菸酒事業以資通訊系統蒐集、處理或利用菸酒消費者個人資料，且保有之
個人資料達一萬筆者，應採行下列資訊安全措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案及資料庫之存取控制與保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控與因應機制。
前項第五款及第六款所定措施，應定期演練及檢討改善。

一、本條新增。
二、依行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會
    議」第一次會議決議，為強化資安標準規範，於第一項明定菸酒事業
    以資通訊系統蒐集、處理或利用個人資料，且保有之個人資料達一萬
    筆者，應採行之資料安全管理措施，以落實對個人資料安全之保障。
三、為利菸酒事業建置之個人資料檔案遭遇各類資安事件時，能儘速恢復
    正常並控制損害，爰於第二項明定菸酒事業應針對防範非法入侵或異
    常使用等應變措施，定期進行演練及檢討改善。

本辦法適用對象為菸酒管理法第五條第一項第一款及第二款所定之菸酒製
造業者及菸酒進口業者（以下簡稱菸酒事業）。
菸酒事業應訂定個人資料檔案安全維護計畫（以下簡稱本計畫），以落實
個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅
失或洩漏。
本計畫之內容應包括第四條至第二十二條規定之相關組織及程序，並應定
期檢視及配合相關法令修正。
菸酒事業應將訂定之安全維護計畫留存總機構及營業所在地備查；直轄市
或縣（市）主管機關得派員檢查。

一、第一項酌修文字，增列「第一項」文字，以資明確。
二、第二項及第三項，未修正。
三、增訂第四項。為提升菸酒事業保有個資之管理，參考私立兒童課後照
    顧服務中心個人資料檔案安全維護計畫實施辦法第六條第二項規定，
    明定菸酒事業應將訂定之安全維護計畫留存總機構及營業所在地備查
    ，以及直轄市或縣（市）主管機關得派員檢查。

菸酒事業為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事
故，應採取下列措施：
一、適當之應變措施，以控制事故對當事人之損害，並通報總機構及營業
    所在地直轄市或縣（市）主管機關。
二、查明事故之狀況，並以適當方式通知當事人有關事實、因應措施及諮
    詢服務專線等。
三、研訂預防機制，避免類似事故再次發生。
菸酒事業遇有個人資料安全事故者，應自發現事故時起算七十二小時內，
依附表格式，以電子郵件方式通報總機構及營業所在地直轄市或縣（市）
主管機關及副知財政部，並應視案情發展適時通報處理情形，以及將整體
查處過程、結果與檢討等函報總機構及營業所在地直轄市或縣（市）主管
機關及副知財政部。
菸酒事業依前項規定通報後，主管機關得依本法第二十二條至第二十五條
規定所賦予之職權，為適當之監督管理措施。

一、第一項未修正。
二、增訂第二項。依行政院一百十年二月三日「行政機關落實個人資料保
    護執行聯繫會議」第一次會議決議，為建立外洩通報義務之一致性，
    明定菸酒事業遇有個人資料安全事故者，應自發現事故時起算七十二
    小時內，依附表格式，以電子郵件通報總機構及營業所在地直轄市或
    縣（市）主管機關及副知財政部，並應視案情發展適時通報處理情形
    ，以及將整體查處過程、結果與檢討等函報上開直轄市或縣（市）主
    管機關並副知財政部。
三、增訂第三項。明定主管機關接獲菸酒事業通報個人資料安全事故後，
    得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督
    管理措施。

本辦法自發布後六個月施行。
本辦法中華民國一百十年十月二十六日修正發布之第三條及第七條，自發
布日施行。

一、第一項未修正。
二、增訂第二項。考量本次增訂第十八條之一要求菸酒事業應強化菸酒消
    費者個人資料安全管理措施，需有一定期間配合調整及輔導，爰仍適
    用現行第一項自發布日後六個月施行之規定，至本次修正發布之第三
    條及第七條，明定自發布日施行。