個人資料保護法及施行細則自去(2012)年10月1日上路後,目前僅有4個主管機關已公佈個資檔案安全維護計畫。包括管轄範圍大的經濟部或管轄重要產業的金管會都尚未公佈最後正式版本,主要原因是主管機關為免對產業造成過大衝擊,因此持續進行協調中。然而據指出,目前針對零售業,主管機關經濟部商業司已制訂「零售業個資保護注意事項草案」,此份「注意事項」將適用於登記資本額新台幣1000萬元以上者。
經濟部商業司持續推廣個資保護管理制度TPIPAS,日前在說明會中,資策會科法所說明最新零售業個資保護注意事項草案的內容。科法所法律研究員蕭崴仁指出,目前此份注意事項僅適用無店面零售業及採會員制的其他綜合零售業,不含行動或電視購物業者,且針對資本額新台幣1000萬元以上才需符合。其條文重點與其他已公布的個資檔案安全維護計畫大致雷同,包括計畫規劃程序、安全管理措施、認知宣導、稽核及改善程序、紀錄機制等。然而此份注意事項草案現被定位為「行政指導」,商業司正式公布時間未定,公佈前仍可能變化。
根據行政程序法,所謂行政指導「謂行政機關在其職權或所掌事務範圍內,為實現一定之目的,以輔導,協助,勸告,建議或其他不具有法律上強制力之方法,促請特定人為一定作為或不作為之行為。」資安顧問指出,雖然一開始只是行政指導,但如果主管機關確實有針對被檢舉違法者執行檢查,應該還是會有效力,比較有問題的是,若只適用資本額1000萬元的業者,很多電子商務業者資本額在1000萬以下,營業額卻很高,擁有的個資數量也很多,很可能成為漏網之魚。
企業仍需注意個資法適用對象不分產業、不分資本額多寡,因此不論其主管機關是否制訂個資檔案安全維護計畫或是否在適用範圍內,都至少應符合個資法母法及施行細則制訂的標準。目前經濟部商業司所推動的TPIPAS制度,目前已不限零售業或電子商務產業,其他產業包括金融業也都可以提出導入申請。