經部擴大列管 UNIQLO、全國電等須提個資維護計畫



為防堵個資外洩,經濟部今天發布零售業個資維護辦法,擴大納管家數並強化資安規範,新增納管對象約6800家,包括UNIQLO、NET和全國電子等,業者須於明年5月12日前完成制定個資安全維護計畫,若違反規定最高可罰新台幣1500萬元。

為強化業者落實對個人資料的保護,經濟部已於去年8月1日公布施行綜合商品零售業個人資料檔案安全維護管理辦法,首波納管業者已依照規定,完成制定個人資料檔案安全維護計畫。

經濟部商業發展署今年8月13日預告修正零售業個人資料檔案安全維護管理辦法,納管範圍從原先的綜合商品零售業,擴大至專責特定商品的零售業,今天發布修正辦法,將於11月15日正式生效。

商業署副署長劉雅娟說明,這次修正後擴大適用範圍,屬於零售業別、資本額達新台幣1000萬元以上,且有招募會員或可取得交易對象個資的業者,皆納入規範,包括服飾、汽車用品、家庭用品零售業,約6800家業者,UNIQLO、主富公司(NET)和全國電子等。

商業署表示,對於其他中央目的事業主管機關主管、經特許、許可或受專門管理法令規範,或僅以網路方式經營、由網路零售拓展實體通路,如中藥零售業、化妝品零售業、西藥零售業、多層次傳銷業、農業販賣業、醫療器材零售業等,則應適用其目的事業主管機關訂定的個資安維辦法。

劉雅娟表示,這次修法也加強資料安全管理措施,例如傳輸個人資料須採取適當的安全措施,個資、備份等文件需要加密和適當的保護措施;資通訊系統的密碼須達一定強度,若系統與網路相連,要隨時更新病毒碼,並設立防火牆、偵測是否有異常入侵。

劉雅娟進一步指出,發現有許多個資外洩主因(為)系統遭到異常入侵,若有提早到偵測異常入侵,即可預防個資外洩事件。

根據規定,零售業個人資料檔案安全維護管理辦法發布後,業者須於6個月內完成制定個人資料檔案安全維護計畫,也就是明年5月12日前完成。

劉雅娟表示,明年將邀請資安和法律專家,針對新納入的業者進行抽查,查核內容包括業者的安維計畫與實際執行狀況,以及公司內部資安教育訓練、內稽內控等。

依照個資法規定,若業者違反安全維護管理辦法,將處以2萬元以上、200萬元以下罰鍰,並限期改正,若限期未改善或情節重大,將處以15萬元以上、1500萬元以下罰鍰;屆期未改正者,採按次處罰。