法律观点－网购业订定《个资安全维护计划》，八点不可少

数位个资办法今年10月发布施行，从事网购、第三方支付及其他资讯服务业等数位经济产业的业者，须在明年1月12日前订定《个资安全维护计划》，否则恐挨罚。图／本报资料照片

为防止消费者的个资被窃取、窜改、毁损、灭失或泄漏，行政院数位发展部在今年10月12日发布施行了《数位经济相关产业个人资料档案安全维护管理办法》（下称数位个资办法）。如果你是「从事以网际网路方式零售商品的行业」（俗称网购）、「软体出版业」、「电脑程式设计、咨询及相关服务业」、「从事代客处理资料、主机及网站代管以及相关服务的行业」、「第三方支付业」、「其他资讯服务业」等「数位经济相关产业」的业者，则会受到数位个资办法规范。

■限在明年1月12日前完成，否则恐挨罚

上述业者必须在明年1月12日前订定《个资安全维护计划》，如果没有在期限内完成，则可能会被按次处以2万元至200万元的罚锾；如果情节重大或是经限期改正却仍未改正，甚至可能会被按次处以15万元至1,500万元的罚锾，不可不慎！

此外，为避免业务规模较小的业者负担过多成本在订定及执行《个资安全维护计划》，数位个资办法是采分级管理频率。如果业者的资本额达1,000万元以上，或是保有个资笔数达5,000笔以上，则必须每年至少实施及检讨改善安全维护计划一次。另就其他特殊情形（例如在数位个资办法施行后才增资达1,000万元以上的业者），该办法第18条也订有其他细节性的规定。

业者订定的《个资安全维护计划》内必须包含以下的具体内容（参该办法第3条至第17条），业者并须保存执行《个资安全维护计划》的相关纪录至少五年︰

一、业者就个资搜集、处理、利用的目的及情形，须符合《个人资料保护法》第6条第1项、第7条第1项、第8条、第9条、第19条第1项、第20条的规定。

二、业者须对个资采取适当的安全管理措施，包括加密、备份的保护、传输的安全、资通系统的防火墙、电子邮件过滤机制或其他入侵侦测设备、异常存取资料行为的监控、更新并执行防毒软体、执行恶意程式检测、设定认证机制、就个资的呈现予以适当且一致性的遮蔽等。

三、就个资被窃取、窜改、毁损、灭失或泄漏等安全事故，若将危及业者的正常营运或大量当事人权益，则业者必须于知悉事故后72小时内通报行政院数位发展部，或通报直辖市、县（市）政府时副知行政院数位发展部。

四、就个资被窃取、窜改、毁损、灭失或泄漏等安全事故，业者须订定事故发生后的应变机制（包括降低、控制当事人损害的方式、查明事故后通知当事人的适当方式及内容）、通报机制（通知当事人事故的发生与处理情形，及后续供当事人查询的管道）、预防机制（研议避免再发生安全事故的措施）。

五、业者须与员工约定个资保密义务、设定员工接触个资的权限、对员工实施个资保护认知宣导及教育训练。

六、若业者将个资作国际传输，则业者须将欲传输的区域告知当事人，并对资料接收方为监督。

七、业者须定期清查确认所搜集、处理或利用的个资现况，界定哪些个资应纳入《个资安全维护计划》的范围。并须就个资搜集、处理或利用的流程，定期评估可能产生的风险，并根据风险评估结果，采行适当的安全措施。且须定期检查《个资安全维护计划》执行状况，并作成评估报告。

八、业者须建置维护个资正确性的机制，以及删除个资的机制。就当事人对其个资请求查询、阅览、制给复制本、补充、更正、删除、停止搜集、处理或利用的事宜，业者须规定其行使权利、确认其身分的方式等。