個資法重槌來了！ 個資保護設立專責機關 企業應強化保護措施

近年來由於部分採會員制產業個資外洩事件層出不窮，為避免會員個資流入詐騙集團手中，立法院已於今年5月三讀通過新版個資法，大幅提高罰則至千萬元，並於5月31日施行。此外，政府另擬設立個資保護獨立機關，專責負責全台產業個資保護合規遵循事務，對於採會員制或有蒐集姓名及電話的零售業者，應該如何因應及落實未來專責機關針對企業就個資保護措施所設定之具體規範，將是零售業者當務之急所須面臨的議題。

本次修法規範為若民間企業保有客戶或會員個資時，應採行適當之安全措施，倘若企業未訂立個人資料檔案安全維護計畫或業務終止後個人資料處理方法，且情節重大者，其罰則提高為 1,500萬元，並得按次處罰。因此，若零售業者持有消費者之個資情形，應於近期進行個資盤點，訂定合適自身產業營運需求，且具可執行性的合規個人資料檔案安全維護計畫，以免個資法修正施行後，於個資保護獨立機關對業者實施檢查或請業者提出相關說明時，未能提出合規個人資料檔案安全維護計畫，即遭重罰。

此外，本次修法回應去年8月憲法法院判決認為個資法欠缺獨立監督機制，故要求相關機關應參照歐盟GDPR規定，設置中央級個資保護獨立機關，專責個資保護檢查、個資外洩通報及違規裁罰，取代現行法各產業均有中央目的事業主管機關及地方機關共有檢查及違規裁罰權責。另，依據歐盟個資保護實務經驗，個資保護專責機關職司個資保護各項工作，且具有法律及資安人才，對於企業平時檢查及違規裁罰力道均大幅提高，接受個資外洩通報之因應與調查的方式也趨於完善。

對此，KPMG提醒，零售業者宜於制訂個人資料保護安全維護計畫後，投入適當資源，從軟、硬體設施之強化以及內部訓練之建立等面向，落實個人資料保護制度，防止個人資料被竊取、竄改、毀損、滅失或洩漏而導致業者可能遭主管機關裁罰之風險；同時，業者宜經常性進行員工內部教育訓練，提昇員工對個人資料保護之理解與警覺意識，避免會員/顧客個資遭不當挪用、遭駭客社交工程/網路釣魚外洩之風險，面對未來個資保護機關檢查時，亦能提出相關合規遵循及落實個資保護各項紀錄，以免遭高額裁罰及企業商譽損失。

(本文由KPMG安侯法律事務所合夥律師鍾典晏、KPMG安侯建業消費及零售產業主持會計師黃柏淑/提供)