零售業個資維護新規範出爐 6800家業者半年內需完成資安計畫

經濟部於11月13日宣布修正「零售業個人資料檔案安全維護管理辦法」，大幅擴大個資維護管理範圍，新增特定商品零售業納入規範。此舉從上游強化個資保護，以因應日益嚴重的詐騙問題。新規定將影響約6800家企業，包括UNIQLO、NET等連鎖服飾、IKEA等家具用品、燦坤、全國電子等電器資訊，以及9乘9文具等文具書店業者。

依據新修正的規範，凡是資本額達1000萬元以上，且有招募會員或可取得交易對象個資的特定商品零售業者，都必須在2025年5月12日前完成個資安全維護計畫。經濟部商業發展署副署長（以下簡稱商發署）劉雅娟指出，本次修法重點在於強化資料安全管理措施。企業在個人資料的傳輸過程中，必須採取適當的加密措施，同時也要確保備份資料的安全性。在實際運用客戶個資時，更需要做好適當的遮蔽保護。

在系統安全管理方面，新規範要求企業必須提升密碼強度，並建立完整的網路安全防護機制。這包括定期更新病毒碼、設置防火牆、建立異常入侵偵測系統等。企業還需定期進行資安演練，確保安全機制的有效性。

對於違規的業者，經濟部訂定了嚴格的處罰機制。首次違規將處以2萬至200萬元罰款，如未改善或情節重大，最高可罰至1500萬元，且採取按次連續處罰制度。商發署副署長劉雅娟強調，企業建置資安系統的成本雖然可能達到千萬元，加上每年約1至200萬元的維護費用，但相較於高額罰款和個資外洩的風險，這項投資是必要且值得的。

值得注意的是，部分產業因已受其他主管機關規範，不適用本辦法，包括中藥、化妝品、西藥零售業，以及多層次傳銷業、農業販賣業、醫療器材零售業和純網路零售業者等。這些業者應依其目的事業主管機關訂定的個資安維辦法執行。

本次修法反映出政府在打擊詐騙、保護個資方面的決心。在電信詐騙案件頻傳的今日，從源頭強化個資保護的重要性更顯突出。零售業者應審慎看待此議題，及早開始規劃與建置相關安全維護措施，以符合法規要求，同時也保障消費者的權益。