網際網路的蓬勃發展與普及,加上近年公私部門的數位轉型政策,使資訊的交流傳遞更為便捷,也豐富了我們的眼界與生活,但與此同時,卻也衍生出許多不容忽視的資安風險,且廣泛擴及各類產業,因此《個人資料保護法》(簡稱《個資法》)第 27 條便授權中央目的事業主管機關訂定各事業的資安維護規定;2022 年 1 月,食藥署公告訂定《化粧品批發零售業個人資料檔案安全維護計畫實施辦法》,並自公告日開始施行;對於產業而言,遵循新規範總是相對讓人感覺難以下手,不過別擔心,顧問職人將帶大家快速了解規定內容,及可行的因應方向。
- 適用對象:
■ 資本額新臺幣 3,000 萬元以上,並有招募會員或可取得交易對象個人資料之化粧品批發零售業者: - 專責人員設置要求:
■ 專責人員:指由醫療器材批發零售業者指定,負責個人資料檔案安全維護計畫訂定及執行之人員。
■ 專責人員負責規劃、訂定、修正、執行安全維護計畫,及業務終止後個人資料處理方法與其他相關事項,並定期向公司提出報告。 - 應建置之管控要求:
- 定期監控頻率規劃要求:
■ 應界定所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料現況。
■ 定期檢視發現有非屬特定目的必要範圍內之個人資料,或特定目的消失、期限屆至而無保存必要者,應予刪除、銷毀、停止蒐集、處理、利用或其他適當之處置。 - 個人資料傳輸要求:
■ 若有傳輸個人資料之情形,應建立傳輸保護措施避免洩漏。
■ 若有國際傳輸需求,應檢視是否受中央主管機關限制,並告知當事人擬傳輸之國家或區域。 - 個資蒐集要求:
■ 應依據《個資法》§8、§9 規定辦理,並按直接蒐集或間接蒐集,分別訂定告知方式、內容及注意事項。 - 宣傳、推廣或行銷要求:
應依據《個資法》§20-1 規定辦理,並:■ 明確告知當事人,業者立案名稱及個人資料來源。
■ 首次利用個人資料為宣傳、推廣或行銷時,應提供當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用。
■ 當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷者,應立即停止利用,並告知所屬人員。 - 委託他人蒐集、處理或利用個人資料要求:
■ 業者應依據《個資法施行細則》§8 之規定,對受託人執行監督,並於委託契約或相關文件中,明確規範。 - 當事人或法定代理人行使《個資法》§3 的權利時要求:
■ 提供聯絡窗口及聯絡方式。
■ 確認為個人資料當事人本人、法定代理人,或經其委託之人。
■ 依據《個資法》§10、§11-2、3 之規定,拒絕當事人請求之情形時,須附理由通知當事人或法定代理人。
■ 於時限內回覆訊息(依據《個資法》§13 )。
■ 費用收取(依據《個資法》§14 )。 - 電子商務服務系統應包含之資訊安全措施要求:
■ 使用者身分確認及保護機制。
■ 個人資料顯示之隱碼機制。
■ 網際網路傳輸之安全加密機制。
■ 個人資料檔案及資料庫之存取控 制與保護監控措施。
■ 外部網路入侵防範對策(需定期演練及檢討)。
■ 非法或異常使用系統之監控與因應機制(需定期演練及檢討)。(電子商務:指透過網際網路進行商品或服務之廣告、行銷、供應、訂購、遞送或其他商業交易活動)
- 完成期限:
■ 應於辦法發布施行後 6 個月內(即 2022 年 7 月 19 日前),完成安全維護計畫之訂定;主管機關得定期派員檢查。
總結而言,我們可將「資訊安全維護計畫」區分為 11 項要求、8 類管控作業,並依據公司特性規劃妥適的管理方式,並在後續的執行上,確保持續監控、改善的 PDCA 精神即可將法規逐一落實至公司的常規流程中。
領導力企管提供貴公司最即時、專業、多元且平易近人的客製化服務,讓執行管理系統不再是流於形式的繁複工作,而是真正能提升企業體質、文化的最佳利器!
-----
更多延伸閱讀:
ISO 22716 國際化妝品優良製造規範指引:https://www.isoleader.com.tw/home/iso-coaching-detail/ISO22716
.png)
COMMENTS