食品業個人資料檔案安全維護計畫實施辦法 草案總說明

食品業個人資料檔案安全維護計畫實施辦法 草案總說明

個人資料保護法(以下簡稱本法)第二十七條規定：「(第一項)非公務 機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊 取、竄改、毀損、滅失或洩漏。(第二項)中央目的事業主管機關得指定 非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理 方法。(第三項)前項計畫及處理方法之標準等相關事項之辦法，由中央 目的事業主管機關定之。」。

鑑於近期個人資料外洩事件頻傳，加強個人資料保護之需求日益殷 切。為維護個人資料之安全性與正確性，並建立對個人資料之管理、稽 核、保存及改善機制，爰依上開規定之授權，擬具「食品業個人資料檔 案安全維護計畫實施辦法」（以下簡稱本辦法），其要點如次：

一、法源依據（草案第一條）

二、本辦法之主管機關。（草案第二條）

三、本辦法之用語定義。(草案第三條)

四、食品業者應訂定安全維護計畫。(草案第四條)

五、食品業者應落實個人資料檔案之安全維護及管理。(草案第五條) 六、食品業者應完成安全維護計畫訂定之期程及主管機關得派員檢查該

計畫。(草案第六條)

七、食品業者應指定專責人員負責個人資料檔案安全維護之相關任務。

（草案第七條）

八、食品業者所保有之個人資料，經定期檢視，應予刪除、銷毀或停止 蒐集、處理及利用之情形。（草案第八條）

九、食品業者蒐集及傳輸個人資料時應符合之規定。（草案第九條）

十、食品業者蒐集個人資料應遵守之告知義務。（草案第十條）

十一、食品業者利用個人資料為宣傳、推廣或行銷時之應符合本法之規 定，並提供當事人或法定代理人拒絕行銷之機制。（草案第十一條）

十二、食品業者委託他人蒐集、處理或利用個人資料時，應對受託者為 適當之監督。（草案第十二條）

十三、食品業者對於當事人行使本法第三條規定之權利，得採行之辦理 方式。(草案第十三條)

十四、食品業者應訂定應變機制。（草案第十四條）

十五、食品業者應設置必要之安全設備及採取必要之防護措施。（草案第 十五條）

十六、食品業者應對其所屬人員採取之措施。（草案第十六條）

十七、食品業者應訂定個人資料檔案安全維護評核機制。（草案第十七條）

十八、食品業者應留存個人資料使用紀錄、自動化機器設備之軌跡資料。

（草案第十八條）

十九、食品業者應定期或不定期對其所屬人員施以個人資料保護相 關 法令規定之教育訓練或宣導。（草案第十九條）

二十、食品業者業務終止後，對其保有之個人資料之處理方法及留存紀 錄。（草案第二十條）

二十一、食品業者應檢視所定計畫之合宜性，以持續改進個人資料保護 機制。（草案第二十一條）

二十二、本辦法施行日。（草案第二十二條）

食品業個人資料檔案安全維護計畫實施辦法草案

條文 說明

第一條 本辦法依個人資料保護法(以下 簡稱本法)第二十七條第三項規定訂定 之。

依個人資料保護法(以下簡稱本法)第二 十七條規定：「(第一項)非公務機關保有 個人資料檔案者，應採行適當之安全措 施，防止個人資料被竊取、竄改、毀損、

滅失或洩漏。(第二項) 中央目的事業主 管機關得指定非公務機關訂定個人資料 檔案安全維護計畫或業務終止後個人資 料處理方法。(第三項) 前項計畫及處理 方法之標準等相關事項之辦法，由中央目 的事業主管機關定之。」，爰明定本辦法 之法源依據。

第二條 本辦法所稱主管機關：在中央為 衛生福利部；在直轄市為直轄市政府；

在縣（市）為縣（市）政府。

本辦法之主管機關。

第三條 本辦法用詞，定義如下：

一、食品業者：指符合食品安全衛生管 理法第三條第七款規定，並已辦理 公司、商業、有限合夥設立登記或 工廠登記，且資本額超過新臺幣三 千萬元以上，並有招募會員或可取 得交易對象個人資料之業者。

二、專責人員：指由食品業者指定，負 責個人資料檔案安全維護計畫(以 下簡稱安全維護計畫)訂定及執行 人員。

三、所屬人員：指食品業者執行業務之 過程，接觸個人資料之人員。

四、查核人員：指由食品業者指定，負 責評核安全維護計畫執行情形及 成效之人員。

前項第二款專責人員與第四款查 核人員，不得為同一人。

一、本辦法之適用對象。

二、食品業者如以公司或商號形式為事業 主體，或經營工廠者，其接觸個人資 料之層面均較複雜；該業者資本額若 達新臺幣三千萬元以上，則其個人資 料管理之風險亦因規模而升高，如又 有以會員制或其他方式取得個人資 料者，即有特別予以規範之必要，爰 明定納入本辦法之列管範圍。

三、為使安全維護計畫有效運作，爰於第 一項明定個人資料安全維護相關人 員，包括個人資料專責人員、查核人 員及所屬人員，並規定所屬人員之定 義。

四、為確保查核制度獨立及確實執行，爰 於第二項明定個人資料專責人員與 查核人員不得為同一人。

第四條 食品業者應依本辦法規定訂定安 全維護計畫。

前項安全維護計畫，應包括下列項 目：

一、個人資料蒐集、處理及利用之內部 管理程序。

二、個人資料之範圍及項目。

三、資料安全管理及人員管理。

四、事故之預防、通報及應變機制。

考量食品業者規模不一，經營主體與型態 未盡相同，尚難作統一規範，且參照本法 施行細則第十二條第二項規定意旨，所採 行之安全措施與所欲達成之個人資料保 護目的間，以具有適當比例為原則，爰明 定食品業者訂定安全維護計畫時，應視其 規模、特性、保有個人資料之性質、方法 及數量等事項，訂定適宜並符合比例原則 之計畫項目。

五、設備安全管理。

六、資料安全稽核機制。

七、使用紀錄、軌跡資料及證據保存。

八、業務終止後，個人資料處理方法。

九、個人資料安全維護之整體持續改善 方案。

第五條 食品業者應依其業務規模及特 性，衡酌經營資源之合理分配，規劃、

訂定、檢討、修正安全維護措施，納入 安全維護計畫，落實個人資料檔案之安 全維護及管理，防止個人資料被竊取、

竄改、毀損、滅失或洩漏。

適用本辦法之業者應配置相當資源，俾規 劃、訂定、檢討、修正與執行安全維護計 畫之相關事項，落實個人資料檔案之安全 維護及管理，防止個人資料被竊竊取、竄 改、毀損、滅失或洩漏。

第六條 食品業者應於本辦法發布施行後 六個月內，完成安全維護計畫之訂定。

食品業者應保存前項安全維護計 畫；主管機關得定期派員檢查。

一、第一項明定食品業者之安全維護計畫 應於本辦法發布施行後，六個月內完 成訂定。

二、第二項明定前項安全維護計畫應妥善 保存，主管機關得派員檢查。

第七條 食品業者應指定第三條第一項第 二款之專責人員，其應定期向食品業者 提出規劃、訂定、修正、執行安全維護 計畫與其他相關事項之報告。

依本法施行細則第十二條規定，本法第二 十七條第一項所稱適當之安全措施，指為 防止個人資料被竊取、竄改、毀損、滅失 或洩漏，採取技術上及組織上之措施，得 包括配置管理之人員及相當資源，為有效 訂定與執行本計畫，食品業者應指定專人 辦理有關事項，爰明定食品業者應指定專 責人員，負責個人資料檔案安全維護，並 明定專責人員之任務。

第八條 食品業者應依第四條第二項第一 款、第二款規定，確認蒐集個人資料之 特定目的，依特定目的之必要性，界定 所蒐集、處理及利用個人資料之範圍及 項目，並定期清查所保有之個人資料現 況。

食品業者經定期檢視，發現有非屬 特定目的必要範圍內之個人資料或特 定目的消失、利用之期間屆滿而無保存 必要者，應依第四條第二項第一款規 定，刪除、銷毀、停止蒐集、處理、利 用或其他適當之處置。

一、食品業者應依本法施行細則第十二條 第二項第二款之規定，於安全維護計 畫中就界定個人資料範圍相關事項 加以規定，爰於第一項明定食品業者 應依蒐集之特定目的，界定所蒐集、

處 理 及 利 用 個 人 資 料 之 範 圍 及 項 目，並定期清查其所保有之個人資料 現況。

二、為維護當事人權益，爰於第二項明定 食品業者對個人資料應於定期清查 後，為適當處置。

第九條 食品業者於蒐集個人資料時，應 檢視是否符合前條第一項所定之範圍 及項目。

食品業者於傳輸個人資料時，應採 取必要保護措施，避免洩漏。

一、第一項明定食品業者蒐集個人資料，

應符合前條第一項所定之範圍及項 目。

二、第二項明定食品業者如有傳輸個人資 料之情事，應採取必要保護措施，避

免洩漏。

第十條 食品業者於蒐集個人資料時，應 遵守本法第八條及第九條有關告知義 務之規定，並區分個人資料屬直接蒐集 或間接蒐集，分別訂定告知方式、內容 及注意事項，要求所屬人員確實辦理。

食品業者應採取適當告知方式以履行告 知義務，如有本法第八條及第九條例外免 告知事由者，並應確認該事由是否符合規 定。

第十一條 食品業者依本法第二十條第一 項規定利用個人資料為宣傳、推廣或行 銷時，應明確告知當事人食品業者立案 名稱及個人資料來源。

食品業者於首次利用個人資料為 宣傳、推廣或行銷時，應提供當事人或 其法定代理人表示拒絕接受宣傳、推廣 或行銷之方式，並支付所需費用；當事 人 或 其 法 定 代 理 人 表 示 拒 絕 接 受 宣 傳、推廣或行銷者，應立即停止利用其 個人資料宣傳、推廣或行銷，並周知所 屬人員。

一、依本法第八條第一項規定，非公務機 關向當事人蒐集個人資料時，應明確 告知當事人非公務機關之名稱，以利 當事人知悉向其為宣導、推廣或行銷 之主體。爰於第一項明定食品業者利 用個人資料為宣傳、推廣或行銷時，

應明確告知當事人之事項。

二、為落實本法第二十條第二項及第三項 規定，爰於第二項明定食品業者應提 供當事人或其法定代理人表示拒絕 接受宣傳、推廣或行銷之方式及拒絕 效果。

第十二條 食品業者委託他人蒐集、處理 或利用個人資料之全部或一部時，應依 本法施行細則第八條規定，對受託者為 適當之監督，並明確約定相關監督事項 及方式。

食品業者將個人資料之蒐集、處理或利用 委託他人為之，應對受託者為適當之監 督，以使資料之蒐集、處理或利用符合法 令之要求。

第十三條 食品業者於當事人或其法定代 理人行使本法第三條規定之權利時，

應依下列方式辦理：

一、確認是否為資料當事人之本人或其 法定代理人，或經其委託。

二、有本法第十條但書、第十一條第二 項但書或第三項但書得拒絕當事 人或其法定代理人行使權利之事 由，一併附理由通知當事人或其法 定代理人。

三、遵守本法第十三條處理期限規定。

四、告知是否依本法第十四條規定酌收 必要費用。

食 品 業 者 為 受 理 前 項 權 利 之 行 使，得提供特定聯絡窗口及聯絡方式為 之。

食品業者對於當事人或其法定代理人行 使本法第三條規定之權利，應遵守本法第 三條、第十條、第十一條、第十三條及第 十四條規定，採取相關方式辦理，以保障 當事人權利。

第十四條 食品業者應依第四條第二項第 四款規定訂定應變機制，於發生個人 資料被竊取、洩漏、竄改或其他侵害

一、本法第十二條規定，非公務機關所持 有之個人資料發生被竊取、洩漏、竄 改或其他侵害事故者，應查明後以適

事故時，迅速處理，以保護當事人之 權益。

食品業者執行前項應變機制，應包 括下列事項：

一、採取適當之措施，控制事故對當事 人造成之損害。

二、查明事故發生原因及損害狀況，以 適當方式通知當事人或其法定代 理人，並通報主管機關。

三、研議改進措施，避免事故再度發 生。

前項第二款通報作業及文件書表 格式，由直轄市、縣(市)主管機關定 之。

當 方 式 通 知 當 事 人 或 其 法 定 代 理 人，爰於第一項明定食品業者在安全 維護計畫中應訂定應變機制。

二、第二項明定前項應變機制應包括事 項，俾利發生個人資料外洩時，得迅 速遵循處理，以保護當事人權益，並 應通報其主管機關。

第十五條 食品業者對所保有之個人資料 檔案，應依據第四條第二項第五款規 定設置必要之安全設備及採取必要之 防護措施。

前項安全設備或防護措施，應包括 下列事項：

一、紙本資料檔案之安全保護設施及管 理程序。

二、電子資料檔案存放之電腦或自動化 機器相關設備，配置安全防護系統 或加密機制。

三、訂定紙本資料之銷毀程序；電腦、

自動化機器或其他儲存媒介物需 報廢汰換或轉作其他用途時，應 採取適當防範措施，避免洩漏個 人資料。

一、為確保食品業者所保管之個人資料檔 案不被竊取、竄改、毀損、滅失或洩 漏，業者得視其規模、業務性質、資 料儲存媒介物及其數量等，爰於第一 項明定，食品業者對所保有之個人資 料，應設置必要之安全設備及採取必 要之防護措施。

二、第二項明定安全設備或防護措施之內 涵。

第十六條 食品業者為確實保護個人資料 之安全，應對其所屬人員採取下列管 理措施：

一、依據業務作業需要，建立管理機 制，設定所屬人員不同之權限，以 控管其接觸個人資料之情形，並定 期確認權限內容之必要性及適當 性。

二、檢視各相關業務之性質，規範所屬 人員執行個人資料蒐集、處理、利 用及其他相關流程。

三、要求所屬人員妥善保管個人資料之 儲存媒介物，並約定保管及保密義 務。

食品業者與所屬人員，不論是何種法律關 係，食品業者都應避免其保管或蒐集、處 理及利用個人資料時，違反個人資料保護 相關法令規定，導致侵害當事人權益情 事，爰明定應採取必要且適當之管理措 施。

四、所屬人員離職時取消其識別碼，並 應要求將執行業務所持有之個人 資料(包括紙本及儲存媒介物)辦 理交接，不得攜離使用，並應簽訂 保密切結書。

第十七條 查核人員應依第四條第二項第 六款規定，定期或不定期評核安全維護 計畫之執行情形及成效，並將評核結 果，向食品業者提出報告。

為 確 保 個 人 資 料 維 護 安 全 措 施 發 生 效 能，明定食品業者應訂定個人資料檔案安 全維護評核機制，定期或不定期檢查安全 維護計畫之執行情形。依本法第五十條規 定，對非公務機關之代表人，因該非公務 機關依本法第四十七條至第四十九條規 定受罰鍰處罰時，除能證明已盡防止義務 者外，應受同一額度罰鍰，爰規定向業者 提出檢查結果報告，促使業者得據以監督 安全維護計畫之執行事項，落實對個人資 料保護之工作。

第十八條 食品業者應依第四條第二項第 七款規定，採行適當措施，留存個人資 料使用紀錄、自動化機器設備之軌跡資 料或其他相關之證據資料，以供必要時 說明其所定安全維護計畫之執行情形。

食 品 業 者 為 證 明 確 實 執 行 安 全 維 護 計 畫，已盡防止個人資料遭侵害之義務，應 視其規模及業務性質採行適當措施，留存 相關證據，以供日後發生問題時提供說明 佐證，以釐清其法律責任。

第十九條 食品業者對於個人資料蒐集、

處理及利用，應符合本法第十九條及第 二十條規定，並應定期或不定期對其所 屬人員施以教育訓練或認知宣導，使其 明瞭個人資料保護相關法令規定、責任 範圍、作業程序及應遵守之相關措施。

食品業者應定期對所屬人員施以教育訓 練或認知宣導，以落實本辦法之執行。

第二十條 食品業者依第四條第二項第八 款規定，對業務終止後，其保有個人 資料之處理方式及留存紀錄如下：

一、銷毀：銷毀之方法、時間、地點及 證明銷毀之方式。

二、移轉：移轉之原因、對象、方法、

時間、地點及受移轉對象得保有該 項個人資料之合法依據。

三、其他刪除、停止處理或利用個人資 料：刪除、停止處理或利用之方 法、時間或地點。

前項紀錄應至少留存五年。

一、食品業者業務於業務終止後，自不得 再繼續使用其所保有之個人資料檔 案，並應作妥善處置。爰終止業務之 食品業者，應視其終止業務之原因，

將所保有之個人資料予以銷毀、刪 除、移轉或其他停止處理或利用等方 式處理。

二、第一項明定食品業者銷毀、刪除、移 轉或刪除、停止處理或利用個人資料 過程中，應保存處理方式、地點、時 間、執行人員、接受移轉資料之對象 及合法移轉依據等資料，以便日後得 以提出舉證。

三、依本法第三十條規定「損害賠償請求 權，自請求權人知有損害及賠償義務 人時起，因二年間不行使而消滅；自 損害發生時起，逾五年者，亦同。」

爰於第二項明定銷毀、移轉、刪除、

停止處理或利用個人資料之紀錄至 少應留存五年。

第二十一條 食品業者應依第四條第二項 第九款規定，參酌安全維護計畫執行狀 況、技術發展、法令依據修正等因素，

檢視所定安全維護計畫是否合宜，必要 時應予修正。

食品業者應參酌相關因素，依據實務運作 及法令變化等情形，檢視或修正安全維護 計畫。

第二十二條 本辦法自發布日施行。 本辦法之施行日期。