防百貨等零售業「會員個資」外泄!經濟部將擴大納管:違者重罰1500萬
經濟部進行零售業個資維護修法,擴大納管範圍,經濟部商業發展署副署長劉雅娟今(13日)說明修法重點。(王玉樹攝)
爲了從上游杜絕詐騙,經濟部今公告零售業個資修法,把資安維護義務擴大到特定商品零售業,如服飾業、汽車用品、家庭用品等,只要資本額千萬元以上,有從事會員資料收集者,都需在半年內需制定個資安全維護計劃,否則最高開罰1500萬。包括大型連鎖傢俱龍頭IKEA、平價服飾店NET等都納管,影響6800家公司(不含分店門市)。
經濟部去年8月已公佈「綜合商品零售業個資安全維護管理辦法」,要求綜合零售業如百貨公司、超市、超商、量販店等,都需制定個資檔案安全維護計劃,並提高罰鍰到1500萬,以示恫嚇。今(13)再公佈修法,把特定商品零售業者也納入,只要資本額達1000萬元以上,且有招募會員或可取得交易對象個資的業者都在管制範圍。
經濟部商業發展署副署長劉雅娟說明新修法有兩大重點,一是「擴大範圍」,新增零售業包括連鎖服飾、文具書店、資訊、家庭等用品等,共計6800家,包括UNIQLO、燦坤、全國電子、NET、IKEA、9乘9文具等,6個月內需完成個資安全維護計劃。
第二是訂定具體的個資安全強化管理措施,劉雅娟表示,企業在資料安全管理上,比如傳輸個人資料、手機、電腦等,都需做適當安全措施,處理利用上要加密,備份資料也需有保護措施。資料放在資訊通訊系統內,密碼要達到一定強度,使用到客戶個資,要做適當遮蔽等。公司系統如跟網路相連,要隨時更新病毒碼,並需做惡意程式檢測、設防火牆、偵測有無異常入侵等,並且要定期演練。
劉雅娟強調,修法主要是強化企業個資保護更新,避免外泄。同時現在詐騙電話橫行,從上游源頭防止個資流出去。公告後半年內,也就是明年5月12日前,被納管業者要完成計劃,商發署到時會對新納管零售業進行抽查。
如果到時查到內部資安維護計劃未做或不合格,第一次處罰2萬到200萬,再不改善則最高1500萬。一般來說,企業資安建制看保護層級,貴的有上千萬以上,定期維護成本則在1、200萬,經濟部強調,如不做處罰很重,更不划算。