個人資料保護法 第 27 條

I 「🥷非公務機關」（例如網路書局、電商或旅行社）保有個人資料檔案（例如姓名、電話號碼）者，應採行『⚠️⚠️適當之安全措施』，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 內控 個資法施行細則12 I 本法第六條第一項但書第二款及第五款所稱📌適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取「技術上」及「組織上」之措施。 II 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。 II 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 III 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。 經濟部（現轉由數位部）先前於110.12就已公布「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」 像是「年度」定期個資盤點及教育訓練、個資重大事故72小時通報期限等事項，都必須予以遵守 可參考 http://www.joinlaw.com.tw/article/show_article.php?id=84 29