百貨公司、超商及量販點等綜合商品零售業往往具備大量會員資料,但若不適當管理,恐成為個資外洩管道。經濟部23日預告
《綜合商品零售業個人資料檔案安全維護管理辦法》草案,要求資本額1,000萬元以上或經濟部指定公司,擁有會員個資,須建立個資檔案安全維護計畫、專人維護。
微風集團資料庫今年2月遭駭,90萬用戶個資、發票、訂單與供應商資料全被放上駭客論壇兜售,後續也遭經濟部開罰。經濟部商業司說明,
立法院於5月16日三讀通過個資法修正案後,考量百貨公司、量販店、超市及超商具有大量會員,要用更高標準訂定個資保護標準,否則企業成為大量個資外流管道。
因此依個資法27條規定,為綜合零售業者訂定遊戲規則。
商業司舉例,個資法12條要求業者須提出個資保護安全維護措施,但是並未明訂規範。因此,商業司增訂草案要求企業須有專責人員負責個資安全維護計畫,並定期向企業代表人提出報告;其次,為了不要出現「球員兼裁判」,草案也要求企業資料查核人員不得與專責人員為同一人。
商業司補充,考量到並非所有綜合零售業者都有能力及必要進行專責資料管理,因此草案僅針對資本額達1,000萬元以上、具招募會員,或受經濟部指定公司進行要求。
另外,當會員與業者業務終止後,個資必須以銷毀、移轉或刪除等方式處理,不得再被企業繼續使用,而原本在個資法並無明確要求處理紀錄須保存多久,因此草案規範,至少要保存五年時間,以確保事後發生外洩事件之調查。
商業司補充,雖然本次草案並無列出罰則,但如果業者出現個資外留情事,那麼回歸個資法48條,可以按次處以2萬元以上、20萬元以下罰鍰。
商業司補充,目前仍屬於法案預告期,之後將會邀請相關業者開會討論,再決定之後最終法案版本;法案公告上路後,也會給業者六個月內完成安全維護計畫,隨後才會進行檢查。