國家通訊傳播委員會就「美好1台」購物頻道106年6月間發生消費者訂購資訊洩漏事件,決議為維護個資安全,命該公司應落實個人資料保護安全維護計畫,精進個資保護機制,同時就各通傳事業在個資與隱私保護與風險控管機制等配套機制進行盤點,並要求完備以符合法遵之要求
國家通訊傳播委員會(NCC)今(11)日於第769次委員會議聽取「美好家庭購物股份有限公司經營之『美好1台』涉及違反個人資料保護法」報告案後表示,106年6月間「美好1台」購物頻道發生消費者訂購資訊洩漏事件,經綜合調查該公司相關事證及內政部警政署分析資料,並參考國際最新個資保護規範後,初步認定該公司依個資法規定建置之制度雖尚稱齊備,惟在資安防護及員工教育訓練等仍有改進空間,應不斷提昇資訊安全防護功能,也必須強化員工教育訓練,以符合國際認證標準。
NCC表示,「美好1台」購物頻道雖已取得ISO 27001資安控管認證,惟仍遭不明人士侵入系統導致消費者訂購資訊洩漏,該公司於整體事件處理及後續補強措施已讓事件落幕,但依個人資料保護法第27條第1項及同法第48條第4款規定,要求該公司應強化通報機制、強化資訊安全防護功能及員工教育訓練,並依個人資料保護法施行細則第12條第2項所列事項規範,落實個人資料保護安全維護計畫,以精進個人資料保護制度。
NCC強調,數位經濟政策向來為各國政府重要施政目標,但惟有在隱私權與個人資料保護機制健全的環境下,方能確保數位經濟發展。為了加速通傳事業對於個資保護與適法利用,NCC於105年11月9日依據個人資料保護法第27條第3項訂定「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」,為督促監理之通訊傳播事業保護消費者個資隱私,除於會內成立「個資保護及資料運用工作小組」就相關議題進行持續研析之外,也進行盤點通傳事業遵循個人資料保護與安全維護執行情形調查,依調查結果,瞭解通傳產業在個資與隱私保護與風險控管機制等配套,是否符合法遵之要求,以及研議未來如有資料運用之可能性應採取何種適法及適足性之要求與措施。
為與國際立法與合作趨勢接軌,NCC也持續密切關注國際最新個資保護規範,包括APEC「跨境隱私保護規則體系(Cross Boarder Privacy Rules system, CBPRs)」倡議的發展動態,以及歐盟明年5月即將生效實施的「一般資料保護規則(The General Data Protection Regulation, GDPR)」規範內容,在工作小組將積極研議如何引領通傳事業導入資訊安全防護措施,未來通傳會在修訂相關主管法規或通傳事業隱私保護規範時,除希望將電子商務與資料跨境流通的需求與風險納入考量,並應密切注意與國內外相關法規的調合及積極參與國際合作,以因應無疆界的網際網路應用發展。