防百货等零售业「会员个资」外泄!经济部将扩大纳管:违者重罚1500万

经济部进行零售业个资维护修法,扩大纳管范围,经济部商业发展署副署长刘雅娟今(13日)说明修法重点。(王玉树摄)

为了从上游杜绝诈骗,经济部今公告零售业个资修法,把资安维护义务扩大到特定商品零售业,如服饰业、汽车用品、家庭用品等,只要资本额千万元以上,有从事会员资料收集者,都需在半年内需制定个资安全维护计划,否则最高开罚1500万。包括大型连锁家具龙头IKEA、平价服饰店NET等都纳管,影响6800家公司(不含分店门市)。

经济部去年8月已公布「综合商品零售业个资安全维护管理办法」,要求综合零售业如百货公司、超市、超商、量贩店等,都需制定个资档案安全维护计划,并提高罚锾到1500万,以示恫吓。今(13)再公布修法,把特定商品零售业者也纳入,只要资本额达1000万元以上,且有招募会员或可取得交易对象个资的业者都在管制范围。

经济部商业发展署副署长刘雅娟说明新修法有两大重点,一是「扩大范围」,新增零售业包括连锁服饰、文具书店、资讯、家庭等用品等,共计6800家,包括UNIQLO、灿坤、全国电子、NET、IKEA、9乘9文具等,6个月内需完成个资安全维护计划。

第二是订定具体的个资安全强化管理措施,刘雅娟表示,企业在资料安全管理上,比如传输个人资料、手机、电脑等,都需做适当安全措施,处理利用上要加密,备份资料也需有保护措施。资料放在资讯通讯系统内,密码要达到一定强度,使用到客户个资,要做适当遮蔽等。公司系统如跟网路相连,要随时更新病毒码,并需做恶意程式检测、设防火墙、侦测有无异常入侵等,并且要定期演练。

刘雅娟强调,修法主要是强化企业个资保护更新,避免外泄。同时现在诈骗电话横行,从上游源头防止个资流出去。公告后半年内,也就是明年5月12日前,被纳管业者要完成计划,商发署到时会对新纳管零售业进行抽查。

如果到时查到内部资安维护计划未做或不合格,第一次处罚2万到200万,再不改善则最高1500万。一般来说,企业资安建制看保护层级,贵的有上千万以上,定期维护成本则在1、200万,经济部强调,如不做处罚很重,更不划算。