- 民國 111 年 07 月 01 日
-
一、依行政院一百十年九月二日「行政機關落實個人資料保護執行聯繫會議」第三次
會議決議事項辦理。
二、經審酌本會監管事業之業務特殊性、維護及保障消費者個資安全之必要性,並為
確保本會及時知悉重大個人資料事故發生,爰參考資通安全事件通報及應變辦法
規定,於第二項本文明定非公務機關應於知悉該情事後一小時內,進行事故初步
通報,並於七十二小時內依附表格式,查明事故之原因、影響及損害等,以續行
通報本會;又非公務機關接獲本會或有關機關通報發生事故後,為儘速釐清事故
發生原因(如事故是否係因非公務機關所採取之保護安全措施不足所致者),爰
增訂第二項後段規定,明定非公務機關應於四十八小時內依附表格式,查明事故
之原因、影響及損害等,以通報本會為後續適當之監督管理措施。
三、有關第三項重大個人資料事故之定義,將現行規定酌作文字修正,分款臚列為第
一款及第二款;另增列「達本會裁處通訊傳播事業違反個人資料保護法罰鍰案件
處理要點第二點之評量表第(一)項第(13)小項所定很嚴重等級以上」為第三
款,以資明確。
四、第一項第三款所研議之改善措施,應由取得相關認證資格之機構(如經濟部標準
檢驗局認可之國內 CNS、TPIPAS 或國際 P-Mark 、 ePrivacy-Mark、TRUSTe、
BSI、ISO 等個人資料保護管理機制及辦理認證資格之機構),針對事故發生之
原因及規模進行整體診斷及檢視,儘速研議完成,俾利落實改善情形並確認後續
處置作為,避免類似事故重複發生,爰增訂第四項規定。
五、本會依第二項規定,接獲非公務機關通報重大個人資料外洩事故後,得依個人資
料保護法第二十二條至第二十五條等規定,為適當之監督管理措施,如派員檢查
、沒入或命銷毀違法蒐集之個人資料、公布非公務機關之違法情形及其名稱與負
責人姓名等,爰增訂第五項規定。
附表:
一、本附表新增。
二、依行政院一百十年九月二日「行政機關落實個人資料保護執行聯繫會議」第三次
會議決議事項辦理,定明本會指定之非公務機關遇個人資料安全事故發生後,應
依本表格式通報本會。
三、有關通報本會方式及管道(如聯絡電話、電子郵件)等相關資訊,另揭露於本會
官網。
- 民國 105 年 11 月 09 日
-
一、配合本法施行細則第十二條第二項第四款規定,明定應於本計畫及處理方法中訂
定之個人資料安全事故應變、通報及改善機制。
二、按事故應變之首要目標,係根據事故之類型,採取應變措施降低或控制當事人損
害之範圍,並儘速依本法第十二條、本法施行細則第二十二條等規定通知當事人
。爰於第一款規定本計畫及處理方法之應變措施,應包括控制當事人損害之方式
、查明事故後通知當事人之適當方式及內容。
三、次按行政院一百零四年二月十日召開「消費者個資外洩事件處理機制」研商會議
決議,非公務機關如發生個人資料遭竊、外洩等事故,為使有關機關、單位及時
掌握情況,自應以適當方式通報。為利執行,宜將此等通報對象及通報方式,一
併明定於本計畫及處理辦法中,爰為第二款規定。
四、再按避免類似事故重複發生,亦為應變措施之重點,爰於第一項第三款規定本計
畫及處理方法,應明定事故發生後改善措施之研議機制。
五、末按非公務機關如遭遇重大個人資料事故而危及其正常營運或多數當事人權益,
應採取較一般事故更嚴密之應變及預防措施,爰於第二項明定應通報本會。