防個資外洩再出招 電商、第三方支付須訂管理通報機制

強化個資維護，數位部今（13）日公告，「數位經濟相關產業個人資料檔案安全維護管理辦法」正式公告上路，包括綜合性電商、第三方支付業者、電腦程式設計、諮詢及相關服務業等須三個月內訂定安全維護計畫，包含個資管理、規劃事故通報機制等，業者若違反辦法，最重面臨新台幣1,500萬元罰鍰。

根據數位部所公告的內容指出，該辦法是依個人資料保護法第27條第三項規定訂定，公告上路後，業者應於本辦法施行日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法。規範的業者包括momo購物、蝦皮購物等綜合性電商、軟體出版業、其他資訊服務業與第三方支付服務業等。

在此安全維護計畫內容中，業者應界定個人資料範圍，進行個資風險評估與管理，規劃事故預防、通報及應變機制，此外，也訂定相關人員管理措施，防止個資被竊取、竄改、毀損、滅失或洩漏。若個資毀損、外洩事故危及營運或影響大量當事人權益，為控制事故造成的損害，業者應該要在發現事故後72小時通報數位部。

此外，業者應訂定個人資料安全稽核機制，定期檢查計畫執行狀況，並做評估報告。

業者執行安全維護計畫時，應評估必要性，對個資蒐集、處理或利用的紀錄要至少保存五年。另外業者針對所保管個資相關人員應約定保密義務，且該人員離職時，需要求人員返還個人資料的載體，並刪除因執行業務而持有的個人資料等。業者也必須定期對所屬人員，實施下列個人資料保護認知宣導及教育訓練，如相關法規的宣導，安全維護計畫各項管理程序、機制及措施的要求。

數位部指出，為避免規模較小的業者，在訂定與執行安全維護計畫上負擔過多成本，針對一定規模以上的業者，進行分級管理。若業者資本額在1,000萬元以上，或保有個人資料筆數5,000筆以上者，應該每12個月，針對安全維護計畫的部分措施，至少實施與檢討改善一次。

至於在罰則方面，數位部指出，若業者違反安全維護計畫，則是回歸到個資法規定，可開罰2萬元以上200萬元以下罰鍰，並限期改正，若限期未改善或情節重大，可開罰15萬元以上1,500萬元以下罰鍰，屆期未改正者，採按次處罰。