非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
(以下簡稱個人資料事故),應訂定下列應變、通報及預防機制:
一、個人資料事故發生後應採取之各類措施,包括:
(一)控制當事人損害之方式。
(二)查明個人資料事故後通知當事人之適當方式。
(三)應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後,其矯正預防措施之研議機制。
非公務機關遇有達一千筆以上之個人資料事故時,應於發現後七十二小時
內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人
資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是
否於發現個人資料外洩後立即通報等事項,以書面通報其主管機關。如為
直轄市、縣(市)主管機關接獲通報,並應副知中央主管機關(書面通報
格式如附件)。
主管機關對於重大個人資料事故,得依本法第二十二條規定對非公務機關
之應變、通報及預防機制進行實地檢查,並視檢查結果為後續處置。中央
主管機關認有必要時,得督導直轄市、縣(市)主管機關對於非公務機關
之相關機制改善情形。
〔立法理由〕 一、本法第十二條規定,非公務機關所持有之個人資料發生被竊取、洩漏
、竄改或其他侵害事故者,應查明後以適當方式通知當事人。爰第一
項明定非公務機關訂定個人資料安全事故之應變、通報及預防機制之
義務。
二、為避免非公務機關個人資料事故危及會(社)務或影響大量當事人權
益,爰第二項定明非公務機關遇有達一千筆以上個人資料被竊取、竄
改、毀損、滅失、洩漏或其他侵害事故,應負通報義務,並依行政院
一百十年二月三日「行政機關落實個人資料保護執行聯繫會議」第一
次會議決議,定明事故通報時點及應通報事項。考量第四條將應訂定
本計畫及處理方法之非公務機關其個人資料筆數門檻為五千筆,爰以
五千筆為一基本規模,於第二項個人資料事故筆數定為一千筆以上作
為大量當事人之判斷基準,非公務機關即應負通報義務。
三、第三項定明為調查事故發生後,是否係非公務機關所採取保護安全措
施不足導致,定明主管機關對於重大個人資料事故得採取之措施及後
續行政檢查規定。所謂重大個人資料事故,指個人資料遭竊取、竄改
、毀損、滅失或洩漏,將影響社會廣大層面、危及非公務機關正常營
運或大量當事人權益等情形,得由主管機關認定為重大個人資料事故
。
相關令函 (0) 相關判解 (0) 歷史條次 (0)
|