2023年上半年,臺灣包含運輸產業及零售業分別爆發重大個人資料外洩事件,除了讓受駭單位疲於奔命外,也讓主管機關承受了相當大的壓力。因應近年發生許多實體零售業個資外洩的案件,引起社會關注,進而於去年催生了個資法修正作業,大幅提高業者違反個資法的罰責,而另一方面,經濟部商業發展署於去年頒布了「綜合商品零售業個人資料檔案安全維護管理辦法」,要求百貨公司、大賣場及超商等實體零售業者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。而在當今資訊技術日益發展的時代,數位風險有增無減的趨勢已經無法回頭,實體零售業者在進行數位化及線上線下整合的轉型上,大量運用了資通系統處理消費者及會員的個人資料,也面臨著嚴峻的個人資料保護挑戰。考量在立法及行政逐漸強化實體零售業者的個資保護責任趨勢下,應採取以下措施進行因應:
一、建立隱私政策並制訂個資安全維護計畫:首先,實體零售業者應制定清晰的隱私政策,明確說明收集的個人資料類型、收集目的、保存方式、以及與第三方共享的情況。此政策應公開透明,並易於顧客獲取。此外,依據「綜合商品零售業個人資料檔案安全維護管理辦法」,綜合商品零售業者應訂定個人資料檔案安全維護計畫。
二、數據最小化原則:只收集實現業務目的所必需的個人資料,避免過度收集。這不僅能減少資料被濫用的風險,也能提升顧客的信任。
三、資料安全措施:實施強化的安全措施來保護個人資料免受未經授權的訪問、洩露或毀損。這包括物理安全措施(如安全鎖、監控攝像頭)和技術安全措施(如加密、防火牆和定期的安全稽核)。例如去年發生業者將客戶訂單資訊上傳雲端,未採取加密措施並限制外部訪問,導致客戶訂單資訊外洩的事故。
四、員工培訓:定期對員工進行個人資料保護和資訊安全的培訓,增強其對保護顧客隱私重要性的認識,並教授如何在日常工作中實踐這些原則。依據「綜合商品零售業個人資料檔案安全維護管理辦法」,綜合商品零售業者應訂定認知宣導及教育訓練計畫,包括定期對所屬人員進行個人資料保護認知宣導與教育訓練,使其明瞭相關法令之規定、所屬人員之責任範圍與各種個人資料保護事項之機制、程序及管理措施。
五、建立個資事故之預防、通報及應變機制:制定有效的應變計劃,以應對可能的資料洩露事件。一旦發生資料洩露,應立即採取行動,包括通知受影響的顧客和主管機關,並採取措施防止未來的洩露。依據「綜合商品零售業個人資料檔案安全維護管理辦法」,綜合商品零售業者應於發現事故時起七十二小時內,通報主管機關。
六、顧客權利保障:確保顧客能夠查詢、更正或刪除其個人資料。此外,業者應提供明確的選項,讓顧客可以選擇不參與特定數據收集和使用活動。依據「個人資料保護法」第3條之規定,當事人得行使之下列權利,且不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
七、第三方管理:如果業者需要與第三方共享顧客資料,應確保這些第三方也遵循嚴格的資料保護標準。通過合約約束第三方,要求他們保護好顧客資料,並僅用於約定的目的。依據「綜合商品零售業個人資料檔案安全維護管理辦法」,綜合商品零售業者委託他人蒐集、處理或利用個人資料之全部或一部時,應對受託人為適當之監督,並於委託契約或相關文件中,明確約定其內容。
八、持續監控與評估:定期評估個人資料保護措施的有效性,並根據最新的技術發展和監管要求進行調整。這包括監控新的威脅和漏洞,以及更新安全技術和措施。據「綜合商品零售業個人資料檔案安全維護管理辦法」,綜合商品零售業者每年應參酌安全維護計畫執行狀況、技術發展、法令修正或其他因素,檢視所定安全維護計畫之合宜性;必要時應予修正。
透過這些措施的實行,實體零售業者不僅可以遵守法律法規,保護顧客的隱私,還可以增強顧客信任,從而在競爭激烈的市場中取得成功。保障顧客個資安全不僅是法律要求,更是贏得顧客信任和忠誠的關鍵因素,隨著消費者對個人資料保護意識的提高,實體零售商應積極採取措施,確保他們的資料處理實務能夠滿足顧客的期望和相關的法規要求。
(本文由KPMG安侯建業消費及零售產業主持會計師陳宜君、執業會計師柯有聰及KPMG安侯企管執行副總經理林大馗/提供)