《零售業個人資料檔案安全維護管理辦法》正式生效,強化企業責任與罰則,適用業者數增至原來的10倍
為了提升零售業者對於消費者個資保護的責任義務,經濟部日前頒布修訂《零售業個人資料檔案安全維護管理辦法》,新增適用對象6,800家零售業者,包括常見的UNIQLO、NET與全國電子等,都在擴大適用範圍中。
去年微風百貨發生個資外洩的資安事件,有九十萬名會員權益遭到損害,為了打擊詐騙並保護消費者個資,並要求相關零售業者都需負起個資保護的責任,經濟部進行修法,升級零售業者相關的個資保護相關法規。
經濟部於2024年11月13日修訂發布《零售業個人資料檔案安全維護管理辦法》,並於11月15日正式生效,本次修訂擴大了該辦法的適用範圍,適用對象從原本的「綜合商品零售業」,擴大適用對象至所有資本額達新臺幣1,000萬元以上,且有招募會員或能取得交易對象個人資料的零售業者。
新增擴大適用的對象約6,800家零售業者,較原先690家增加近十倍,涵蓋多家知名品牌如Uniqlo、NET與全國電子等,特許行業或需專門法令規範的業者,例如中藥、西藥、化妝品零售業等,則依其目的事業主管機關制定的相關規範執行,將不在適用範圍之內。
而該辦法從13日發布日算起6個月內(2025年5月12日前),受規範業者必須依照該辦法第四條規定,訂定「個人資料檔案安全維護計畫」,落實個人資料檔案的安全維護及管理,業者對於個人資料有加密、備份必要時,或傳輸個人資料時,及以資通系統直接或間接蒐集、處理或利用個人資料時,應實施資料安全管理措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
修訂法規基礎與擴大適用範圍,強化企業資安責任
根據《個人資料保護法》第27條第3項規定,由零售業的中央目的事業主管機關經濟部訂定《零售業個人資料檔案安全維護管理辦法》,適用各類實體店面或兼營網路銷售的零售業者,但排除由其他中央主管機關管理的行業,例如:康是美藥妝店的中央目的事業主管機關是衛福部,蝦皮或是MoMo網路購物的中央目的事業主管機關則是數位發展部。
該辦法第三條明確定義,零售業者為資本額達新臺幣1,000萬元以上,且從事會員招募或收集個人資料的公司、有限合夥或商業登記業者。經濟部此次修法,就是為了應對零售行業多元化服務帶來的個資管理挑戰,並防止消費者個資因蒐集或處理不當而遭到洩漏。
回顧過去,經濟部在2023年8月1日已經公佈實施《綜合商品零售業個人資料檔案安全維護管理辦法》,適用對象約690家,今年經濟部商業署也依據行政量能進行個資行政檢查的抽查,接受抽查的12家業者都符合相關的個資檔案安全維護計畫。
新修訂後的《零售業個人資料檔案安全維護管理辦法》要求符合條件的業者,必須在法規生效後6個月內完成個資安全維護計畫,經濟部商業署也會研擬抽查頻率,若企業對於個資維護不符規定,也會依照《個人資料保護法》規定,第一次開罰2萬元至200萬元,第二次開罰金額提高至15萬元至1500萬元,屆期未改正者,也會按次處罰。經濟部也希望,藉由較高的罰款給予零售業者警示外,更希望可以驅動業者提高法遵意識,積極投入資安建設,有效降低因資安事件帶來的商譽損失。
落實零售業者的加密備份與通報管理機制
經濟部修法時,在該辦法中,也新增多項針對資料加密、備份及安全管理的具體要求。
依據修正條文第九條規定,便藉由強化資料加密與備份措施的手段,加強個資保護要求,包括:在蒐集、處理或利用個資時,必須採取加密措施,確保資料在存儲或處理過程中不被竄改或洩露;備份資料時,需對備份內容採取適當的保護機制,避免因設備故障或意外造成資料滅失;以及傳輸個資時,應根據傳輸方式選擇適當的安全措施,例如加密通訊或安全協議,防止資料洩漏。
修正條文第十條的規定,則針對使用資通系統蒐集、處理或利用個資的業者,新增一系列資通系統管理的安全升級強化要求。首先,落實帳號與密碼管理,所有資通系統內的帳號需設定認證機制,密碼都需要達到一定的複雜度,並定期更新。
其次,在資料呈現時,必須要採用資料隱碼或遮蔽技術,避免敏感資料直接暴露:第三,執行惡意程式檢測與防護,針對資通系統定期執行惡意程式檢測,並確保防毒軟體和防火牆的即時更新;最後,必須監控異常行為,針對資料的存取行為,設置異常偵測與應變機制,並進行定期演練。
此外,為了強化消費者保護與市場信任機制,修正條文第十二條也規定,一旦發生個資外洩或其他安全事故,業者需在72小時內通報主管機關,並通知受影響的當事人,提供事件處理及補救措施;若向地方主管機關通報,須同步知會中央主管機關。
根據該辦法第十一條與第十四條規定,相關零售業者需定期對員工進行個資保護教育與訓練,確保每位員工瞭解其責任範圍與相關法令;此外,企業也需設置資料安全稽覈人員,定期檢查安全維護計畫的執行情況,並針對缺失進行改善。
該辦法第十七條則要求,零售業者必須每年檢視安全維護計畫的合宜性,並根據技術發展或法令變更進行必要修正,確保計畫不斷優化。
此外,若發生個資外洩事件,主管機關(經濟部、直轄市或地方縣市政府)可依《個人資料保護法》第二十二條規定,對相關的零售業者進行行政調查,要求相關人員配合說明或提供證據,並依調查結果採取必要後續措施。
經濟部此次修法主要目的是希望提升零售業者對於個資保護的責任和義務,提升零售業者本身的競爭力,不僅增加消費者對品牌的信任度,透過法規監督,也可以降低資安與個資外洩事件發生頻率,打造更安全的零售環境。
