| |
| 第一條 |
本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。 |
| 第二條 |
多層次傳銷事業應於完成報備後二個月內,訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下合稱個人資料保護事項),並確實執行。 |
| 第三條 |
多層次傳銷事業就個人資料保護之規劃,應考量下列事項: |
| |
一、 |
配置管理人員及相當資源。 |
| |
二、 |
界定個人資料之範圍並定期清查。 |
| |
三、 |
依已界定之個人資料範圍及個人資料蒐集、處理、利用之流程,分析可能產生之風險,並根據風險分析之結果,訂定適當之管控措施。 |
| |
四、 |
就所保有之個人資料被竊取、竄改、毀損、滅失或洩露等事故,採取適當之應變措施,以控制事故對當事人之損害;於事後研議預防機制,避免類似事故再度發生。 |
| |
五、 |
對於所屬人員施以宣導或教育訓練。
|
| |
多層次傳銷事業應於發現個人資料外洩後七十二小時內填列個人資料侵害事故通報與紀錄表(如附件)通報公平交易委員會(以下簡稱本會)及以適當方式通知當事人。
本會接受前項通報後,即依本法第二十二條至第二十五條規定所賦予之職權,為適當之監督管理措施。 |
| 第四條 |
多層次傳銷事業就個人資料之管理程序,應遵循下列事項: |
| |
一、
|
確認一般個人資料及本法第六條之特種個人資料之屬性,分別訂定管理程序。
|
| |
二、 |
檢視蒐集、處理個人資料之特定目的,及是否符合免告知之事由,以符合本法第八條及第九條關於告知義務之規定。
|
| |
三、 |
檢視蒐集、處理個人資料是否符合本法第十九條規定,具有特定目的及法定要件,及利用個人資料是否符合本法第二十條第一項規定於特定目的內利用;於特定目的外利用個人資料時,檢視是否具備法定特定目的外利用要件。 |
| |
四、 |
委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並明確約定相關監督事項與方法。
|
| |
五、 |
利用個人資料為行銷時,倘當事人表示拒絕行銷後,立即停止利用其個人資料行銷,並週知所屬人員;於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。 |
| |
六、 |
進行個人資料國際傳輸前,檢視有無本會依本法第二十一條規定為限制國際傳輸之命令或處分,並應遵循之。 |
| |
七、 |
當事人行使本法第三條所規定之權利時,確認是否為個人資料之本人,並遵守本法第十三條有關處理期限之規定。 |
| |
八、 |
為維護所保有個人資料之正確性,檢視於蒐集、處理或利用過程,是否正確,發現個人資料不正確時,適時更正、補充或通知曾提供利用之對象;個人資料正確性有爭議者,依本法第十一條第二項規定處理之方式。 |
| |
九、 |
檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;確認特定目的消失或期限屆滿時,依本法第十一條第三項規定處理。 |
| 第五條 |
多層次傳銷事業訂定個人資料檔案安全維護計畫,應包括下列事項: |
| |
一、 |
資料安全管理措施。 |
| |
二、 |
人員管理措施。 |
| |
三、 |
設備安全管理措施。 |
| |
四、 |
傳銷商規範措施。 |
| 第六條 |
前條第一款之資料安全管理措施,包括下列事項: |
| |
一、 |
運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時,訂定使用可攜式設備或儲存媒介物之規範。 |
| |
二、 |
針對所保有之個人資料內容,如有加密之需要,於蒐集、處理或利用時,採取適當之加密機制。 |
| |
三、 |
作業過程有備份個人資料之需要時,比照原件,依本法規定予以保護之。 |
| |
四、 |
個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物,嗣該媒介物於報廢或轉作其他用途時,採適當防範措施,以免由該媒介物洩漏個人資料。 |
| |
五、 |
委託他人執行前款行為時,對受託人依本法施行細則第八條規定為適當之監督,並明確約定相關監督事項與方式。 |
| 第六條之一 |
多層次傳銷事業提供電子商務服務系統,應採取下列資訊安全措施: |
| |
一、 |
使用者身分確認及保護機制。 |
| |
二、 |
個人資料顯示之隱碼機制。 |
| |
三、 |
網際網路傳輸之安全加密機制。 |
| |
四、 |
個人資料檔案及資料庫之存取控制與保護監控措施。 |
| |
五、 |
防止外部網路入侵對策。 |
| |
六、 |
非法或異常使用行為之監控與因應機制。 |
| |
前項所稱電子商務,係指透過網際網路進行有關商品或服務之廣告、行銷、供應及訂購等各項商業交易活動。
第一項第五款及第六款所定措施,應定期演練及檢討改善。 |
| 第六條之二 |
多層次傳銷事業進行個人資料國際傳輸前,應檢視有無本會依本法第二十一條規定所為國際傳輸之限制,並告知傳銷商其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督: |
| |
一、 |
預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。 |
| |
二、 |
當事人行使本法第三條所定權利之相關事項。 |
| 第七條 |
第五條第二款之人員管理措施,包括下列事項: |
| |
一、 |
依據作業之需要,適度設定所屬人員不同之權限並控管其接觸個人資料之情形。 |
| |
二、 |
檢視各相關業務流程涉及蒐集、處理及利用個人資料之負責人員。 |
| |
三、 |
與所屬人員約定保密義務。 |
| 第八條 |
第五條第三款之設備安全管理措施,包括下列事項: |
| |
一、 |
保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦或自動化機器設備等媒介物之環境,依據作業內容之不同,實施適宜之進出管制方式。 |
| |
二、 |
所屬人員妥善保管個人資料之儲存媒介物。 |
| |
三、 |
針對不同媒介物存在之環境,審酌建置適度之保護設備或技術。 |
| 第九條 |
第五條第四款之傳銷商規範措施,包括下列事項: |
| |
一、 |
傳銷商自多層次傳銷事業蒐集他人個人資料,其要件及程序。 |
| |
二、 |
傳銷商為從事多層次傳銷經營業務,非自多層次傳銷事業蒐集之他人個人資料,相關蒐集、處理、利用行為之規範約束。 |
| 第十條 |
多層次傳銷事業訂定業務終止後個人資料處理方法,應依下列方式為之,並留存相關紀錄: |
| |
一、 |
銷毀:銷毀之方法、時間、地點及證明銷毀之方式。 |
| |
二、 |
移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。 |
| |
三、 |
其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。 |
| 第十一條 |
多層次傳銷事業訂定個人資料保護事項,應以電子文件方式傳送至本會備查,內容修訂時亦同。
|
| 第十二條 |
多層次傳銷事業應參酌執行業務現況、技術發展及法令變化等因素,檢視或修訂個人資料保護事項。
|
| 第十三條 |
多層次傳銷事業應採取個人資料使用紀錄、留存自動化機器設備之軌跡資料或其他相關證據保存機制,以供說明執行個人資料保護事項之情況。 |
| 第十四條 |
本辦法自發布日施行。
|