綜合商品零售業諸如百貨公司、便利商店、超市、大賣場等,因經營關係(如:辦理會員制度)而保有大量「個人資料檔案」,實有強化管理的必要。因此,經濟部依個人資料保護法(簡稱個資法)第27條第3項之規定,提出「綜合商品零售業個人資料檔案安全維護管理辦法」草案(下稱本草案)。本次草案的幾個重點,由兆宇為您說明。
- 本草案適用對象:
本草案以綜合商品零售業者為管理對象,而所謂總合商品零售業是指從事以非特定專賣形式銷售多種商品為事業,並依公司法、有限合夥法或商業登記法之規定設立登記。然而,經濟部商業司考量到並非所有綜合零售業者都有能力及必要進行專責資料管理,因此本草案只針對資本額達新台幣1,000萬元以上;具有招募會員或可取得交易對象個資之業者;或受經濟部指定之公司。但如果有行業須要另外經過特許或有專門的法令予以規範,因其已有特定之目的事業主管機關,故不適用本草案之規定。 - 安全維護計畫及資料安全稽核機制:
- 為有效執行個資法第27條所述的適當之安全措施(防止個人資料被竊取、竄改、毀損、滅失或洩漏等技術措施),綜合商品零售業者應指定安全維護計畫的「專責人員」,負責規劃、訂定、修正、執行其計畫及相關事項,並定期向綜合商品零售業者的「代表人」提出報告。另外,資料安全稽核機制,應指定「查核人員」,定期稽核安全維護計畫之執行情形及成效,並將稽核結果,向綜合商品零售業者之「代表人」提出報告。
- 簡而言之,安全維護計畫的執行會有專責人員;而執行之成果則交由查核人員檢查;且為避免球員兼裁判,本草案特別規定專責人員與查核人員不得為同一人。
- 強化資安標準規範:
綜合商品零售業者以「資通訊系統」蒐集、處理或利用個人資料,應採取資訊安全措施如:使用者身分確認及保護機制、個人資料顯示之隱碼機制、網際網路傳輸之安全加密機制、個人資料檔案與資料庫之存取控制及保護監控措施、防止外部網路入侵對策、非法或異常使用行為之監控及因應機制。 - 利用個人資料為宣傳、推廣或行銷時:
綜合商品零售業者依個資法利用個人資料為宣傳、推廣或行銷時,應明確告知當事人綜合商品零售業者立案名稱及個人資料來源;又針對首次利用個資之情形,綜合商品零售業者應「提供當事人拒絕利用之方式」,且經當事人表示拒絕利用,業者即應立即停止。 - 綜合商品零售業者與會員間業務終止後之處理:
關於業務終止後,個人資料處理方法之措施,必須以「銷毀、移轉、刪除或停用」等方式為限,而原先個資法並無明確要求處理措施的紀錄應保存多久,因此,本草案規定至少要保存5年,以利日後發生個資外洩事件之調查、舉證。
本草案目前尚未經立法院審議,日後待本草案發布施行後,會給予綜合商品零售業者6個月制定安全維護計畫的時間,之後才會由主管機關派員檢查。
撰文 | 林冠佑 律師