- 民國 105 年 11 月 09 日
-
一、配合本法施行細則第十二條第二項第一款規定,非公務機關為落實個人資料保護
目的,應考量組織規模與保有個人資料之數量或內容,依比例原則建立技術上及
組織上之措施,俾規劃、訂定、修正與執行本計畫及處理方法之相關事項,防止
個人資料被竊取、竄改、毀損、滅失或洩漏。
二、又非公務機關針對用戶個人資料蒐集、處理及利用,均應考量技術演進及匯流發
展所延伸之通訊傳播服務範圍,並據以規劃、訂定、修正與執行本計畫及處理方
法之相關事項。
三、關於本計畫及處理方法之訂定或修正,是否須經非公務機關之負責人或法定代理
人簽署,本法及本法施行細則未有明文,爰於本條第二項明定之,以利遵循。
四、日本「個人情報保護法」之規定對於資料庫於半年內之任何一日均未累積超過五
千名特定個人資料之事業,不適用之;美國「消費者隱私保護法草案」(
Consumer Privacy Protection Act of 2011, H.R.1528) 於西元二零一一年四
月十三日送交國會進行審議,草案中據以要求任何業者(coverd entity) ,只
要在連續十二個月的期間內,有蒐集、販賣、有償公開或使用超過五千名消費者
之個人資料者。因此,鑒於本法第二條第四款「處理」之定義,並參採日本與美
國西元二零一一年「消費者隱私保護法草案」之處理筆數,爰於第三項明定,蒐
集、處理及利用達五千名用戶個人資料之非公務機關,其訂定之本計畫及處理方
法內容應包含國內(TPIPAS)或國際(P-Mark、ePrivacy-Mark、BS等) 個人資
料安全稽核機制之規劃與執行計畫。
五、按本法第二十七條及本法施行細則第十二條第一項、第二項及其第九款之規定,
應採行適當之安全措施及具有適當比例為原則,並對於資料安全施行稽核機制,
爰參照本會主管之各項業務管理規則,目前業已增修資通安全管理專章,故本項
條文,考量本會監理事業持有用戶之個人資料,具有業務特殊性及商業價值(可
利用於行動商務小額付款平臺、網購服務及商業訊息播送上),且非公務機關蒐
集、處理及利用之個人資料達一定數量者,採第三方稽核機制。