賣場外泄個資 最高罰1,500萬

另,經濟部提醒,綜合商品零售業種類衆多,若爲連鎖式零售業,不論是直營店或是加盟店,或是百貨公司裡面的櫃位與美食街皆同受規範。草案預計預告至6月下旬,最快7月上路、下半年將進行宣導,受規範的綜合零售業者也要在辦法上路後6個月內完成安全維護計劃。

綜合零售業進入會員制時代後,個資外泄事件頻傳。經濟部表示,依「個人資料保護法」第27條第3項規定擬具「綜合商品零售業個人資料檔案安全維護管理辦法」。據草案,資本額達1,000萬元以上,有招募會員或可取得交易對象個資之綜合零售業者都必須要依照管理辦法進行個資檔案安全維護管理,但也留下伏筆,經濟部未來可以指定公司、有限合夥或商業適用這項辦法。

在草案中,要求事業單位必須要依照業務規模與特性,規劃、訂定、檢討與修正安全維護措施,並納入個人資料檔案安全維護計劃中,由專責人員進行;當發生個資被竊取、泄漏等事故時,要求在發現事故起72小時內將「個人資料侵害事故」通報給主管機關;在發生個資侵害事故後,主管機關也可以依法進入事業單位進行行政調查,要求相關人員必須配合說明與提供證據。

在個資檔案安全維護管理上,草案中也訂出,必須要設置資料安全稽覈人員,且需定期將稽覈結果向公司代表人報告;另,業者必須要規定留存個人資料使用紀錄、自動化機器設備的軌跡資料或其他相關之證據資料,保存期限至少5年。

經濟部表示,若違反相關規定,等於違反個資法第27條第二項規定,罰則未來將會適用日前三讀通過、加強罰鍰的第48條,可處2萬元以上200萬元以下罰鍰;情節重大者,處15萬元以上1,500萬元以下罰鍰;屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。