非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
(以下簡稱個人資料事故),應訂定下列應變、通報及預防機制:
一、個人資料事故發生後應採取之各類措施,包括:
(一)控制當事人損害之方式。
(二)查明個人資料事故後通知當事人之適當方式。
(三)應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後,其矯正預防措施之研議機制。
非公務機關遇有達五千筆以上之個人資料事故時,應於發現後七十二小時
內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人
資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是
否於發現個人資料外洩後立即通報等事項,以書面通報主事務所所在地之
直轄市、縣(市)主管機關,並副知中央主管機關(書面通報格式如附件
)。
直轄市、縣(市)主管機關對於重大個人資料事故,得依本法第二十二條
規定對非公務機關之應變、通報及預防機制進行實地檢查,並視檢查結果
為後續處置。中央主管機關認有必要時,得督導直轄市、縣(市)主管機
關對於非公務機關之相關機制改善情形。
〔立法理由〕 一、本法第十二條規定,非公務機關所持有之個人資料發生被竊取、竄改
、毀損、滅失或洩漏等個人資料事故者,應查明後以適當方式通知當
事人。爰第一項定明非公務機關訂定個人資料安全事故之應變、通報
及預防機制之義務。
二、第二項參考製造業及技術服務業個人資料檔案安全維護管理辦法第二
條規定,係以保有消費者個人資料筆數達五千筆以上之業者應負個人
資料檔案安全維護義務,爰定明非公務機關遇有達五千筆以上之個人
資料被竊取、洩漏、竄改或其他侵害之重大個人資料事故時,負通報
義務。並依行政院一百十年二月三日「行政機關落實個人資料保護執
行聯繫會議」第一次會議決議,定明事故通報時點及應通報事項。
三、為調查事故發生後,是否係非公務機關所採取保護安全措施不足導致
,定明第三項中央及直轄市、縣(市)主管機關對於重大個人資料事
故得採取之措施及後續行政檢查規定。
相關令函 (0) 相關判解 (0) 歷史條次 (0)
|