網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法

立法總說明

《網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法總說明（104.09.17 訂定）》 個人資料保護法（以下稱本法）於九十九年五月二十六日修正公布名稱及全文，並經行政院公告除第六條及第五十四條外，自一百零一年十月一日施行，以貫徹對人格權之保護並促進個人資料之合理利用；本法第二十七條第二項規定，授權中央目的事業主管機關得指定特定之非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，同條第三項並明定，中央目的事業主管機關得就該事項訂定相關辦法。 鑑於晚近個人資料外洩事件頻傳，加強個人資料保護之需求已日益殷切。依行政院一百零四年二月十日「消費者個資外洩事件處理機制」研商會議決議，各中央目的事業主管機關應針對轄下所有特許行業，依本法第二十七條第三項規定訂定相關辦法；經濟部（以下簡稱本部）並應儘速就零售業優先訂定該辦法。 按網際網路零售業及網際網路零售服務平台業因其業務所需，有必要保有大量個人資料，爰本部依本法第二十七條第三項規定，訂定網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法，條文重點如下： 一、本辦法所稱之網際網路零售業及網際網路零售服務平台業，分別係指以網際網路方式零售商品及經營供他人零售商品之網際網路平台之業者，且登記資本額為新臺幣一千萬元以上之股份有限公司，或受本部指定之公司或商號。但不包括應經特許、許可或受專門管理法令規範之行業。（第二條） 二、網際網路零售業應設個人資料管理單位或適當組織，負責訂定個人資料保護管理政策（以下簡稱個資保護政策）及個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱安全維護計畫）。（第三條） 三、網際網路零售業應對內公開周知個資保護政策。（第四條） 四、網際網路零售業之安全維護計畫應納入符合第六條至第十九條規定之具體內容，並依法令、業務或環境之變動，適時檢討修正之。（第五條） 五、網際網路零售業應建立個人資料檔案清冊及作業流程之說明文件。（第六條） 六、網際網路零售業應適時並每年定期評估其因蒐集、處理或利用個人資料可能面臨的風險，並訂定適當之管控及因應措施。（第七條及第八條） 七、網際網路零售業應訂定個人資料管理具體程序或機制。（第九條） 八、網際網路零售業應提醒消費者並公告消費者個人資料之保護機制。（第十條） 九、網際網路零售業應訂定適當之人員、作業、設備及技術之安全管理措施。（第十一條至第十五條） 十、網際網路零售業應每年定期實施所屬人員之個人資料保護與管理之認知宣導及教育訓練。（第十六條） 十一、網際網路零售業業務一部或全部終止時，原則上應將個人資料刪除、銷毀或停止處理、利用。（第十七條） 十二、網際網路零售業安全維護計畫之內部稽核規定。（第十八條） 十三、網際網路零售業應留存之紀錄及證據。（第十九條） 十四、網際網路零售服務平台業準用網際網路零售業之相關規定，其安全維護計畫並應納入對平台使用者進行個人資料保護及管理之認知宣導或教育訓練，及要求平台使用者遵守個人資料保護守則等事項。（第二十條）