法律观点-网购业订定《个资安全维护计划》,八点不可少

数位个资办法今年10月发布施行,从事网购、第三方支付及其他资讯服务业等数位经济产业的业者,须在明年1月12日前订定《个资安全维护计划》,否则恐挨罚。图/本报资料照片

为防止消费者的个资被窃取、窜改、毁损、灭失或泄漏,行政院数位发展部在今年10月12日发布施行了《数位经济相关产业个人资料档案安全维护管理办法》(下称数位个资办法)。如果你是「从事以网际网路方式零售商品的行业」(俗称网购)、「软体出版业」、「电脑程式设计、咨询及相关服务业」、「从事代客处理资料、主机及网站代管以及相关服务的行业」、「第三方支付业」、「其他资讯服务业」等「数位经济相关产业」的业者,则会受到数位个资办法规范。

■限在明年1月12日前完成,否则恐挨罚

上述业者必须在明年1月12日前订定《个资安全维护计划》,如果没有在期限内完成,则可能会被按次处以2万元至200万元的罚锾;如果情节重大或是经限期改正却仍未改正,甚至可能会被按次处以15万元至1,500万元的罚锾,不可不慎!

此外,为避免业务规模较小的业者负担过多成本在订定及执行《个资安全维护计划》,数位个资办法是采分级管理频率。如果业者的资本额达1,000万元以上,或是保有个资笔数达5,000笔以上,则必须每年至少实施及检讨改善安全维护计划一次。另就其他特殊情形(例如在数位个资办法施行后才增资达1,000万元以上的业者),该办法第18条也订有其他细节性的规定。

业者订定的《个资安全维护计划》内必须包含以下的具体内容(参该办法第3条至第17条),业者并须保存执行《个资安全维护计划》的相关纪录至少五年︰

一、业者就个资搜集、处理、利用的目的及情形,须符合《个人资料保护法》第6条第1项、第7条第1项、第8条、第9条、第19条第1项、第20条的规定。

二、业者须对个资采取适当的安全管理措施,包括加密、备份的保护、传输的安全、资通系统的防火墙、电子邮件过滤机制或其他入侵侦测设备、异常存取资料行为的监控、更新并执行防毒软体、执行恶意程式检测、设定认证机制、就个资的呈现予以适当且一致性的遮蔽等。

三、就个资被窃取、窜改、毁损、灭失或泄漏等安全事故,若将危及业者的正常营运或大量当事人权益,则业者必须于知悉事故后72小时内通报行政院数位发展部,或通报直辖市、县(市)政府时副知行政院数位发展部。

四、就个资被窃取、窜改、毁损、灭失或泄漏等安全事故,业者须订定事故发生后的应变机制(包括降低、控制当事人损害的方式、查明事故后通知当事人的适当方式及内容)、通报机制(通知当事人事故的发生与处理情形,及后续供当事人查询的管道)、预防机制(研议避免再发生安全事故的措施)。

五、业者须与员工约定个资保密义务、设定员工接触个资的权限、对员工实施个资保护认知宣导及教育训练。

六、若业者将个资作国际传输,则业者须将欲传输的区域告知当事人,并对资料接收方为监督。

七、业者须定期清查确认所搜集、处理或利用的个资现况,界定哪些个资应纳入《个资安全维护计划》的范围。并须就个资搜集、处理或利用的流程,定期评估可能产生的风险,并根据风险评估结果,采行适当的安全措施。且须定期检查《个资安全维护计划》执行状况,并作成评估报告。

八、业者须建置维护个资正确性的机制,以及删除个资的机制。就当事人对其个资请求查询、阅览、制给复制本、补充、更正、删除、停止搜集、处理或利用的事宜,业者须规定其行使权利、确认其身分的方式等。