【政府規定】數位經濟個資安全辦法 要求大型超商、超市、百貨、量販店 三個月內設定計畫 違者最高罰1500萬元！

為保障消費者個資安全，經濟部已要求大型綜合零售業者在2024年1月31日前制定個人資料檔案安全維護計畫。

這項要求影響約4,000家大型零售業者，違者最高可面臨1,500萬元的罰款。 當消費者在購物過程中被要求加入店家會員並提供個資時，為了預防個資外洩問題，經濟部於2023年8月公布了「綜合商品零售業個人資料檔案安全維護管理辦法」，這項法規針對資本額在千萬元以上、招募會員或能夠取得交易對象個人資料的百貨超商量販店制定，要求在六個月內制定個資安全維護計畫，最後期限為1月31日。

※ 綜合商品零售業個人資料檔案安全維護管理辦法
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCODE=J0080062

換句話說，從2月1日起，未制定個資安全維護計畫的業者可能會受到罰款。 根據經濟部的估算，約有4,000家大型綜合零售業者，主要包括超商、超市、量販店和百貨公司，需要制定個資安全維護計畫，因為這些業者通常招募會員較多，也具有較強的資本實力來進行個資維護。電商業者則不在這次規範之列。 

商業發展署的官員表示，從2月1日開始，經濟部原則上會進行抽查，並且只要有檢舉或個資外洩案例浮現，就會主動進行調查。如果業者無法提供個資安全維護計畫，或違反管理辦法，依據「個資法」第48條的規定，可能會被處以2萬元至200萬元的罰款。若業者未在限期內改善或情節嚴重，則可能面臨15萬元至1500萬元的罰款；若情節嚴重且屆期未改正，則會依次處罰。

※ 個人資料保護法
https://law.moj.gov.tw/LawClass/LawSingleRela.aspx?PCODE=I0050021&FLNO=48&ty=L

商業發展署進一步指出，零售業者制定個資安全維護計畫時，必須包含內部管理程序、資訊安全管理、人員管理、教育訓練、事故預防、通報和應變機制等各方面，並應投入相當資源，確保個資檔案的安全維護和管理，以防止個資被盜取、竄改、毀損、滅失或外洩。 對於個資外洩的應變機制，企業應控制事故對當事人造成的損害，並在事故發現後72小時內向主管機關通報。

此外，法規也規範了會員與業者業務終止後的個資處理，要求至少保留五年，以進行外洩事件的調查。 在行銷活動中利用個資的情況下，綜合商品零售業者應明確告知個人資料的來源。首次進行個人資料行銷時，業者應提供當事人或其法定代理人拒絕接受行銷的方式，若當事人表示拒絕接受行銷，業者應立即停止使用，並通知相關人員。

※ 電商個資安全維護怎落實？數位部訂參考指引 - 自由時報
https://ec.ltn.com.tw/article/breakingnews/4545577