百貨、超商注意!零售業「個資維護辦法」上路,洩漏資料最高罰1500萬元
今(1)日起,針對百貨、超市、超商、量販、免稅店等綜合零售業者的個資維護辦法正式上路。
經濟部商業司指出,根據個人資料保護法第27條第3項規定訂定「綜合商品零售業個人資料檔案安全維護管理辦法」,受規範的為符合以下兩點的業者:
- 資本額達新台幣1,000萬元以上
- 有招募會員或可取得交易對象個人資料的綜合商品零售業者。
根據規定,上述業者必須從今日起的6個月內,完成訂定個人資料檔案安全維護計畫。事實上,這不是新法規,而是針對原有法案做更詳細的指引,目標讓業者在資安維護上有具體方向可循。
經濟部商業司指出,所謂的「個人資料檔案安全維護計畫」,內容須包含個人資料蒐集、處理及利用之內部管理程序、界定個人資料之範圍及項目、資訊安全管理及人員管理、實施教育訓練,以及事故預防、通報及應變機制等。與此同時,業者應該配置充足的資源,好好落實個人資料檔案的安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失或洩露。
此外,綜合商品零售業者利用個資為行銷時應符合規定,包括業者首次利用個資為行銷時,應提供當事人或其法定代理人表示拒絕接受行銷的方式,並支付所需費用;當事人或其法定代理人表示拒絕接受行銷者,應立即停止利用。
如果業者違反安全維護管理辦法,即依照個資法規定,處以新台幣2萬元以上、200萬元以下罰鍰;對情節重大者,將處以15萬元以上、1500萬元以下罰鍰。
而針對此次法案修訂,台科大資管系主任、資通安全研究與教學中心主任查士朝表示看法:「雖然有補充原有法案的內容,讓業者在資安維護上有更明確的指引,但還有一些不足之處。比如滲透測試、漏洞修補、病毒監測和預防,並未在法案中被涵蓋,這可能導致執行上出現困難。」因此,他建議未來修訂時應該納入這些重要措施,以確保落實更全面的個資保護。
