數位部預告訂定數位經濟相關產業類個資檔案安全維護辦法

11/21/2022

---

數位部預告訂定數位經濟相關產業類個資檔案安全維護辦法

因應數位發展部（下稱「數位部」）成立，有關資訊服務、AI、資安、應用軟體、內容軟體等數位經濟相關事項，已改由數位部及其所屬機關承接管理。為加強所管行業之個資保護，數位部依據個人資料保護法（下稱「個資法」）第27條第3項授權，於2022年11月15日預告訂定《數位發展部指定數位經濟相關產業類非公務機關個人資料檔案安全維護管理辦法》草案（下稱「本草案」），要求行業標準分類屬於「487其他無店面零售業（不含電視購物頻道供應者及多層次傳銷業者）」、「582軟體出版業」、「620電腦系統設計服務業」、「631入口網站經營、資料處理、網站代管及相關服務業（不含其他中央目的事業主管機關所管業者）」及「639其他資訊供應服務業」之業者（以下合稱「適用業者」），依照本草案規定訂定「個人資料保護管理政策」及「個人資料檔案安全維護計畫及業務終止後個人資料處理方法」（下稱「個資安全維護計畫」）。

 其中，個資安全維護計畫應包含下列事項之具體內容：

1.         配置管理之人員及相當資源；

2.         界定個人資料之範圍；

3.         個人資料之風險評估及管理機制；

4.         事故之預防、通報及應變機制；

5.         個人資料蒐集、處理及利用之內部管理程序；

6.         國際傳輸限制、告知及監督；

7.         資料、人員及設備安全管理措施；

8.         認知宣導及教育訓練；

9.         資料安全稽核機制；

10.     使用紀錄、軌跡資料及證據保存；及

11.     個資安全維護之整體持續改善。

 本草案尚要求適用業者遇有個資安全事故時，應於知悉事故後72小時內通報數位部（或通報地方政府並副知數位部）。若適用業者提供電子商務服務或資通系統服務，則應採取額外的資料安全管理措施。此外，本草案另要求資本額達新臺幣一千萬元以上之適用業者應每年定期實施特定個資安全維護事項（如個資盤點及風險評估、認知宣導及教育訓練、資料安全稽核等）。

最後，由於適用業者若係受委託蒐集、處理或利用個人資料，依照個資法第4條及其施行細則第7條規定，應依委託機關應適用之規定辦理，故本草案亦提醒相關適用業者應確認委託機關之業別，遵循其主管機關所定之個人資料相關法規。

本所「數位產業、通訊傳播與個資保護專業分工小組」為數位產業訂定或維護「個資安全維護計畫」提供專案服務，若您有任何需要，敬請不吝與該小組專家聯繫。