經濟部依據個人資料保護法第27條第3項規定,訂定了「綜合商品零售業個人資料檔案安全維護管理辦法」(以下簡稱:綜合零售業個資維護管理辦法),並於 2023/8/1 發布施行,主要目的在為了保護綜合零售業能具備提前降低風險賠償對企業經營的損害,遭遇駭客、或發生資訊安全危機事件時,能有所防範;同時,更是保護消費者在個資上的安全,維護消費交易安全及避免消費者個人資料與資產權益受損失。但是,綜合零售業者必須在 2023/8/1 起短短六個月內,完成計畫訂定,而眼看現在只剩下三個月左右,辦法還是很難弄懂!計畫進行得轟轟烈烈但還是不確定是否完整妥善嗎?到底哪些行業受綜合零售業個資維護管理辦法規範?個資維護管理辦法有哪些重點項目?經濟部綜合零售業個資維護辦法-白話懶人包,帶你看下去。
綜合零售業者該如何訂定個資維護管理計畫?請見另一篇分曉:經濟部綜合零售業個資維護計畫訂定執行-白話懶人包。
經濟部綜合零售業個資維護辦法-白話懶人包
受規範行業需吻合以下條件:
- 在商業司規定的完整名稱為「綜合商品零售業」,也就是在中華民國經濟部商業司的公司行號及有限合夥「營業項目代碼」中,屬於 F3 綜合零售業及以下小類的業者(對照行業統計分類為 G 大類 批發及零售業 > 47-48 中類 零售業 > 471 小類 綜合商品零售業),皆屬於本次綜合零售業個資維護管理辦法的規範範圍。
- 登記資本額在一千萬以上
- 有招募會員或可取得交易對象個人資料
- 或受經濟部指定之公司、有限合夥或商業。但不包括應經特許、許可或受專門管理法令規範之行業
若您的公司屬於第 4 項,可與經濟部商業司確認是否受規範。 而因為綜合商品零售業舉凡百貨公司、超市超商、量販店、免稅店、五金雜貨店等虛擬或實體店舖,客戶資料皆有某程度上的數位化,這些企業從客人身上獲得的個資數據,在這個世代分秒處於各種不同形式的威脅之下,諸如:資料外洩、駭客入侵甚至內部失誤等,這些威脅不僅讓企業可能失去客戶的信任,更可能讓企業負擔高昂的法律責任及千萬罰款,而客戶對於企業品牌商譽的失信,無形的損失更是難以估計,因此綜合零售業個資維護管理辦法對於零售業者來說,從觀念建立、計畫訂定直至實踐計畫,更顯得至為重要。
經濟部綜合零售業個資維護辦法-白話懶人包
個資維護管理辦法重點項目白話文
接下來會有點生硬! 建議先至經濟部連結下載條文辦法,再來由本文為您導讀,並對照本段的白話文,就能輕鬆瞭解個資維護管理辦法的內容重點。(詳細經濟部公布條文辦法,請至經濟部連結下載:https://www.moea.gov.tw/MNS/populace/news/wHandNews_File.ashx?file_id=105286)
本計畫共有二十二條,撇除前後對於辦法訂定的依據及目的之說明以外,真正具體的個資維護管理辦法,可以從第四條開始,截至第二十一條,共 18 條,
導讀:
1. 說明個資維護管理辦法的”規範重點及範圍”,共 5 條(第四、五、六、八、十條)。
2. 分項說明前面第六條及第八條的”執行細節”,共 11 條(第七、八、九、十一、十二、十三、十四、十五、十六、十七、十九條)。
3. 說明前面沒有提到的”特別除外事項”,共 2 條(第十八、二十條)。
4. 聲明經濟部頒布的個資維護管理辦法生效日期與企業必須配合的規定
第四條:要依企業經營面可能接觸到的個資範圍,都實際採取安全防護措施,做好個資的保護及運用上的安全管理。記得要納入企業的個人資料檔案安全維護計畫(以下簡稱安全維護計畫)
第五條:業者要設立個資維護辦法的專責人員,定期 PDCA (規劃、訂定、修正、執行安全維護計畫及其他相關事項),並且要定期上報。
第六條:個資維護計畫要記載清楚 10 個項目,這些項目皆可委外第三方公正、口碑可靠、專業且有企業資安解決方案與維運管理服務經驗深厚的企業網路服務提供商來協助訂定及執行,內容包含以下。
1. 個人資料蒐集、處理及利用之內部管理程序
2. 個人資料之範圍
3. 資料安全管理及人員管理
4. 認知宣導及教育訓練
5. 事故之預防、通報及應變機制
6. 設備安全管理
7. 資料安全稽核機制
8. 使用紀錄、軌跡資料及證據保存
9. 業務終止後,個人資料處理方法
10. 個人資料安全維護之整體持續改善方案
第七條:針對上述第五、六條,要記載收集與使用的目的,以及定期清查後的刪除或銷毀的時間與方式。
第八條:個資數據傳輸時,要盡到資料傳輸加密的安全保護措施、告知當事人資料傳輸的目的時間與對象及國家與區域、宣告當事人對個資可行使的權利,以及當事人若不允許資料傳輸將產生的影響。(此項也可以委由伺服器租賃商或主機代管、機房代管營運廠商來提供服務)
第九條:建立員工守則,做好員工權限分層,以及權限管理機制,並落實在交接與離職或任何行為上,對個人數位資料都有對應的管理權限來監督與管理。(參照第六條第三款「資料安全管理及人員管理」)
第十條:數位上,要做到 6 項廣泛針對網站、系統及資料庫的安全措施及惡意行為偵測的防護措施,而且對這些措施定期演練與改善。(此項也可以委由伺服器租賃商或主機代管、機房代管營運廠商來提供服務)
1. 使用者身分確認及保護機制
2. 個人資料顯示之隱碼機制
3. 網際網路傳輸之安全加密機制
4. 個人資料檔案與資料庫之存取控制及保護監控措施
5. 防止外部網路入侵對策
6. 非法或異常使用行為之監控及因應機制
第十一條:要定期用小測驗或是課程、標語等方式對員工宣導及舉辦教育訓練,讓員工熟知個資保護等資安觀念,以及內部的資訊安全控管機制、規則、權限與資安事件呈報的流程。(參照第六條第四款「認知宣導及教育訓練」)
第十二條:定出明確的標準及程序,用最適當的措施,把受害當事人的風險損失降到最低,並且必須配合相關單位介入調查(參照第六條第五款「事故之預防、通報及應變機制」)。步驟及標準如下。
Step 1. 發現事故當下起算,必須在 72 小時內,先通報地方主管機關及中央主管機關。(通報紀錄格式請至經濟部連結下載:https://www.moea.gov.tw/MNS/populace/news/wHandNews_File.ashx?file_id=105287)
Step 2. 查明發生原因及損害狀況之後,通知受害當事人或其法定代理人,內容必須包括「個人資料被侵害之事實及已採取之因應措施」。
Step 3. 檢討並優化改善措施,必須避免再次發生。
第十三條:若是紙本資料檔案,必須要存放在適當的保管設施裡面並且制定管理程序;電子資料檔案的存放設備,則是要有安全防護系統或加密機制的配置,例如:防火牆、傳輸加密、資料庫的資料雜湊 (Hashing) 等配置;這兩種檔案也必須要有適當的銷毀程序,例如:本文最下方補充的硬碟銷毀 6 步驟(參照第六條第六款「設備安全管理」)。
第十四條:強調負責稽核機制的專責人員(執行)與查核人員(稽查),必須是不同人!機制必須據實完整詳細地記錄且落實PDCA、定期稽核演練上報主管人員(參照第六條第七款「資料安全稽核機制」)。
第十五條:維護計畫內的個資,必須留存「個人資料使用紀錄與自動化機器設備之軌跡資料或其他相關之證據資料」如:Log 紀錄,並且至少要保存五年(參照第六條第八款「使用紀錄、軌跡資料及證據保存」)。
第十六條:第十五條是關於個資保存,本條是關於個資後續的刪除、停止處理、利用或銷毀,都必須要能出具明確的「方法、時間與地點」,並且要「能證明銷毀的方式及有效性」;而若是個資的轉移,除了「方法、時間與地點」以外,還必須要有「原因、對象、受移轉對象具備保有該項個資的合法依據」;本條的所有紀錄都至少要保存五年(參照第六條第九款「業務終止後,個人資料處理方法」)。
第十七條:要因應科技、使用情境及政策法令的變化,定期與臨時優化改善,調整個資維護管理辦法到一個合宜保護個人資料的狀態(參照第六條第十款「個人資料安全維護之整體持續改善方案」)。
第十八條:本條提到,若個資當事人本人或他的法定代理人拒絕業者取得個資,業者應提出聯絡窗口及聯絡方式,以供個資當事人或法定代理人行使個人資料保護法第三條的權利(查詢或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用、刪除);業者須遵守個資法第十三條的期限進行作業,並且可依個資法第十四條向當事人或該法定代理人告知並酌收作業成本費用,但若此舉會造成妨害公共、第三人利益或妨害國安經濟等重大利益,業者可以不提供。(有關個資法法條請參照法務部全球法規資料庫「個人資料保護法」:https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021)
第十九條:業者對於蒐集、處理、利用個資的方式及管道要謹守監督責任;若有委託他人(例如:行銷廣告廠商、軟體系統開發維運商、網站設計公司或主機代管廠商等…下稱受委託人),必須依個資法第八條,對受委託人進行適當的監督,並在委託契約或相關文件當中清楚詳細載明內容。
第二十條:業者利用個資進行行銷時,必須明確把綜合零售業者的法定登記名稱及個資來源告知個資當事人或該法定代理人、必須提供個資當事人或該法定代理人有選擇是否提供個資的選擇與方式;若當事人或該法定代理人表示拒絕接受行銷,應立即停止利用,並通知所有相關人員。 第二十一條:再次聲明 2023/8/1 頒布本辦法後立即生效,業者需在六個月內完成並記錄保管本法,主管機關有權利派員檢查。
跟大家用一般的語言解讀政府的政策條文辦法,到這邊為止,我們要進入下一篇,幫大家整理出來「個資維護的計劃要怎麼訂定與下手開始執行」,請見下一篇文章:經濟部綜合零售業個資維護計畫訂定執行-白話懶人包。
歡迎轉載!請見:轉載原則。
Photo by Zen Chung from pexels