Newsletter
行政院要求各機關修訂安全維護辦法並強化個資外洩通報等監管措施
行政院要求各機關修訂安全維護辦法並強化個資外洩通報等監管措施
現行個人資料保護法(下稱「個資法」)並未設置單一專責機關,非公務機關個資保護事宜之監管,係由地方政府及中央目的事業主管機關各自辦理,因此,行政院於2020年12月22日成立「行政機關落實個人資料保護執行聯繫會議」(下稱「聯繫會議」),並於2021年2月3日作成決議,要求各部會修訂其針對特定業別所頒布之安全維護辦法,明定非公務機關遇有個資安全事故者,至遲應於事故發生後72小時內,依法定格式通報或副知中央目的事業主管機關,以確保個資外洩通報義務之一致性。
為強化各部會對所轄行業個資保護事宜之監管,行政院另於2021年8月11日訂定〈行政院及所屬各機關落實個人資料保護聯繫作業要點〉(已於2021年9月3日正式實施,下稱「作業要點」),要求各部會針對使用資通訊系統蒐集、處理或利用個人資料之業者加強管理,修訂其針對特定業別所頒布之安全維護辦法,要求該等業者之個資安全維護計畫至少應納入下列資料安全管理措施:(一)使用者身分確認及保護機制;(二)個人資料顯示之隱碼機制;(三)網際網路傳輸之安全加密機制;(四)個人資料檔案及資料庫之存取控制與保護監控措施;(五)防止外部網路入侵對策;及(六)非法或異常使用行為之監控與因應機制(作業要點第四點)。行政院另要求各部會就尚未訂定安全維護辦法之非公務機關,綜合考量業者規模、保有之個資數量或性質、個資外洩對當事人之影響、國際傳輸頻率等因素,定期檢討訂定安全維護辦法之必要性(作業要點第五點)。此外,行政院更進一步要求各部會於獲悉非公務機關個資外洩案件後72小時內通報國家發展委員會(下稱「國發會」),以建立跨部會之個資保護聯繫機制(作業要點第六點)。
自2021年4月底起,各部會已開始依照聯繫會議2021年2月3日決議,陸續預告安全維護辦法修正草案,明文要求非公務機關於發生個資外洩後72小時內進行通報,作業要點上路後,預期各部會將進一步修訂其針對特定業別所頒布之安全維護辦法,要求使用資通訊系統蒐集、處理或利用個人資料之業者採行額外的資料安全管理措施,此外,由於行政院要求各部會依作業要點第六點規定通報國發會時,必須一併說明後續行政措施及處置情形(包括是否有進行行政檢查等),各地方政府或中央主管機關依個資法第22條規定發起個資行政檢查的頻率亦可能有所增加。
建議業者密切關注中央目的事業主管機關日後的修法動態(特別是各部會已針對該行業頒布安全維護辦法之業者),審慎評估現行安全管理措施是否符合中央目的事業主管機關加強監管措施之要求。本所就個人資料保護相關法律設有「數位產業、通訊傳播與個資保護專業分工小組」,若您有任何疑問,敬請不吝與該小組專家聯繫。