个资安全维护办法上路 电商、第三方支付业违规最高罚1,500万

该办法适用业者包含从事以网际网路方式零售商品行业；软体出版业；电脑程式设计、咨询及相关服务业；从事代客处理资料、主机及网站代管以及相关服务行业；其他资讯服务业；及第三方支付服务业。

办法规定，业者须于3个月内完成个人资料档案安全维护计划及业务终止后个人资料处理方法的规划与订定。业者订定安全维护计划，应先就个资进行风险评估；规划事故预防、通报及应变机制；同时订定相关人员管理措施，防止个资被窃取、窜改、毁损、灭失或泄漏。

办法也规定，业者遇有将危及正常营运或大量当事人权益个资料安全事故时，须详实就所掌握事故相关事项，于知悉事故后72小时内向数位部通报，倘通报对象为直辖市、县（市）政府，应同时副知数位部。

另办法规定，业者应于安全维运计划中，订定个人资料安全稽核机制，并定期进行内部稽核；检查计划执行状况，并做评估报告。而业者执行安全维护计划时，应评估必要性，保存个资搜集、处理或利用的纪录，以及自动化机器设备轨迹资料等，至少要保存5年。

数位部也针对一定规模以上的业者，进行分级管理。若业者资本额在1,000万元以上，或直接或间接保有个人资料笔数5,000笔以上者，应自6个月后，每12个月至少实施与检讨改善1次。

罚则部分，若业者违反安全维护计划，则回归到个资法规定。可处2万元以上200万元以下罚锾，并限期改正，若限期未改善或情节重大，可处15万元以上1,500万元以下罚锾，届期未改善者，得按次处罚。