個資安全維護辦法上路 電商、第三方支付業違規最高罰1,500萬

該辦法適用業者包含從事以網際網路方式零售商品行業;軟體出版業;電腦程式設計、諮詢及相關服務業;從事代客處理資料、主機及網站代管以及相關服務行業;其他資訊服務業;及第三方支付服務業。

辦法規定,業者須於3個月內完成個人資料檔案安全維護計劃及業務終止後個人資料處理方法的規劃與訂定。業者訂定安全維護計劃,應先就個資進行風險評估;規劃事故預防、通報及應變機制;同時訂定相關人員管理措施,防止個資被竊取、竄改、毀損、滅失或泄漏。

辦法也規定,業者遇有將危及正常營運或大量當事人權益個資料安全事故時,須詳實就所掌握事故相關事項,於知悉事故後72小時內向數位部通報,倘通報對象爲直轄市、縣(市)政府,應同時副知數位部。

另辦法規定,業者應於安全維運計劃中,訂定個人資料安全稽覈機制,並定期進行內部稽覈;檢查計劃執行狀況,並做評估報告。而業者執行安全維護計劃時,應評估必要性,保存個資蒐集、處理或利用的紀錄,以及自動化機器設備軌跡資料等,至少要保存5年。

數位部也針對一定規模以上的業者,進行分級管理。若業者資本額在1,000萬元以上,或直接或間接保有個人資料筆數5,000筆以上者,應自6個月後,每12個月至少實施與檢討改善1次。

罰則部分,若業者違反安全維護計劃,則迴歸到個資法規定。可處2萬元以上200萬元以下罰鍰,並限期改正,若限期未改善或情節重大,可處15萬元以上1,500萬元以下罰鍰,屆期未改善者,得按次處罰。