image
20211229陳秋華、洪國勛■寰瀛法律事務所主持律師、合夥律師

倒數6個月:九大行業須備好個資管理計畫

個人資料保護法(下稱個資法)第27條第1項規定,各行業的公司、團體等對於保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,而針對如銀行、電信、醫院、保險等保有大量且重要之個人資料檔案的業別,主管機關早已要求訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理並確保個人資料之安全維護。

 這二年受新冠肺炎疫情的影響與5G運用持續發展下,各行各業都已加速數位轉型,加上近期興起的元宇宙概念,有關隱私與個人資料保護的課題再次成為關注焦點。內政部為落實個人資料保護,避免民眾的個資洩漏或遭竊,於民國(下同)110年12月1日時,針對指定的政黨及全國性民政財團法人、宗教團體、祭祀團體、殯葬服務業、地政類、合作及人民團體類、警政類、營建類、移民業務機構等行業別,分別發布了個人資料檔案安全維護管理辦法,其中「營建類」包含:營造業、不動產開發業(指以銷售為目的,從事土地、建物等不動產投資興建之行業)、建築師事務所、公寓大廈管理維護公司、都市更新業務財團法人等業者;「地政類」包含:不動產經紀業、租賃住宅服務業、不動產估價師事務所、地政士事務所等業者;「警政類」則包含保全業、當舖業、槍砲彈藥刀械業等業者,範圍極為廣大。

 內政部此次發布之9大行業別的個人資料檔案安全維護管理辦法主要是規範業者就所蒐集的個人資料應視其業務規模、特性、保有個人資料之性質及數量等事項,針對個人資料檔案之安全管理採取下列適當之措施:1、配置管理之人員及相當資源。2、界定蒐集、處理及利用個人資料之範圍。3、個人資料之風險評估及管理機制。4、事故之預防、通報及應變機制。5、個人資料蒐集、處理及利用之內部管理程序。

6、設備安全管理、資料安全管理及人員管理措施。7、認知宣導及教育訓練。8、個人資料安全維護稽核機制。9、使用紀錄、軌跡資料及證據保存。10、個人資料安全維護之整體持續改善。11、業務終止後之個人資料處理方法。並就重大個資外洩事件,要求業者應於發現後72小時內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是否於發現個人資料外洩後立即通報等事項,以書面通報其主管機關部分,此部分通報主管機關之義務則為現行個資法所未規範。

 另持有個人資料達一定數量者,相關辦法亦要求應加強個人資料保護作業,包含:1、使用者身分確認及保護機制。2、個人資料顯示之隱碼機制。3、網際網路傳輸之安全加密機制。4、個人資料檔案與資料庫之存取控制及保護監控措施。5、防止外部網路入侵對策。6、非法或異常使用行為之監控及因應機制。其中第五款及第六款所定措施,應定期演練及檢討改善。

 此外,各項管理辦法也規定,發布施行前已成立的非公務機關,應於辦法發布施行日起6個月內訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法,並報請主管機關備查;未來倘有新成立之非公務機關,亦應於成立後完成相關計畫訂定及備查工作。因此,相關受指定行業,應儘速於111年5月31日前完成相關個人資料檔案安全維護管理計畫,以免遭主管機關依個資法第48條處新臺幣2萬元以上20萬元以下之罰鍰。