本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之
。
〔立法理由〕 一、本辦法訂定依據。
二、本法第二十七條第二項:「中央目的事業主管機關得指定非公務機關
訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」
及 同條第三項:「 前項計畫及處理方法之標準等相關事項之辦法,
由中央目的事業主管機關定之。」
|
本辦法所稱主管機關:在中央為交通部;在直轄市為直轄市政府;在縣(
市)為縣(市)政府。
〔立法理由〕 本辦法主管機關。
|
本辦法所稱非公務機關,包括下列各款:
一、觀光旅館業。
二、旅館業。
三、民宿。
四、旅行業。
五、觀光遊樂業。
本辦法所稱消費者,指以消費為目的而為交易、使用商品或接受服務者。
〔立法理由〕 一、交通部前依據本法第二十七條第三項規定,訂有觀光旅館業個人資料
檔案安全維護計畫辦法、旅行業個人資料檔案安全維護計畫及處理辦
法、及觀光遊樂業個人資料檔案安全維護計畫及處理辦法,為配合行
政院一百十年八月十一日訂定發布行政院及所屬各機關落實個人資料
保護聯繫作業要點有關強化個人資料安全措施規定,及行政院一百十
年九月二日行政機關落實個人資料保護聯繫會議(第三次會議)要求
增訂旅館業及民宿經營個人資料安全維護辦法,基於各觀光產業對於
消費者個人資料保護之共通性,爰訂定一體適用之規範,並於第一項
明定本辦法之適用對象。
二、依消費者保護法第二條第一款規定,於第二項明示消費者之定義,於
俾利實務運作之認定。
|
非公務機關保有消費者個人資料達八千筆者,應依本辦法規定,規劃、訂
定、修正與執行消費者個人資料檔案安全維護計畫及業務終止後個人資料
處理方法(以下簡稱本計畫及處理方法)。
依前項規定應訂定本計畫及處理方法者,應於本辦法施行之日起六個月內
完成;其於本辦法施行後,保有消費者個人資料筆數始達八千筆者,應自
保有筆數達八千筆之日起六個月內完成之。
非公務機關依前二項規定完成本計畫及處理方法之訂定後,所保有之消費
者個人資料筆數減少,連續二年期間所保有之筆數未達八千筆者,得停止
本計畫及處理方法全部或一部之執行。但嗣後保有之消費者個人資料筆數
達八千筆時,應於保有筆數達八千筆之日起三十日內,恢復本計畫及處理
方法全部之執行。
前三項消費者個人資料筆數,以非公務機關累計所保有之消費者個人資料
為計算基準;其未達八千筆之事實,應由非公務機關證明之。
非公務機關經主管機關要求提出本計畫及處理方法實施情形者,應於收受
通知後三十日內,以書面方式提出。
〔立法理由〕 一、考量各類非公務機關規模及特性差異甚遠,為避免保有消費者個人資
料筆數較少,且規模較小之非公務機關負擔過高的法遵成本,經依旅
館業平均半年總住房數之大數據計算,規定保有之消費者個人資料未
達八千筆者不適用本辦法規定,關於筆數的計算方式,以每個自然人
資料的筆數為計算基準。
二、考量訂定消費者個人資料檔案安全維護計畫須一定時間,爰第二項明
定完成之期限,使非公務機關於因應本辦法時有所緩衝;本辦法施行
前已依法訂定本計畫及處理方法且符合本辦法所規定事項者,得繼續
援用之。
三、考量非公務機關可能因為業務規模或經營之改變等因素,致所保有之
消費者個人資料比數減少,且考量其法令遵循之成本,爰第三項明定
退場機制及日後恢復執行要件。
四、第四項明定有關本辦法所提之筆數門檻認定方式,及由保有個人資料
之非公務機關就未達筆數門檻負有舉證責任。
|
非公務機關依前條規定訂定本計畫及處理方法時,應視其組織規模、特性
、保有個人資料之性質及數量等事項,參酌第六條至第二十一條規定,訂
定包含下列各款事項之適當安全維護管理措施;必要時,第二款各目事項
得整併之:
一、非公務機關之組織規模及特性。
二、個人資料檔案之安全管理措施:
(一)配置管理之人員及相當資源。
(二)界定蒐集、處理及利用個人資料之範圍。
(三)個人資料之風險評估及管理機制。
(四)事故之預防、通報及應變機制。
(五)個人資料蒐集、處理及利用之內部管理程序。
(六)設備安全管理、資料安全管理及人員管理措施。
(七)認知宣導及教育訓練。
(八)個人資料安全維護稽核機制。
(九)使用紀錄、軌跡資料及證據保存。
(十)個人資料安全維護之整體持續改善。
(十一)業務終止後之個人資料處理方法。
〔立法理由〕 一、考量非公務機關大小規模差異,組織型態不盡相同,尚難作統一規範
,爰參照本法施行細則第十二條第二項規定意旨,所採行之安全措施
與所欲達成之個人資料保護目的間,具有適當比例為原則。爰規定非
公務機關得參酌其組織規模、特性、保有個人資料之性質及數量等事
項,參考第六條至第二十二條及本法施行細則第十二條第二項規定,
訂定適宜並符合比例原則之安全措施,據以執行。
二、考量非公務機關為數眾多,為使公務機關於訂定計畫及處理方法時有
所適從,明定非公務機關訂定計畫及處理方法時應包括之事項,並保
留彈性空間,非公務機關得依個別情況,於必要時整併第二款各目之
相關事項。
|
非公務機關應依其業務規模及特性,衡酌經營資源之合理分配,建立個人
資料檔案安全維護管理組織,配置相當人員及資源,負責規劃、訂定、修
正與執行本計畫及處理方法等相關事項。
本計畫及處理方法之訂定或修正,應經非公務機關代表人或經其授權之人
員核定。
個人資料檔案安全維護管理組織,應定期就執行任務情形向非公務機關代
表人或經其授權之人員提出書面報告。
非公務機關應將訂定之安全維護計畫留存營業所在地備查;主管機關得派
員檢查。
〔立法理由〕 一、第一項規定非公務機關應指派配置適當管理人員,負責該計畫及處理
方法之規劃、訂定、修正及執行等事宜,並提供適當之資源協助,以
為確保個人資料維護安全措施發揮效能。
二、本法第四十八條第四款及第五十條規定,對違反本法第二十七條第一
項或未依同條第二項訂定計畫及處理方法之非公務機關之代表人得併
同處罰,爰第二項規定本計畫及處理方法應經非公務機關代表人或經
其授權之人員核定。
三、第三項規定負責計畫及處理方法之管理人員須定期向負責人提出報告
,促使負責人能據以監督計畫及處理方法之執行,落實對個人資料保
護之工作。
四、第四項規定將非公務機關應將其安全維護計畫留存營業處所備查。
|
非公務機關應依個人資料保護相關法令,定期查核確認所保有之個人資料
現況,界定其納入本計畫及處理方法之範圍。
〔立法理由〕 個人資料特定目的之界定及個人資料檔案現況之定期盤點。
|
非公務機關應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料
之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適
當之管控機制。
〔立法理由〕 非公務機關業務流程之風險分析與管控事項。
|
非公務機關為因應消費者個人資料被竊取、竄改、毀損、滅失或洩漏等安
全事故,應訂定下列應變、通報及預防機制:
一、事故發生後應採取之應變措施,包括降低、控制當事人損害之方式、
查明事故後通知當事人之適當方式及內容。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後研議其矯正預防措施之機制。
非公務機關遇有消費者個人資料外洩事故,將危及其正常營運或大量當事
人權益者,應於知悉事故後七十二小時內依附表格式通報其主管機關。如
向地方主管機關通報,非公務機關並應副知中央主管機關。
無法於時限內通報或無法於當次提供前項所述事項之全部資訊者,應檢附
延遲理由或分階段提供。
主管機關得知或接獲第二項通報後,得依本法第二十二條至第二十五條規
定,為適當之監督管理措施。中央主管機關認有必要時,得督導地方主管
機關對於非公務機關之相關機制改善情形。
〔立法理由〕 一、第一項明定非公務機關應訂定個人資料安全事故之應變、通報及預防
機制之義務。
二、第二項為避免重大個人資料事故危及非公務機關營運或影響大量當事
人權益,參酌經濟部製造業及技術服務業個人資料檔案安全維護管理
辦法第六點規定,並依行政院及所屬各機關落實個人資料保護聯繫作
業要點第四點第一項第三款有關個資外洩時應通報之對象、時點、應
通報事項、後續行政檢查等事項訂定。
三、為調查事故發生是否係非公務機關所採取保護安全措施不足導致,第
四項明定中央及地方主管機關對於重大個人資料事故得採取之措施及
後續行政檢查規定。
|
非公務機關所屬人員為執行業務而蒐集、處理一般個人資料時,應檢視是
否符合本法第十九條之要件;利用時,應檢視是否符合蒐集之特定目的必
要範圍;為特定目的外之利用時,應檢視是否符合本法第二十條第一項但
書情形。
〔立法理由〕 揭示非公務機關所屬人員執行業務蒐集、處理、利用一般個人資料時,應
遵守相關法定要件及程序。
|
非公務機關蒐集個人資料,應遵守本法第八條及第九條有關告知義務之規
定,並區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、內容及
注意事項,要求所屬人員確實辦理。
〔立法理由〕 為尊重當事人能知曉其個人資料被蒐集、處理及利用之狀況,本法第八條
及第九條規定資料蒐集者有告知義務,爰規定非公務機關,應區分個人資
料蒐集方式,分別訂定告知之方法、內容及相關注意事項,以便所屬人員
據以執行。
|
中央主管機關依本法第二十一條規定,對非公務機關為限制國際傳輸個人
資料之命令或處分時,非公務機關應通知所屬人員遵循辦理。
非公務機關將個人資料作國際傳輸者,應檢視是否受中央主管機關限制,
並告知當事人其個人資料所欲國際傳輸之區域,且對資料接收方為下列事
項之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
象及方式。
二、當事人行使本法第三條所定權利之相關事項。
〔立法理由〕 一、中央主管機關依本法第二十一條規定所為之命令或處分,非公務機關
應通知所屬人員知曉並遵照辦理。
二、非公務機關將個人資料作國際傳輸者,應檢視是否受中央主管機關依
本法第二十一條規定之命令或處分限制,並且告知個人資料所欲國際
傳輸之區域,同時對資料接收方為相關之監督。
|
非公務機關於個人資料當事人行使本法第三條規定之權利時,應依下列規
定辦理:
一、提供聯絡窗口及聯絡方式。
二、確認為個人資料當事人本人,或經其委託者。
三、認有本法第十條但書各款、第十一條第二項但書或第三項但書規定得
拒絕當事人行使權利之事由時,應附理由通知當事人。
四、有收取必要成本費用者,應告知當事人收費基準。
五、遵守本法第十三條有關處理期限之規定。
〔立法理由〕 依本法第三條規定,當事人就其個人資料得行使查詢或請求閱覽、製給複
製本、補充或更正、停止蒐集、處理或利用及刪除其個人資料等權利,且
非公務機關除依本法第十條但書、第十一條第二項但書或第三項但書規定
得拒絕當事人行使權利之情形外,應依當事人之請求辦理,並應於本法第
十三條規定期間內准駁,爰明定業者應遵循辦理事項,以利資料當事人行
使權利。
|
非公務機關對所蒐集保管之個人資料檔案,應採取必要適當之安全設備或
防護措施。
前項安全設備或防護措施,應包含下列事項:
一、紙本資料檔案之安全保護設施。
二、電子資料檔案存放之電腦、自動化機器相關設備、可攜式設備或儲存
媒體,配置安全防護系統或加密機制。
三、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片
或其他存放媒介物報廢汰換或轉作其他用途時,應採取適當之銷毀或
防範措施,避免洩漏個人資料;委託他人執行者,非公務機關對受託
者之監督依本法第二十條規定辦理。
〔立法理由〕 為確保非公務機關所保管之個人資料檔案不被竊取、竄改、毀損、滅失或
洩漏,爰本條規定業者得視其規模、業務性質、資料儲存之媒介物及其數
量等,於所訂計畫及處理方法中採取必要且適當之安全設備或防護措施。
例如:對紙本資料之保護應採用堅固之保險箱或櫥櫃;電腦設備應設置防
火牆及防毒程式、對複製或上傳檔案行為予以管控、訂定紙本資料之銷燬
程序、磁碟、磁帶、光碟片、微縮片、積體電路晶片及其他存放個人資料
之媒介物需報廢汰換或轉作其他用途時,應確實刪除所存放之個人資料檔
案或防範洩漏個人資料等。
|
非公務機關為確實保護個人資料之安全,應對其所屬人員採取適度管理措
施。
前項管理措施,應包含下列事項:
一、依據業務需求,適度設定所屬人員不同之權限,控管其接觸個人資料
之情形,並定期檢視權限內容之適當性及必要性。
二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負
責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義
務。
四、所屬人員異動或離職時,應將執行業務所持有之個人資料辦理交接,
不得在外繼續使用,並應簽訂保密切結書。
〔立法理由〕 一、非公務機關及所屬人員均應避免個人資料之保管及處理發生弊端,導
致侵害當事人權益情事,爰第一項規定應於計畫及處理方法中對所屬
人員採取必要且適當之管理措施。
二、第二項規定非公務機關應根據業務性質,檢視容易發生問題之處,預
先予以防範。例如:授予必要利用個人資料人員不同等級之權限、所
屬人員在個人資料蒐集、處理及利用流程中有無漏洞、約束規範嚴密
保管個人資料檔案及所屬人員離職時,所持有之個人資料如何交接與
保密切結等事項。
|
非公務機關使用資通訊系統蒐集、處理或利用消費者個人資料達八千筆,
且具對外電子商務服務系統者,應採取下列資料安全管理措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施,應定期演練及檢討改善。
第一項所稱電子商務,係指透過網際網路進行有關商品或服務之廣告、行
銷、供應、訂購或遞送等各項商業交易活動。
〔立法理由〕 一、第一項配合第四條規定,針對非公務機關使用資通訊系統蒐集、處理
或利用個人資料達八千筆者,依行政院一百十年八月十一日訂定之行
政院及所屬各機關落實個人資料保護聯繫作業要點第四點規定,採取
較嚴格之資訊安全六項措施,以落實保護個人資料。六項資訊安全措
施之實作,可參考資通安全責任等級分級辦法附表十資通系統防護基
準辦理。
二、隨網路科技之進步,個人資料遭外部網路入侵或非法或異常使用行為
損害情形層出不窮,故第二項明定針對第一項第五款及第六款所定措
施,非公務機關應定期進行演練及檢討改善。
|
非公務機關應定期或不定期對於所屬人員施以基礎個人資料保護認知宣導
及教育訓練,使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人
資料保護事項之機制、程序及措施。
〔立法理由〕 非公務機關應定期或不定期對所屬人員施以認知宣導或教育訓練,以使所
屬人員能充分認知個人資料保護相關法令及責任範圍,避免發生違法情事
。
|
非公務機關為確保本計畫及處理方法之落實,應依其組織規模及特性,衡
酌資源之合理分配,訂定個人資料安全維護稽核機制,並指定適當人員每
年至少進行一次本計畫及處理方法執行情形之檢查。
前項檢查結果應向代表人提出報告,並留存相關紀錄,其保存期限至少五
年。
非公務機關依第一項檢查結果發現本計畫及處理方法不符法令或有不符法
令之虞者,應即改善。
〔立法理由〕 非公務機關執行個人資料安全維護稽核機制之方法及相關配套措施。
|
非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措
施,應記錄其個人資料使用情況,留存軌跡資料或相關證據。
非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個
人資料後,應留存下列紀錄:
一、刪除、停止處理或利用之方法、時間或地點。
二、將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原因
、對象、方法、時間、地點,及該對象蒐集、處理或利用之合法依據
。
前二項之軌跡資料、相關證據及紀錄,應至少留存五年。但法令另有規定
或契約另有約定者,不在此限。
〔立法理由〕 非公務機關應記錄其個人資料使用情況,並留存軌跡資料或相關證據;另
於依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料時
,亦應留存相關紀錄;且上述軌跡資料、相關證據及紀錄,除法令另有規
定或契約另有約定者外,應至少留存五年。
|
非公務機關應隨時參酌業務與本計畫及處理方法之執行狀況、社會輿情、
技術發展及相關法規增修等因素,檢討所定本計畫及處理方法,必要時予
以修正。
〔立法理由〕 由於科技發展不斷進步,社會活動型態亦隨時改變,爰明定非公務機關應
注意媒體對個人資料侵害、保護事件相關報導,及個人資料保護法令增修
情形,隨時檢討所訂計畫,如有不合時宜之處,應立即修正,以落實保護
個人資料。
|
非公務機關委託他人蒐集、處理或利用個人資料之全部或一部時,應依本
法施行細則第八條規定為適當監督。
非公務機關為執行前項監督,應與受託者明確約定相關監督事項及方式。
〔立法理由〕 依本法施行細則第八條之規定,委託他人蒐集、處理或利用個人資料時,
委託者應為適當之監督,避免受託者有違反本法情事發生,爰明定非公務
機關委託他人蒐集、處理或利用個人資料時,應為適當之監督,並與受託
者約定相關監督事項與方式。
|
非公務機關業務終止後,其保有之個人資料不得繼續使用,應依下列方式
處理,並留存相關紀錄,其保存期限至少五年:
一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該
項個人資料之合法依據。
三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法
、時間或地點。
〔立法理由〕 一、非公務機關因解散、歇業、公司合併或其他原因終止業務後,自不得
再繼續持有使用個人資料,應作妥善處置。爰明定終止業務之非公務
機關,應將所保有之個人資料予以銷毀、移轉或其他刪除、停止處理
或利用等方式處理。
二、非公務機關在銷毀、移轉或其他刪除、停止處理或利用個人資料過程
中,宜保存執行方法、時間、地點、執行人員、接受移轉個人資料之
對象及合法移轉個人資料之法規依據等資料,以便日後舉證。
|
本辦法自發布日施行。
〔立法理由〕 本辦法施行日期。
|