為強化政府各機關對個資保護監管措施的落實,行政院建立個人資料保護執行聯繫機制,召開行政院層級的聯繫會議,敦促行政院各主管機關強化對非公務機關業者的監管措施,包括分級管理、個資外洩事件通報、行政檢查等等。

行政院於去年12月召開資安事件之個資外洩因應及風險管理會議,會中決議成立行政機關落實個人資料保護執行聯繫會議(以下簡稱聯繫會議),依分級、課責、通報、跨部會協調四項原則,強化政府各機關對非公務機關的個資保護監管責任。

確立行政院層級的個資保護執行聯繫會議

國發會主委龔明鑫、政務委員羅秉成與唐鳳多次開會,確立強化政府所屬機關對個資外洩通報、監管措施,行政院在今年8月11日更公布「行政院及所屬各機關落實個人資料保護聯繫作業要點」,明訂設立行政院層級的聯繫會議,由行政院長指定一位政務委員擔任召集人,三人擔任協同召集,針對個資外洩或其他個人資料侵害事件,不定期召開,邀中央政府機關、縣市政府及專家與學者出席。聯繫會議由國發會擔任幕僚作業單位。

根據作業要點,聯繫會議主要工作,包括研議中央目的事業主管機關針對特定事業提出的安全維護辦法、統籌個資外洩事件的監督通報、重大個資外洩事件的主管機關認定及協助事件行政檢查的跨機關協調。其他個資侵害事件的跨部會協調聯繫等等。當主管機關向其他行政機關請求行政協助被拒,可函送國發會,請求聯繫會議協調處理。

換言之,過去發生重大個資外洩事件,可能因界線模糊,難以界定主管機關該由哪個機關負責,未來這類重大個資外洩事件會由聯繫會議指定主管機關,迅速啟動監管措施,包括通報、後續的行政檢查。同時,各主管機關啟動行政檢查,請求其他機關行政協助的協調及個資外洩情報分享機制,將由聯繫會議協調及支援。

作業要點也定義重大外洩事件,包括行政院、立法院或監察院關切的個資外洩案件,以及媒體顯著報導的外洩個資事件。另外,作業要點也規定,行政院資通安全處、內政部警政署、法務部調查局,應適時向國發會分享個資外洩案件情報。

要求各主管機關修訂安全維護辦法

鑑於國內個資保護主要採取分散管理架構,由各個中央目的事業主管機關,負責監管非公務機關(業者),近日行政院個資保護執行聯繫會議決議,要求各機關修正目前34項針對特定業別訂定的安全維護辦法,新增分級管理、個資外洩事件通報、行政檢查注意規定等等,加強對業者的監管措施。

包括對業者使用資通訊系統保存消費者個資且達一定門檻,納入加強管理對象。對使用者身分確認及保護機制、個資顯示隱碼機制、網路傳輸安全加密機制、個資檔案與資料庫存取控制與保護、防止外部網路入侵、非法或異常使用行為的監控與因應機制,訂定資安標準規範。

其次,各主管機關對特定業別訂定的安全維護辦法,應明訂業者發生個資外洩事件時,應通報對象、時間、通報事項及行政檢查等。

第三是,主管機關於接獲業者通報資料外洩事件72小時內,需向國發會通報,並啟動行政檢查,落實對業者的監管責任。

行政院個資保護執行聯繫會議也要求主管機關應就業者的規模、保存個資數量及機敏性質,個資外洩對當事人的影響程度、國際傳輸頻率等等,評估修訂安全維護辦法,要求各部會檢討更新安全維護辦法。


熱門新聞

Advertisement