法規資訊

法規資訊
法規名稱: 菸酒事業個人資料檔案安全維護管理辦法
時間: 中華民國110年10月26日
立法沿革: 中華民國 110年10月26日財政部台財庫字第11003776640號令修正發布第3 條、第 7條、第23條;增訂第18條之1條文及第7條附表,除第3條及第7條 自發布日施行外,自發布後六個月施行
法規體系: / 行政 / 財政 / 處務

立法總說明

菸酒事業個人資料檔案安全維護管理辦法(以下簡稱本辦法)係依據個人
資料保護法第二十七條第三項授權,於一百零四年八月二十八日訂定發布
,自發布後六個月施行以來,迄今未曾修正。依行政院一百十年二月三日
「行政機關落實個人資料保護執行聯繫會議」第一次會議決議,為強化菸
酒事業對個人資料檔案之安全維護,爰修正本辦法部分條文,修正重點如
下:
一、為提升菸酒事業保有個資之管理,增訂菸酒事業應將訂定之安全維護
    計畫留存總機構及營業所在地備查,以及直轄市或縣(市)主管機關
    得派員檢查等規定。(修正條文第三條)
二、為強化菸酒事業個資外洩通報機制,增訂菸酒事業個資外洩之通報對
    象、時點、應通報事項及後續行政檢查等規定。(修正條文第七條)
三、增訂菸酒事業以資通訊系統蒐集、處理或利用個資,且保有之個資達
    一萬筆者,應採行之資料安全管理措施,並對防範非法入侵或異常使
    用等應變措施,定期演練及檢討改善。(修正條文第十八條之一)
四、本次修正條文之施行日期。(修正條文第二十三條)

法規異動

修正

菸酒事業以資通訊系統蒐集、處理或利用菸酒消費者個人資料,且保有之
個人資料達一萬筆者,應採行下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案及資料庫之存取控制與保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控與因應機制。
前項第五款及第六款所定措施,應定期演練及檢討改善。
〔立法理由〕
一、本條新增。
二、依行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會
    議」第一次會議決議,為強化資安標準規範,於第一項明定菸酒事業
    以資通訊系統蒐集、處理或利用個人資料,且保有之個人資料達一萬
    筆者,應採行之資料安全管理措施,以落實對個人資料安全之保障。
三、為利菸酒事業建置之個人資料檔案遭遇各類資安事件時,能儘速恢復
    正常並控制損害,爰於第二項明定菸酒事業應針對防範非法入侵或異
    常使用等應變措施,定期進行演練及檢討改善。
本辦法適用對象為菸酒管理法第五條第一項第一款及第二款所定之菸酒製
造業者及菸酒進口業者(以下簡稱菸酒事業)。
菸酒事業應訂定個人資料檔案安全維護計畫(以下簡稱本計畫),以落實
個人資料檔案之安全維護與管理,防止個人資料被竊取、竄改、毀損、滅
失或洩漏。
本計畫之內容應包括第四條至第二十二條規定之相關組織及程序,並應定
期檢視及配合相關法令修正。
菸酒事業應將訂定之安全維護計畫留存總機構及營業所在地備查;直轄市
或縣(市)主管機關得派員檢查。
〔立法理由〕
一、第一項酌修文字,增列「第一項」文字,以資明確。
二、第二項及第三項,未修正。
三、增訂第四項。為提升菸酒事業保有個資之管理,參考私立兒童課後照
    顧服務中心個人資料檔案安全維護計畫實施辦法第六條第二項規定,
    明定菸酒事業應將訂定之安全維護計畫留存總機構及營業所在地備查
    ,以及直轄市或縣(市)主管機關得派員檢查。

菸酒事業為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事
故,應採取下列措施:
一、適當之應變措施,以控制事故對當事人之損害,並通報總機構及營業
    所在地直轄市或縣(市)主管機關。
二、查明事故之狀況,並以適當方式通知當事人有關事實、因應措施及諮
    詢服務專線等。
三、研訂預防機制,避免類似事故再次發生。
菸酒事業遇有個人資料安全事故者,應自發現事故時起算七十二小時內,
依附表格式,以電子郵件方式通報總機構及營業所在地直轄市或縣(市)
主管機關及副知財政部,並應視案情發展適時通報處理情形,以及將整體
查處過程、結果與檢討等函報總機構及營業所在地直轄市或縣(市)主管
機關及副知財政部。
菸酒事業依前項規定通報後,主管機關得依本法第二十二條至第二十五條
規定所賦予之職權,為適當之監督管理措施。
〔立法理由〕
一、第一項未修正。
二、增訂第二項。依行政院一百十年二月三日「行政機關落實個人資料保
    護執行聯繫會議」第一次會議決議,為建立外洩通報義務之一致性,
    明定菸酒事業遇有個人資料安全事故者,應自發現事故時起算七十二
    小時內,依附表格式,以電子郵件通報總機構及營業所在地直轄市或
    縣(市)主管機關及副知財政部,並應視案情發展適時通報處理情形
    ,以及將整體查處過程、結果與檢討等函報上開直轄市或縣(市)主
    管機關並副知財政部。
三、增訂第三項。明定主管機關接獲菸酒事業通報個人資料安全事故後,
    得依本法第二十二條至第二十五條規定所賦予之職權,為適當之監督
    管理措施。

本辦法自發布後六個月施行。
本辦法中華民國一百十年十月二十六日修正發布之第三條及第七條,自發
布日施行。
〔立法理由〕
一、第一項未修正。
二、增訂第二項。考量本次增訂第十八條之一要求菸酒事業應強化菸酒消
    費者個人資料安全管理措施,需有一定期間配合調整及輔導,爰仍適
    用現行第一項自發布日後六個月施行之規定,至本次修正發布之第三
    條及第七條,明定自發布日施行。