本文共766字
百貨公司、超商及量販點等綜合商品零售業往往具備大量會員資料,但若不適當管理,恐成為個資外洩管道。經濟部23日預告《綜合商品零售業個人資料檔案安全維護管理辦法》草案,要求企業納入個資檔案安全維護計畫、委任專案人員維護,明定業者針對會員個資必要規範。
微風集團資料庫今年2月遭駭,90萬用戶個資、發票、訂單與供應商資料全被放上駭客論壇兜售,後續也遭經濟部開罰。
經濟部商業司說明,此次增訂新法緣由是因立法院於5月16日三讀通過個資法修正案,以及部分網際網路零售業個資保護移撥至數發部。
商業司考量到百貨公司、量販店、超市及超商具有大量會員,若未用更高標準訂定個資保護標準,恐釀成為大量個資外流管道,因此依個資法27條規定,為綜合零售業者訂定遊戲規則。
商業司舉例,個資法12條要求業者須提出個資保護安全維護措施,但是並未明訂規範。因此,商業司增訂草案要求企業須有專責人員負責個資安全維護計畫,並定期向企業代表人提出報告;其次,為了不要出現「球員兼裁判」,草案也要求企業資料查核人員不得與專責人員為同一人。
商業司補充,考量到並非所有綜合零售業者都有能力及必要進行專責資料管理,因此草案僅針對資本額達1,000萬元以上、具招募會員,或受經濟部指定公司進行要求。
另外,當會員與業者業務終止後,個資必須以銷毀、移轉或刪除等方式處理,不得再被企業繼續使用,而原本在個資法並無明確要求處理紀錄須保存多久,因此草案規範,至少要保存五年時間,以確保事後發生外洩事件之調查。
商業司補充,雖然本次草案並無列出罰則,但如果業者出現個資外留情事,那麼回歸個資法48條,可以按次處以2萬元以上、20萬元以下罰鍰。
商業司補充,目前仍屬於法案預告期,之後將會邀請相關業者開會討論,再決定之後最終法案版本;法案公告上路後,也會給業者六個月內完成安全維護計畫,隨後才會進行檢查。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言