資安消息提升客戶滿意及企業競爭能力公司全體上下人員都有經過 CMMI 軟體成熟度發展教育訓練

【個資保護】經濟部預告零售業個資保護規範，需專責管理
發佈日期：	2023-07-10
內容訊息：	百貨公司、超商及量販點等綜合商品零售業往往具備大量會員資料，但若不適當管理，恐成為個資外洩管道。經濟部23日預告《綜合商品零售業個人資料檔案安全維護管理辦法》草案，要求資本額1,000萬元以上或經濟部指定公司，擁有會員個資，須建立個資檔案安全維護計畫、專人維護。 微風集團資料庫今年2月遭駭，90萬用戶個資、發票、訂單與供應商資料全被放上駭客論壇兜售，後續也遭經濟部開罰。經濟部商業司說明，立法院於5月16日三讀通過個資法修正案後，考量百貨公司、量販店、超市及超商具有大量會員，要用更高標準訂定個資保護標準，否則企業成為大量個資外流管道。因此依個資法27條規定，為綜合零售業者訂定遊戲規則。 商業司舉例，個資法12條要求業者須提出個資保護安全維護措施，但是並未明訂規範。因此，商業司增訂草案要求企業須有專責人員負責個資安全維護計畫，並定期向企業代表人提出報告；其次，為了不要出現「球員兼裁判」，草案也要求企業資料查核人員不得與專責人員為同一人。 商業司補充，考量到並非所有綜合零售業者都有能力及必要進行專責資料管理，因此草案僅針對資本額達1,000萬元以上、具招募會員，或受經濟部指定公司進行要求。 另外，當會員與業者業務終止後，個資必須以銷毀、移轉或刪除等方式處理，不得再被企業繼續使用，而原本在個資法並無明確要求處理紀錄須保存多久，因此草案規範，至少要保存五年時間，以確保事後發生外洩事件之調查。 商業司補充，雖然本次草案並無列出罰則，但如果業者出現個資外留情事，那麼回歸個資法48條，可以按次處以2萬元以上、20萬元以下罰鍰。 商業司補充，目前仍屬於法案預告期，之後將會邀請相關業者開會討論，再決定之後最終法案版本；法案公告上路後，也會給業者六個月內完成安全維護計畫，隨後才會進行檢查。 資料來源：資安人