電商個資安全維護辦法上路　業者須訂管理通報等機制

防堵個資外洩，數位部今天表示，數位經濟相關產業個人資料檔案安全維護管理辦法正式上路，綜合性電商、第三方支付業者等須3個月內訂定安全維護計畫，包含個資管理、規劃事故通報機制等，業者若違反辦法，最重面臨新台幣1500萬元罰鍰。

數位部依據個人資料保護法第27條第3項規定，訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」，將規範業別包含momo購物、蝦皮購物等綜合性電商、軟體出版業、其他資訊服務業與第三方支付服務業等。

廣告 更多內容請繼續往下閱讀

數位部表示，業者要在3個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法 （安全維護計畫）的規劃與訂定。

安全維護計畫內容中，業者應界定個人資料範圍，進行個資風險評估與管理，規劃事故預防、通報及應變機制，此外，也訂定相關人員管理措施，防止個資被竊取、竄改、毀損、滅失或洩漏。

廣告 更多內容請繼續往下閱讀

若個資毀損、外洩事故危及營運或影響大量當事人權益，為控制事故造成的損害，業者應該要在發現事故後72小時通報數位部。

此外，業者應訂定個人資料安全稽核機制，定期檢查計畫執行狀況，並做評估報告。

業者執行安全維護計畫時，應評估必要性，對個資蒐集、處理或利用的紀錄要至少保存5年，另外業務終止後的個資處理方法也有規範。

數位部表示，為避免規模較小的業者，在訂定與執行安全維護計畫上負擔過多成本，針對一定規模以上的業者，進行分級管理。若業者資本額在1000萬元以上，或保有個人資料筆數5000筆以上者，應該每12個月，針對安全維護計畫的部分措施，至少實施與檢討改善1次。

數位部說明，若業者違反安全維護計畫，回歸到個資法規定，可開罰2萬元以上200萬元以下罰鍰，並限期改正，若限期未改善或情節重大，可開罰15萬元以上1500萬元以下罰鍰，屆期未改正者，採按次處罰。

數位部訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」後，為避免法規適用問題，也同步廢止「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」，並縮短預告期到14天。

（中央社）