、更正、刪除、停止蒐集、處理或利用的事宜,業者須規定其行使權利、確認其身分的方式等。