什麼是個資法?

經濟部依據個人資料保護法第27條第3項規定,訂定了「綜合商品零售業個人資料檔案安全維護管理辦法」(以下簡稱:綜合零售業個資維護管理辦法),主要目的在為了保護綜合零售業能具備提前降低風險賠償對企業經營的損害,遭遇駭客、或發生資訊安全危機事件時,能有所防範;同時,更是保護消費者在個資上的安全,維護消費交易安全及避免消費者個人資料與資產權益受損失。

個資法”零售業個人資料檔案安全維護管理辦法”適用對象

實體店面或兼營網路銷售的零售業者。
資本額達 1,000 萬元以上的公司、有限合夥或商業登記業者。
招募會員或收集顧客個人資料。
2023/8/1發布施行,第一波納管範圍

超商

雜貨

超級市場、量販店

百貨公司

2024/11/13宣布修正,新增加以下範圍,納入第二波管理

連鎖服飾

文具、書店

鞋類

電器

資訊

家庭用品

為什麼個資法很重要?

對企業來說,理解並遵守個資法是法定義務,更是公司治理的一部分,是日常經營中不可或缺的風險管理策略,因為防範個資外洩事件的重點不僅是合規,更是為了維護企業聲譽與客戶信任,避免影響業務運作、造成客戶訂單流失的窘境。

而跨國企業或供應鏈企業要注意的是,個資風險管理不限於國內市場,若未妥善保護個資,可能同時違反不同國家的法律規定。

為了確保合法合規,應從下面四個層面著手

  • 設定個資管理專責部門,明定個資保護政策、範圍與管控程序,定期PDCA,且上報管轄單位。
  • 將公司內相關個資進行盤點,明確分類,評估風險。
  • 強化相關個資偵測、監控能力,保留相關記錄。
  • 定期稽核上述政策與方案的執行能力。

政府法規相關訊息

零售業個人資料檔案安全維護管理辦法發佈日2024/11/13日起算,6個月內(2025/5/12日前),受規範者必需依照法規辦法,訂定”個人資料檔案安全維護計畫”,該計畫要記載清楚 10 個要項,這些項目皆可委外第三方公正、口碑可靠、專業且有企業資安解決方案與維運管理服務經驗深厚的企業網路服務提供商來協助訂定及執行,內容包含以下。

  • 個人資料蒐集、處理及利用之內部管理程序
  • 個人資料之範圍
  • 資料安全管理及人員管理
  • 認知宣導及教育訓練
  • 事故之預防、通報及應變機制
  • 設備安全管理
  • 資料安全稽核機制
  • 使用紀錄、軌跡資料及證據保存
  • 業務終止後,個人資料處理方法
  • 個人資料安全維護之整體持續改善方案

注意

  • 2025年5月12日前,需訂定相關計畫內容,並提交主管機關審核。
  • 若無個資安全維護計畫,或違反安全維護管理辦法,可處2萬至200萬元罰鍰。
  • 若限期未改善或情節重大,最高可罰至1500萬元,且採按次處罰。

個資維護計畫重點項目

持續執行與建立應變能力
有接觸客戶個資的綜合零售業者 ,資安管理中均需含括個資維護辦法
制定PDCA循環
定期稽核演練上報
委由專業人員監督並做好完整記錄
在必要時配合相關單位機構協助調查
保障個資權利確保個資本人有權選擇是否提供其個資

個資維護計畫執行重點

  • 個資維護計畫需於6個月內完成並記錄保管,主管機關有權利派人調查。
  • 明確定義收集與使用的目的。
  • 定期清查相關資訊是否過期。
  • 個資不再使用時,刪除與銷毀的時間與方式。
  • 個資不再使用時,刪除與銷毀的時間與方式個資數據傳輸時,必需盡到資料傳輸加密的保護措施,要告知當事人資料應用的目的、時間、區域與權利(此項目可委外)。
  • 個資法相關資料要落實在員工守則上,包含權限分工與管理。
  • 在資訊相關部分,針對網站、系統及資料庫等,需有相關安全措施與惡意行為偵測的防護,最後定期演練與改善
    • 使用者身份確認與保護機制。
    • 個人資料顯示之隱碼機制。
    • 網路傳輸安全加密。
    • 檔案與資料庫的存取控制與保護。
    • 防止外部網路入侵。
    • 非法及異常行為的監控與因應。
  • 定期員工宣導、教育訓練,以及員工個資法安全觀念測驗。
  • 事件發生當下,應對措施的判斷標準與行動程序。若有需要,則配合相關單位介入調查。

針對個資維護計畫,當中的10大要項,其它需注意的部分還有:

  • 事件發生當下,應對措施的判斷標準與行動程序。若有需要,則配合相關單位介入調查。
    • 72小時內,通報地方主管機關及中央主管機關。
    • 查明原因後,通知受害人。
    • 檢討與優化安全措施。
  • 紙本資料,必須存放在適當的保管設施,且有管理程序。電子資料檔案的存放,則要有安全防護系統,加密機制的配置。也要有配套的資料銷毀程序。以下舉例:
    • 防火牆
    • 傳輸加密
    • 資料庫的資料雜湊
    • 硬碟銷毀
  • 要有專責人員(包含管理、稽核與查核人員),且不得為同一人。
  • 相關個資記錄必需保存5年(例如個人資料使用記錄、設備資料軌跡…等)。
  • 公司個資管理辦法,要因應科技、使用情境或是政策法令的變化,定期改善與優化。
  • 若個資當事人拒絕提供個資,業者也應有相關聯絡窗口及方式,供個資當事人行使相關權利。
  • 個資的收集、處理與利用,若是委外透過其它廠商,則原業者需要進行適當的監督,而且要清楚載明相關條款於契約或是相關文件中。

個資法的應對方案

企業應該訂立完善的個資管理 SOP,以系統化流程確保合法合規。PDCA 循環協助企業掌握從個資蒐集、傳輸、保存到刪除的每個環節,以利落實個資管理。

而在實際執行層面,相關資料應該妥善保存,不管是紙本、電子檔案還是相關系統資訊,都該有相對應的保護措施。我們可以提供相關解決方案,協助您能夠確保系統安全,防止未經授權的相關存取、洩露或是修改,讓個資在傳輸與保存過程中,安全有保障。

解決方案特色

個人資料加密傳輸加密

為符合法規針對檔案資料的保護要求,我們可以針對資料的存放、使用情況以及傳輸過程進行相關加解密保護,防止資料被有心人士利用。

資產盤點設備管制

清查資訊設備,找出幽靈主機,確認主機軟硬體清單、版本是否更新,降低有漏洞的風險。

網路存取控制防止個資外洩

重要資料被加密後,相關網路行為存取與有可能檔案外傳的途徑,我們也能加以監控與防護,多一個防止個資外洩的保護層。

零信任管理審核機制

禁用不被信任的軟硬體,可用審核機制做特殊放行。

關鍵個資防護重點遮蔽

只要在使用的資料,或是傳輸的檔案內有包含個資,我們能夠判別並且進行防護動作,進一步防止個資外洩。

保存訊息記錄稽核利用

主機記錄、行為記錄、通訊記錄、檔案使用及傳輸記錄等,皆會收集並存放於此,供日後稽核利用。

功能藍圖

個資法對應的解決方案功能範疇

個人資料加密
傳輸加密
  • 加密政策集中管理
  • 檔案自動加解密
    • 特定檔案
    • 特定存放位置
    • 指定副檔名
  • 檔案傳輸加密
  • 限制使用者存取
  • 可設定加密天數
資產盤點
設備管制
  • 網域內主機盤點
  • 作業系統版本確認
  • 主機軟體清單確認
  • 軟體版本確認
  • 主機異動警示
  • 主機資源使用率監控
網路存取控制
防止個資外洩
  • 郵件系統監控
  • 郵件備查
  • 傳輸管道控管
  • 流量監管
    • 檔案使用量
    • 資料夾使用量
    • 網站瀏覽量
  • 瀏覽網站可管控
  • 檔案傳輸可信任清單
  • WIFI連線禁用
  • 軟體通訊限制
零信任管理
審核機制
  • 軟體黑白名單管制
  • 外接硬體管理
    • USB
    • 光碟燒錄機
    • 印表機
    • 外接式硬碟
    • 外接網卡
  • 網站禁用清單
  • 浮水印功能
  • 主管審核放行機制
關鍵個資防護
重點遮蔽
  • 個資過濾分析阻擋
  • 資料遮擋
  • 資料異動限制
  • 自動定期備份
保存訊息記錄
稽核利用
  • 主機告警記錄
  • 相關管制記錄
    • 加密
    • 軟體黑白名單管制
    • 禁用網站管制
    • 網站流量管制
    • 檔案流量管制
    • 通訊管制
    • 檔案傳輸
    • 使用者違規存取
    • 外接裝置管制
  • 主機操作行為記錄
  • 文件編輯記錄