零售業需訂個資安維計劃 消費者可對行銷說NO

「綜合商品零售業個人資料檔案安全維護管理辦法」今上路,經部指出,業者需於半年內提出個資安全迴護計劃。(資料照)

經濟部依今(1日)發佈「綜合商品零售業個人資料檔案安全維護管理辦法」,業者須於發佈之日起6個月(2024年1月底)完成個人資料檔案安全維護計劃之訂定,包含內部管理程序、人員管理、事故通報機制等。例如一旦發生事故(資料外泄),需於72小時內通知主管機關,並將處理方式通知當事人,首次行銷必須詢問當事人,提供給予拒絕的方式。

經濟部是依據個人資料保護法,針對零售業訂定此辦法。該部表示,爲促使非公務機關投入人力、技術及成本,落實保護民衆個人資料責任,對於資本額達新臺幣1000萬元以上、並有招募會員或可取得交易對象個人資料的綜合商品零售業者,應於本辦法施行之日起6個月內訂定安全維護計劃。

計劃內容要包含個人資料蒐集、處理及利用的內部管理程序、資訊安全管理及人員管理、實施教育訓練,及事故之預防、通報及應變機制等,並應配置相當資源,落實個人資料檔案之安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失或泄露。

一旦事故發生(資料外泄),業者應於72小時內通報主管機關,並查明事故發生原因及損害狀況,通知當事人或其法定代理人。

另外綜合商品零售業者首次利用個人資料爲行銷時,應提供當事人(法定代理人)表示拒絕接受行銷之方式,且一旦獲拒絕,應立即停止利用,並周知所屬人員。

最後要求零售業者要定期檢視,如發現有非屬特定目的必要、期限屆至而無保存必要之個人資料,應予刪除、銷燬或其他適當之處置。