本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之
。
〔立法理由〕 本辦法之法源依據。
|
本辦法所稱主管機關:在中央為文化部;在直轄市為直轄市政府;在縣(
市)為縣(市)政府。
〔立法理由〕 本辦法主管機關。
|
本辦法所稱電影事業係指依電影法第三條規定,從事電影片製作業、電影
片發行業、提供電影器材、設施及技術之事業、電影片映演業之事業。
本辦法所稱消費者,指以消費為目的而為交易、使用商品或接受服務者。
〔立法理由〕 依行政院及所屬各機關落實個人資料保護聯繫作業要點修正規定,有關強
化個人資料安全措施規定,及行政院重大矚目案件調查情形專案小組會議
(第四次會議)要求增訂電影事業個人資料檔案安全維護辦法,基於各電
影產業對於消費者個人資料保護之共通性,爰訂定一體適用之規範,並明
定本辦法之適用對象。
|
電影事業保有消費者個人資料達一萬筆者,應依本辦法規定,規劃、訂定
、修正與執行消費者個人資料檔案安全維護計畫及業務終止後個人資料處
理方法(以下簡稱本計畫及處理方法)。
依前項規定應訂定本計畫及處理方法者,應於本辦法施行之日起六個月內
完成;其於本辦法施行後,保有消費者個人資料筆數始達一萬筆者,應自
保有筆數達一萬筆之日起六個月內完成之。
電影事業依前二項規定完成本計畫及處理方法之訂定後,所保有之消費者
個人資料筆數減少,連續二年期間所保有之筆數未達一萬筆者,得停止本
計畫及處理方法全部或一部之執行。但嗣後保有之消費者個人資料筆數達
一萬筆時,應於保有筆數達一萬筆之日起三十日內,恢復本計畫及處理方
法全部之執行。
前三項消費者個人資料筆數,以電影事業累計所保有之消費者個人資料為
計算基準;其未達一萬筆之事實,應由電影事業證明之。
電影事業經主管機關要求提出本計畫及處理方法實施情形者,應於收受通
知後三十日內,以書面方式提出。
〔立法理由〕 一、考量各類電影事業多屬中小企業,為避免保有消費者個人資料筆數較
少,且規模較小之電影事業負擔過高的法遵成本,規定保有之消費者
個人資料未達一萬筆者不適用本辦法規定,關於筆數的計算方式,以
每個自然人資料的筆數為計算基準。
二、考量訂定消費者個人資料檔案安全維護計畫須一定時間,爰第二項明
定完成之期限,使電影事業於因應本辦法時有所緩衝;本辦法施行前
已依法訂定本計畫及處理方法且符合本辦法所規定事項者,得繼續援
用之。
三、考量電影事業可能因為業務規模或經營模式之改變等因素,致所保有
之消費者個人資料比數減少,且考量其法令遵循之成本,爰第三項明
定退場機制及日後恢復執行要件。
四、第四項明定有關本辦法所提之筆數門檻認定方式,及由保有個人資料
之電影事業就未達筆數門檻負有舉證責任。
|
電影事業依前條規定訂定本計畫及處理方法時,應視其組織規模、特性、
保有個人資料之性質及數量等事項,訂定包含下列各款事項之適當安全維
護管理措施;必要時,第二款各目事項得整併之:
一、電影事業之組織規模及特性。
二、個人資料檔案之安全管理措施:
(一)配置管理之人員及相當資源。
(二)界定蒐集、處理及利用個人資料之範圍。
(三)個人資料之風險評估及管理機制。
(四)事故之預防、通報及應變機制。
(五)個人資料蒐集、處理及利用之內部管理程序。
(六)設備安全管理、資料安全管理及人員管理措施。
(七)認知宣導及教育訓練。
(八)個人資料安全維護稽核機制。
(九)使用紀錄、軌跡資料及證據保存。
(十)個人資料安全維護之整體持續改善。
(十一)業務終止後之個人資料處理方法。
〔立法理由〕 一、考量電影事業大小規模差異,組織型態不盡相同,尚難作統一規範,
爰參照本法施行細則第十二條第二項規定意旨,所採行之安全措施與
所欲達成之個人資料保護目的間,具有適當比例為原則。爰規定電影
事業得參酌其組織規模、特性、保有個人資料之性質及數量等事項,
參考本法第六條至第二十二條及本法施行細則第十二條第二項規定,
訂定適宜並符合比例原則之安全措施,據以執行。
二、考量電影事業為數眾多,為使電影事業於訂定計畫及處理方法時有所
適從,明定電影事業訂定計畫及處理方法時應包括之事項,並保留彈
性空間,電影事業得依個別情況,於必要時整併第二款各目之相關事
項。
|
電影事業應依其業務規模及特性,衡酌經營資源之合理分配,建立個人資
料檔案安全維護管理組織,配置相當人員及資源,負責規劃、訂定、修正
與執行本計畫及處理方法等相關事項。
本計畫及處理方法之訂定或修正,應經電影事業代表人或經其授權之人員
核定。
電影事業應將訂定之安全維護計畫留存營業所在地備查;主管機關得派員
檢查。
〔立法理由〕 一、第一項規定電影事業應指派配置適當管理人員,負責該計畫及處理方
法之規劃、訂定、修正及執行等事宜,並提供適當之資源協助,以為
確保個人資料維護安全措施發揮效能。
二、本法第四十八條第二項、第三項及第五十條規定,對違反本法第二十
七條第一項或未依同條第二項訂定計畫及處理方法之非公務機關之代
表人得併同處罰,爰第二項規定本計畫及處理方法應經電影事業代表
人或經其授權之人員核定。
三、第三項規定將電影事業應將其安全維護計畫留存營業處所備查。
|
電影事業應依個人資料保護相關法令,定期查核確認所保有之個人資料現
況,界定其納入本計畫及處理方法之範圍。
〔立法理由〕 個人資料特定目的之界定及個人資料檔案現況之定期盤點。
|
電影事業應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料之
流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當
之管控機制。
〔立法理由〕 電影事業業務流程之風險分析與管控事項。
|
電影事業應訂定應變機制,於發生個人資料被竊取、洩漏、竄改或其他侵
害事故時,迅速處理以保護當事人之權益。
前項應變機制,應包括下列事項:
一、事故發生後應採取之應變措施,包括降低、控制當事人損害之方式、
查明事故、以適當方式或內容通知當事人。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後研議其矯正預防措施之機制。
電影事業遇有第一項個人資料安全事故時,應自發現事故起七十二小時內
依附表格式通報當地直轄市或縣(市)主管機關並副知中央主管機關,未
於時限內通報者,應敘明理由。
主管機關得知或接獲通報後,得依本法第二十二條至第二十五條規定,派
員檢查並為適當之監督管理措施。
〔立法理由〕 一、第一項至第三項明定電影事業應訂定個人資料安全事故之應變、通報
及預防機制之義務。
二、為調查事故發生是否係電影事業所採取保護安全措施不足導致,第四
項明定中央及地方主管機關對於重大個人資料事故得採取之措施及後
續行政檢查規定。
|
電影事業所屬人員為執行業務而蒐集、處理一般個人資料時,應檢視是否
符合本法第十九條之要件;利用時,應檢視是否符合蒐集之特定目的必要
範圍;為特定目的外之利用時,應檢視是否符合本法第二十條第一項但書
情形。
〔立法理由〕 揭示電影事業所屬人員執行業務蒐集、處理、利用一般個人資料時,應遵
守相關法定要件及程序。
|
電影事業蒐集個人資料,應依本法第八條及第九條有關告知義務之規定辦
理。
〔立法理由〕 為尊重當事人能知曉其個人資料被蒐集、處理及利用之狀況,本法第八條
及第九條規定資料蒐集者有告知義務,爰規定電影事業告知之方法、內容
及相關注意事項,以便所屬人員據以執行。
|
中央主管機關依本法第二十一條規定,對電影事業為限制國際傳輸個人資
料之命令或處分時,電影事業應通知所屬人員遵循辦理。
電影事業將個人資料作國際傳輸者,應檢視是否受中央主管機關限制,並
告知當事人其個人資料所欲國際傳輸之區域,且對資料接收方為下列事項
之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
象及方式。
二、當事人行使本法第三條所定權利之相關事項。
〔立法理由〕 一、中央主管機關依本法第二十一條規定所為之命令或處分,電影事業應
通知所屬人員知曉並遵照辦理。
二、電影事業將個人資料作國際傳輸者,應檢視是否受中央主管機關依本
法第二十一條規定之命令或處分限制,並且告知個人資料所欲國際傳
輸之區域,同時對資料接收方為相關之監督。
|
電影事業對所蒐集保管之個人資料檔案,應設置適當之安全設備或採取防
護措施。
前項安全設備或防護措施,應包括下列事項:
一、紙本資料檔案之安全保護設施。
二、電子資料檔案存放之電腦、自動化機器相關設備、可攜式設備或儲存
媒體,配置安全防護系統或加密機制。
三、存有個人資料之紙本或其他儲存媒介物報廢汰換或轉作其他用途時,
應採取適當之銷毀或防範措施。
〔立法理由〕 為確保電影事業所保管之個人資料檔案不被竊取、竄改、毀損、滅失或洩
漏,爰本條規定業者得視其規模、業務性質、資料儲存之媒介物及其數量
等,於所訂計畫及處理方法中採取必要且適當之安全設備或防護措施。例
如:對紙本資料之保護應採用堅固之保險箱或櫥櫃;電腦設備應設置防火
牆及防毒程式、對複製或上傳檔案行為予以管控、訂定紙本資料之銷燬程
序及其他存放個人資料之媒介物需報廢汰換或轉作其他用途時,應確實刪
除所存之個人資料檔案或防範洩漏個人資料等。
|
電影事業因執行業務以資通訊系統蒐集、處理或利用個人資料,且保有消
費者之個人資料達一萬筆以上者,應於保有筆數達一萬筆之日起六個月內
採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
〔立法理由〕 配合第四條規定,針對電影事業使用資通訊系統蒐集、處理或利用個人資
料達一萬筆者,依行政院及所屬各機關落實個人資料保護聯繫作業要點修
正規定第五點,採取較嚴格之資訊安全六項措施,以落實保護個人資料。
|
電影事業為保護個人資料之安全,應對其所屬人員採取下列措施:
一、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義
務。
二、所屬人員離職時,應將執行業務所持有之個人資料辦理交接,不得在
外繼續使用,並應簽訂保密切結書。
〔立法理由〕 電影事業及所屬人員均應避免個人資料之保管及處理發生弊端,導致侵害
當事人權益情事,爰規定應對所屬人員採取必要且適當之管理措施。
|
電影事業應不定期檢討消費者個人資料檔案安全維護計畫執行情形,並留
存個人資料使用紀錄、軌跡資料或相關證據及紀錄,應至少留存五年。但
法令另有規定或契約另有約定者,不在此限。
電影事業依前項自主檢查結果發現消費者個人資料檔案安全維護計畫不符
法令或不符法令之虞者,應即改善。
〔立法理由〕 一、配合本法施行細則第十二條第二項第九款及第十款之規定,於第一項
明定電影事業應檢查計畫執行情形,並保留執行計畫之證據,以供日
後發生爭議時之佐證。另依據本法第三十條規定有關損害賠償請求權
,應自損害發生時起五年內行使。為避免發生損害請求賠償時,相關
紀錄已遭業者提前銷毀,爰明定應至少留存五年。
二、第二項規定依第一項檢查結果發現計畫有不符法令或不符法令之虞者
,電影事業應作必要之改善。
|
電影事業業務終止後,其保有之個人資料不得繼續使用,應依下列方式處
理,並留存相關紀錄,其保存期限至少五年:
一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該
項個人資料之合法依據。
三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法
、時間或地點。
〔立法理由〕 電影事業應記錄其個人資料使用情況,並留存軌跡資料或相關證據;另於
依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料時,
亦應留存相關紀錄;且上述軌跡資料、相關證據及紀錄,除法令另有規定
或契約另有約定者外,應至少留存五年。
|
電影事業委託他人蒐集、處理或利用個人資料之全部或一部時,應依本法
施行細則第八條規定為適當監督。
電影事業為執行前項監督,應與受託者明確約定相關監督事項及方式。
〔立法理由〕 依本法施行細則第八條之規定,委託他人蒐集、處理或利用個人資料時,
委託者應為適當之監督,避免受託者有違反本法情事發生,爰明定電影事
業委託他人蒐集、處理或利用個人資料時,應為適當之監督,並與受託者
約定相關監督事項與方式。
|
本辦法自發布日施行。
〔立法理由〕 本辦法施行日期。
|