零售业需订个资安维计划 消费者可对行销说NO

「综合商品零售业个人资料档案安全维护管理办法」今上路，经部指出，业者需于半年内提出个资安全回护计划。(资料照)

经济部依今(1日)发布「综合商品零售业个人资料档案安全维护管理办法」，业者须于发布之日起6个月(2024年1月底)完成个人资料档案安全维护计划之订定，包含内部管理程序、人员管理、事故通报机制等。例如一旦发生事故(资料外泄)，需于72小时内通知主管机关，并将处理方式通知当事人，首次行销必须询问当事人，提供给予拒绝的方式。

经济部是依据个人资料保护法，针对零售业订定此办法。该部表示，为促使非公务机关投入人力、技术及成本，落实保护民众个人资料责任，对于资本额达新台币1000万元以上、并有招募会员或可取得交易对象个人资料的综合商品零售业者，应于本办法施行之日起6个月内订定安全维护计划。

计划内容要包含个人资料搜集、处理及利用的内部管理程序、资讯安全管理及人员管理、实施教育训练，及事故之预防、通报及应变机制等，并应配置相当资源，落实个人资料档案之安全维护及管理，防止个人资料被窃取、窜改、毁损、灭失或泄露。

一旦事故发生(资料外泄)，业者应于72小时内通报主管机关，并查明事故发生原因及损害状况，通知当事人或其法定代理人。

另外综合商品零售业者首次利用个人资料为行销时，应提供当事人(法定代理人)表示拒绝接受行销之方式，且一旦获拒绝，应立即停止利用，并周知所属人员。

最后要求零售业者要定期检视，如发现有非属特定目的必要、期限届至而无保存必要之个人资料，应予删除、销毁或其他适当之处置。