議題觀點

日商法律服務-留意個人資料檔案安全維護計畫之制定及執行

德勤商務法律事務所 / 林昱瑩資深律師

壹、制定個人資料檔案安全維護計畫之義務

為落實個人資料保護,避免企業所蒐集的個人資料遭洩漏或遭竊,損害民眾權益,內政部於民國(下同)110年12月1日針對指定的政黨及全國性民政財團法人、宗教團體、祭祀團體、殯葬服務業、地政類、合作及人民團體類、警政類、營建類、移民業務機構等非公務機關,分別訂定9項個人資料檔案安全維護管理辦法。其中「地政類」包含:不動產經紀業、租賃住宅服務業、不動產估價師事務所、地政士事務所等業者。「警政類」包含保全業、當舖業、槍砲彈藥刀械業等業者。「營建類」則包含:營造業、不動產開發業(指以銷售為目的,從事土地、建物等不動產投資興建之行業)、建築師事務所、公寓大廈管理維護公司、都市更新業務財團法人等業者,範圍相當廣大。

而原本依個人資料保護法(下稱「個資法」)第27條第1項規定,企業、團體保有個人資料檔案者,應採行適當之安全措施,防止個人資料遭竊取、竄改、毀損、滅失或洩漏,如金融業、旅遊業、網際網路零售業及網際網路零售服務平台業、醫院等保有大量個人資料檔案的業別,主管機關早已要求訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理並確保個人資料之安全維護。

近年知名旅遊業者、電商頻傳個資外洩事故,許多民眾因個資外洩間接受到不肖人士詐騙而有財物損失。日商投資台灣之事業不乏涉及金融、旅遊、餐飲、不動產銷售等保有大量個人資料,依法須制訂個人資料檔案安全維護計畫之業種,蒐集、處理個人資料,如有資安事故發生,影響範圍甚廣,就個人資料之管理、保護義務之踐行,不可不慎。

貳、個人資料檔案安全維護計畫內容概要

各主管機關對於所轄事業所訂定之個人資料檔案安全維護管理辦法,內容雖有些許差異,主要均包含以下內容:

一、個人資料保護之規劃

1.  個人資料檔案安全維護計畫之制定

企業應依其業務規模及特性,衡酌經營資源之合理分配,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法。並就所蒐集之個人資料之內容,界定個人資料範圍及其業務涉及個人資料蒐集、處理、利用之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管理機制。

2.  因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故之應變、通報及預防機制

就個人資料安全事故之預防及發生時之對應,應制定相關機制,包含:控制當事人損害之方式、查明事故後通知當事人之適當方式、應通知當事人事故事實、所為因應措施及諮詢服務專線等內容、事故發生後應受通報之對象及其通報方式、事故發生後,其矯正預防措施之研議機制等。如遇有重大個人資料事故(重大個人資料事故依各主管機關所定辦法定義)者,應於72小時內通報主管機關。

二、個人資料之管理程序及措施

  企業應就以下事項訂定個人資料之管理程序:

  1. 確認蒐集、處理或利用之個人資料之內容,是否包含個資法第六條所定特種個人資料,經當事人書面同意者,檢視是否符合個資法相關規範。
  2. 檢視個人資料之蒐集、處理之方法、特定目的、告知事項、利用,是否符合個資法第7條、第8條、第19條、第20條之規範。
  3. 消費者可行使之權利內容(例如拒絕行銷、更正或刪除個人資料等)。
  4. 持續檢視所保有之個人資料之正確性、特定目的的存在及期限的有效性。
  5. 資料或保存資料之設備之安全措施(加密、備份、權限設定及防護技術等)

三、個人資料之安全稽核、紀錄保存及持續改善機制

為確保個人資料檔案安全維護計畫之落實,企業應依其業務規模及特性,衡酌經營資源之合理分配,訂定適當之個人資料安全稽核機制。就執行個人資料檔案安全維護計畫本計畫所定各種個人資料保護機制、程序及措施,應記錄個人資料使用情況,並留存軌跡資料或相關證據。針對稽核之結果,並應進行修正或改善,以及實施相關教育訓練。

參、違反個資法之責任與個人資料檔案安全維護計畫之重要性

違反個資法之責任,依個資法第28條、第41以下之規定,分為民事損害賠償責任、刑事責任與行政處罰。在民事損害賠償部分,對於不易或不能證明實際損害額時,每人每一事件可求償5百元以上2萬元以下,而同一事件的最高賠償總額為2億元以下。但若可證明實際損害金額每人超過2萬元、總額超過2億元,則以實際的損害額賠償。在刑事責任方面,違法最高可處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金,對於意圖營利而犯罪者,特別加重罰責,最高可處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。行政處罰依違反行為最高可處新臺幣5萬元以上50萬元以下罰鍰,並可限期改善,若未改善可繼續處罰。

而於認定企業是否有違反個資法,如企業經營之事業依個資法第27條之規定應制定資料檔案安全維護計畫者,則是否依照相關規定制定該計畫,以及是否落實計畫內容,將成為法院判斷企業是否就其所保有之個人資料採行適當之安全措施之首要事項(台北地方法院106年度北小字第2161號、士林地方法院107年度消字第6號判決參照),亦是企業抗辯對造主張違反個資法之第一道防線。

是否找到您要的資訊?