不僅電商、第三方支付業,數位經濟產業「只要有個資」皆需注意個資安全維護辦法
數位發展部(數位部)已於 10 月 12 日發布「數位經濟相關產業個人資料檔案安全維護管理辦法」。大多數人可能會直覺認為這條辦法影響的產業僅有電商、第三方支付廠商等,但實際上攤開法條查看就會發現,影響產業不僅限電商與第三方支付業者,只要有牽扯到用戶「個資」的產業都得遵循這條特別法;換句話說,不僅是線上,線下服務產業也都得遵循這條辦法。
為何數位部要推「數位經濟相關產業個人資料檔案安全維護管理辦法」?
主要原因在於,今年來各式各樣的個資詐騙事件頻傳,而現在已進入數位時代,企業過往的紙本、卡片會員制也開始以數位會員為主,不僅可更綁定業者與會員間的關係,且還可從會員在自家的消費脈絡來推薦更貼近各消費者需求的商品。然而當一家企業掌握越多會員個資,意味著當發生個資外洩事件後,影響的層面就越廣。
只是這條辦法立意良善,但實際上部分業者實行起來可能窒礙難行。怎麼說?
據「數位經濟相關產業個人資料檔案安全維護管理辦法」規定,「業者應於本辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱安全維護計畫)之規劃及訂定。」且「業者應依其所訂定之安全維護計畫執行之。數位發展部得要求業者提出安全維護計畫之實施情形,業者應於指定期限內,以書面方式提出。」
另外,法條中也規定「業者之資本額為新臺幣一千萬元以上或保有個人資料筆數達五千筆以上者,於安全維護計畫訂定後,應每十二個月至少實施及檢討改善一次。」
而「業者之資本額於本辦法施行後始增資達新臺幣一千萬元以上,或因直接或間接蒐集而保有個人資料達五千筆以上者,應自符合條件之日起六個月後,每十二個月至少實施及檢討改善前項措施一次。」
對於一些企業來說,可能無法挪出多餘人員配置來達到相關辦法的要求。但如果沒跟著法條走,企業又會面臨什麼處置?倘若業者違反此一辦法,那麼就會回歸到原先的「個資法」,將會面臨 2 萬元以上、200 萬元以下的罰鍰,且限期內未更正或情節重大,還可開罰 15 萬元以上、1,500 萬元以下罰鍰,未改正者將按次處罰。
那麼什麼樣的產業會受到這條辦法規範呢?據行政院公報資訊網的資料顯示,電子購物及郵購業、軟體出版業、電腦程式設計、諮詢及相關服務業、資料處理、主機及網站代管服務業、其他資訊服務業、未分類其他金融輔助業(第三方支付服務業)為此一辦法的適用行業。
(Source:行政院公報資訊網)
即便某些產業可能未列入其中,但不代表可以不採取個資保護措施,畢竟原先的個資法也於今年 5 月 16 日三讀通過「個人資料保護法第一條之一、第四十八條、第五十六條」修正草案,主管機關有權可對企業行政檢查,以確保企業是否落實個資相關規定。換句話說,各行各業未來可能都得面臨個資相關法規的限制,因此「只要有牽扯到個資」的業者,都得符合相關規範。
(首圖來源:shutterstock)