【新聞快訊】網際網路零售業個資檔案計畫修正重點

【新聞快訊】網際網路零售業個資檔案計畫修正重點

經濟部於110年12月30日公布修正「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」

個人資料保護法第27條第3項規定中央目的事業主管機關得訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法之標準，而行政院於104年2月10日「消費者個資外洩事件處理機制」研商會議結論二略以，各中央目的事業主管機關應針對轄下所有特許行業，依個人資料保護法第27條規定訂定相關個資檔案安全維護計畫及辦法；上開相關辦法就業者對於當事人之通知義務事項，應明定其通知內容包含「個資外洩之事實、業者所採取之因應措施及所提供之諮詢服務專線」等，因此，於斯時所訂定之網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法即於第8條第1項第2款規定「適時以電子郵件、簡訊、電話或其他便利當事人知悉之適當方式，通知當事人事故之發生與處理情形，及後續供當事人查詢之專線與其他查詢管道」。
而行政院再於110年8月11日函頒「行政院及所屬各機關落實個人資料保護聯繫作業要點」明定強化監管措施，其中特別要求「主管機關應於知悉所監管的業者發現個資外洩事件72小時內通報國發會，並應啓動行政檢查等行政措施，確實執行對非公務機關的監管職責。」也因此促成此次110年12月30日之網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法之修訂。

本次修訂重點如下：

第5條第3項
「本部於必要時，得要求網際網路零售業提出安全維護計畫及其相關文件，並得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。」
增加後段「並得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。」
其理由為「為防止網際網路零售業個人資料檔案外洩，以落實個人資料檔案之安全維護，爰修正第三項，明定主管機關得依個人資料保護法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施，以加強對網際網路零售業個人資料保護之監管。」

第8條第1項第4款
「四、發生重大事故時，應自發現事故時起算七十二小時內，依附表格式，以電子郵件方式通報總機構所在地直轄市或縣（市）主管機關及副知本部，並應視案情發展適時通報處理情形，以及將整體查處過程、結果與檢討等函報總機構所在地直轄市或縣（市）主管機關並副知本部。」
其理由為「、配合行政院一百十年二月三日『行政機關落實個人資料保護執行聯繫會議』第一次會議決議，爰修正第一項第四款，為建立外洩通報義務之一致性，明定網際網路零售業遇有重大事故者，應自發現事故時起算七十二小時內，依附表格式，以電子郵件通報總機構所在地直轄市或縣（市）主管機關及副知本部。又前開總機構所在地，為利業者儘速通報，以業者認定得妥為因應事故處理之主事務所所在地為準。」

本著作由WJH製作，以創用CC 姓名標示-相同方式分享 4.0 國際 授權條款釋出。

該時間限制於原預告之修正草案為「應自事故發生時起算七十二小時內」，不過正式公告版本則調整為「應自發現事故時起算七十二小時內」，此調整賦予網際網路零售業者通報時間之限制，應特別注意。

第9條第2項

網際網路零售業將當事人個人資料作國際傳輸者，應檢視是否受本部限制，並且告知其個人資料所欲國際傳輸之區域，同時對資料接收方為下列事項之監督：一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。 二、當事人行使本法第三條所定權利之相關事項。

其理由為「配合一百十年八月六日「研商非公務機關個人資料國際傳輸之限制」第二次會議決議，網際網路零售業業者將消費者個人資料作跨國（境）之處理或利用時，對於當事人權益甚有影響，爰修正第二項，配合個人資料保護法第二十一條之規定，要求業者將消費者個人資料作國際傳輸者，應檢視是否受本部限制，同時必須告知消費者相關個人資料傳輸之區域，並配合個人資料保護法施行細則第十二條第二項第六款之規定，要求業者應對資料接收方為適當之監督，並納入個人資料檔案安全維護之程序或機制中，有效維持其運作。

而目前我國政府對於個人資料國際傳輸之限制有二單位，包括NCC以大陸地區之個人資料保護法令尚未完備以理由，限制「通訊傳播事業經營者」將所屬用戶之個人資料傳遞至「大陸地區」，以及文化部以涉及國家重大利益之因素，限制「台灣蘋果日報」將所保有的所有個人資料傳輸至台灣以外的地區。而經濟部目前尚無此限制。

（參照：https://www.facebook.com/dinghaomcc/posts/1272574643243311 ）

作者　蕭崴仁律師