为了提升零售业者对于消费者个资保护的责任义务,经济部日前颁布修订《零售业个人资料档案安全维护管理办法》,新增适用对象6,800家零售业者,包括常见的UNIQLO、NET与全国电子等,都在扩大适用范围中。
去年微风百货发生个资外泄的资安事件,有九十万名会员权益遭到损害,为了打击诈骗并保护消费者个资,并要求相关零售业者都需负起个资保护的责任,经济部进行修法,升级零售业者相关的个资保护相关法规。
经济部于2024年11月13日修订发布《零售业个人资料档案安全维护管理办法》,并于11月15日正式生效,本次修订扩大了该办法的适用范围,适用对象从原本的「综合商品零售业」,扩大适用对象至所有资本额达新台币1,000万元以上,且有招募会员或能取得交易对象个人资料的零售业者。
新增扩大适用的对象约6,800家零售业者,较原先690家增加近十倍,涵盖多家知名品牌如UNIQLO、NET与全国电子等,特许行业或需专门法令规范的业者,例如中药、西药、化妆品零售业等,则依其目的事业主管机关制定的相关规范执行,将不在适用范围之内。
而该办法从13日发布日算起6个月内(2025年5月12日前),受规范业者必须依照该办法第四条规定,订定「个人资料档案安全维护计划」,落实个人资料档案的安全维护及管理,业者对于个人资料有加密、备份必要时,或传输个人资料时,及以资通系统直接或间接搜集、处理或利用个人资料时,应实施资料安全管理措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏。
修订法规基础与扩大适用范围,强化企业资安责任
根据《个人资料保护法》第27条第3项规定,由零售业的中央目的事业主管机关经济部订定《零售业个人资料档案安全维护管理办法》,适用各类实体店面或兼营网路销售的零售业者,但排除由其他中央主管机关管理的行业,例如:康是美药妆店的中央目的事业主管机关是卫福部,虾皮或是MoMo网路购物的中央目的事业主管机关则是数位发展部。
该办法第三条明确定义,零售业者为资本额达新台币1,000万元以上,且从事会员招募或收集个人资料的公司、有限合伙或商业登记业者。经济部此次修法,就是为了应对零售行业多元化服务带来的个资管理挑战,并防止消费者个资因搜集或处理不当而遭到泄漏。
回顾过去,经济部在2023年8月1日已经公布实施《综合商品零售业个人资料档案安全维护管理办法》,适用对象约690家,今年经济部商业署也依据行政量能进行个资行政检查的抽查,接受抽查的12家业者都符合相关的个资档案安全维护计划。
新修订后的《零售业个人资料档案安全维护管理办法》要求符合条件的业者,必须在法规生效后6个月内完成个资安全维护计划,经济部商业署也会研拟抽查频率,若企业对于个资维护不符规定,也会依照《个人资料保护法》规定,第一次开罚2万元至200万元,第二次开罚金额提高至15万元至1500万元,届期未改正者,也会按次处罚。经济部也希望,借由较高的罚款给予零售业者警示外,更希望可以驱动业者提高法遵意识,积极投入资安建设,有效降低因资安事件带来的商誉损失。
落实零售业者的加密备份与通报管理机制
经济部修法时,在该办法中,也新增多项针对资料加密、备份及安全管理的具体要求。
依据修正条文第九条规定,便借由强化资料加密与备份措施的手段,加强个资保护要求,包括:在搜集、处理或利用个资时,必须采取加密措施,确保资料在存储或处理过程中不被窜改或泄露;备份资料时,需对备份内容采取适当的保护机制,避免因设备故障或意外造成资料灭失;以及传输个资时,应根据传输方式选择适当的安全措施,例如加密通讯或安全协议,防止资料泄漏。
修正条文第十条的规定,则针对使用资通系统搜集、处理或利用个资的业者,新增一系列资通系统管理的安全升级强化要求。首先,落实帐号与密码管理,所有资通系统内的帐号需设定认证机制,密码都需要达到一定的复杂度,并定期更新。
其次,在资料呈现时,必须要采用资料隐码或遮蔽技术,避免敏感资料直接暴露:第三,执行恶意程式检测与防护,针对资通系统定期执行恶意程式检测,并确保防毒软体和防火墙的即时更新;最后,必须监控异常行为,针对资料的存取行为,设置异常侦测与应变机制,并进行定期演练。
此外,为了强化消费者保护与市场信任机制,修正条文第十二条也规定,一旦发生个资外泄或其他安全事故,业者需在72小时内通报主管机关,并通知受影响的当事人,提供事件处理及补救措施;若向地方主管机关通报,须同步知会中央主管机关。
根据该办法第十一条与第十四条规定,相关零售业者需定期对员工进行个资保护教育与训练,确保每位员工了解其责任范围与相关法令;此外,企业也需设置资料安全稽核人员,定期检查安全维护计划的执行情况,并针对缺失进行改善。
该办法第十七条则要求,零售业者必须每年检视安全维护计划的合宜性,并根据技术发展或法令变更进行必要修正,确保计划不断优化。
此外,若发生个资外泄事件,主管机关(经济部、直辖市或地方县市政府)可依《个人资料保护法》第二十二条规定,对相关的零售业者进行行政调查,要求相关人员配合说明或提供证据,并依调查结果采取必要后续措施。
经济部此次修法主要目的是希望提升零售业者对于个资保护的责任和义务,提升零售业者本身的竞争力,不仅增加消费者对品牌的信任度,透过法规监督,也可以降低资安与个资外泄事件发生频率,打造更安全的零售环境。