為防止消費者的個資被竊取、竄改、毀損、滅失或洩漏，行政院數位發展部在今年10月12日發布施行了《數位經濟相關產業個人資料檔案安全維護管理辦法》（下稱數位個資辦法）。如果你是「從事以網際網路方式零售商品的行業」（俗稱網購）、「軟體出版業」、「電腦程式設計、諮詢及相關服務業」、「從事代客處理資料、主機及網站代管以及相關服務的行業」、「第三方支付業」、「其他資訊服務業」等「數位經濟相關產業」的業者，則會受到數位個資辦法規範。

■限在明年1月12日前完成，否則恐挨罰

上述業者必須在明年1月12日前訂定《個資安全維護計畫》，如果沒有在期限內完成，則可能會被按次處以2萬元至200萬元的罰鍰；如果情節重大或是經限期改正卻仍未改正，甚至可能會被按次處以15萬元至1,500萬元的罰鍰，不可不慎！

此外，為避免業務規模較小的業者負擔過多成本在訂定及執行《個資安全維護計畫》，數位個資辦法是採分級管理頻率。如果業者的資本額達1,000萬元以上，或是保有個資筆數達5,000筆以上，則必須每年至少實施及檢討改善安全維護計畫一次。另就其他特殊情形（例如在數位個資辦法施行後才增資達1,000萬元以上的業者），該辦法第18條也訂有其他細節性的規定。

業者訂定的《個資安全維護計畫》內必須包含以下的具體內容（參該辦法第3條至第17條），業者並須保存執行《個資安全維護計畫》的相關紀錄至少五年︰

一、業者就個資蒐集、處理、利用的目的及情形，須符合《個人資料保護法》第6條第1項、第7條第1項、第8條、第9條、第19條第1項、第20條的規定。

二、業者須對個資採取適當的安全管理措施，包括加密、備份的保護、傳輸的安全、資通系統的防火牆、電子郵件過濾機制或其他入侵偵測設備、異常存取資料行為的監控、更新並執行防毒軟體、執行惡意程式檢測、設定認證機制、就個資的呈現予以適當且一致性的遮蔽等。

三、就個資被竊取、竄改、毀損、滅失或洩漏等安全事故，若將危及業者的正常營運或大量當事人權益，則業者必須於知悉事故後72小時內通報行政院數位發展部，或通報直轄市、縣（市）政府時副知行政院數位發展部。

四、就個資被竊取、竄改、毀損、滅失或洩漏等安全事故，業者須訂定事故發生後的應變機制（包括降低、控制當事人損害的方式、查明事故後通知當事人的適當方式及內容）、通報機制（通知當事人事故的發生與處理情形，及後續供當事人查詢的管道）、預防機制（研議避免再發生安全事故的措施）。

五、業者須與員工約定個資保密義務、設定員工接觸個資的權限、對員工實施個資保護認知宣導及教育訓練。

六、若業者將個資作國際傳輸，則業者須將欲傳輸的區域告知當事人，並對資料接收方為監督。

七、業者須定期清查確認所蒐集、處理或利用的個資現況，界定哪些個資應納入《個資安全維護計畫》的範圍。並須就個資蒐集、處理或利用的流程，定期評估可能產生的風險，並根據風險評估結果，採行適當的安全措施。且須定期檢查《個資安全維護計畫》執行狀況，並作成評估報告。

八、業者須建置維護個資正確性的機制，以及刪除個資的機制。就當事人對其個資請求查詢、閱覽、製給複製本、補充、更正、刪除、停止蒐集、處理或利用的事宜，業者須規定其行使權利、確認其身分的方式等。

本文發表於工商時報_名家評論專欄：https://www.ctee.com.tw/news/20231226700106-439901