中華民國113年4月22日文影字第11320139892號令發布
第一條本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。
第二條本辦法所稱主管機關:在中央為文化部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。
第三條本辦法所稱電影事業係指依電影法第三條規定,從事電影片製作業、電影片發行業、提供電影器材、設施及技術之事業、電影片映演業之事業。
本辦法所稱消費者,指以消費為目的而為交易、使用商品或接受服務者。
第四條電影事業保有消費者個人資料達一萬筆者,應依本辦法規定,規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱本計畫及處理方法)。
依前項規定應訂定本計畫及處理方法者,應於本辦法施行之日起六個月內完成;其於本辦法施行後,保有消費者個人資料筆數始達一萬筆者,應自保有筆數達一萬筆之日起六個月內完成之。
電影事業依前二項規定完成本計畫及處理方法之訂定後,所保有之消費者個人資料筆數減少,連續二年期間所保有之筆數未達一萬筆者,得停止本計畫及處理方法全部或一部之執行。但嗣後保有之消費者個人資料筆數達一萬筆時,應於保有筆數達一萬筆之日起三十日內,恢復本計畫及處理方法全部之執行。
前三項消費者個人資料筆數,以電影事業累計所保有之消費者個人資料為計算基準;其未達一萬筆之事實,應由電影事業證明之。
電影事業經主管機關要求提出本計畫及處理方法實施情形者,應於收受通知後三十日內,以書面方式提出。
第五條電影事業依前條規定訂定本計畫及處理方法時,應視其組織規模、特性、保有個人資料之性質及數量等事項,訂定包含下列各款事項之適當安全維護管理措施;必要時,第二款各目事項得整併之:
一、電影事業之組織規模及特性。
二、個人資料檔案之安全管理措施:
(一)配置管理之人員及相當資源。
(二)界定蒐集、處理及利用個人資料之範圍。
(三)個人資料之風險評估及管理機制。
(四)事故之預防、通報及應變機制。
(五)個人資料蒐集、處理及利用之內部管理程序。
(六)設備安全管理、資料安全管理及人員管理措施。
(七)認知宣導及教育訓練。
(八)個人資料安全維護稽核機制。
(九)使用紀錄、軌跡資料及證據保存。
(十)個人資料安全維護之整體持續改善。
(十一)業務終止後之個人資料處理方法。
第六條電影事業應依其業務規模及特性,衡酌經營資源之合理分配,建立個人資料檔案安全維護管理組織,配置相當人員及資源,負責規劃、訂定、修正與執行本計畫及處理方法等相關事項。
本計畫及處理方法之訂定或修正,應經電影事業代表人或經其授權之人員核定。
電影事業應將訂定之安全維護計畫留存營業所在地備查;主管機關得派員檢查。
第七條電影事業應依個人資料保護相關法令,定期查核確認所保有之個人資料現況,界定其納入本計畫及處理方法之範圍。
第八條電影事業應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管控機制。
第九條電影事業應訂定應變機制,於發生個人資料被竊取、洩漏、竄改或其他侵害事故時,迅速處理以保護當事人之權益。
前項應變機制,應包括下列事項:
一、事故發生後應採取之應變措施,包括降低、控制當事人損害之方式、查明事故、以適當方式或內容通知當事人。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後研議其矯正預防措施之機制。
電影事業遇有第一項個人資料安全事故時,應自發現事故起七十二小時內依附表格式通報當地直轄市或縣(市)主管機關並副知中央主管機關,未於時限內通報者,應敘明理由。
主管機關得知或接獲通報後,得依本法第二十二條至第二十五條規定,派員檢查並為適當之監督管理措施。
第十條電影事業所屬人員為執行業務而蒐集、處理一般個人資料時,應檢視是否符合本法第十九條之要件;利用時,應檢視是否符合蒐集之特定目的必要範圍;為特定目的外之利用時,應檢視是否符合本法第二十條第一項但書情形。
第十一條電影事業蒐集個人資料,應依本法第八條及第九條有關告知義務之規定辦理。
第十二條中央主管機關依本法第二十一條規定,對電影事業為限制國際傳輸個人資料之命令或處分時,電影事業應通知所屬人員遵循辦理。
電影事業將個人資料作國際傳輸者,應檢視是否受中央主管機關限制,並告知當事人其個人資料所欲國際傳輸之區域,且對資料接收方為下列事項之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
二、當事人行使本法第三條所定權利之相關事項。
第十三條電影事業對所蒐集保管之個人資料檔案,應設置適當之安全設備或採取防護措施。
前項安全設備或防護措施,應包括下列事項:
一、紙本資料檔案之安全保護設施。
二、電子資料檔案存放之電腦、自動化機器相關設備、可攜式設備或儲存媒體,配置安全防護系統或加密機制。
三、存有個人資料之紙本或其他儲存媒介物報廢汰換或轉作其他用途時,應採取適當之銷毀或防範措施。
第十四條電影事業因執行業務以資通訊系統蒐集、處理或利用個人資料,且保有消費者之個人資料達一萬筆以上者,應於保有筆數達一萬筆之日起六個月內採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
第十五條電影事業為保護個人資料之安全,應對其所屬人員採取下列措施:
一、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。
二、所屬人員離職時,應將執行業務所持有之個人資料辦理交接,不得在外繼續使用,並應簽訂保密切結書。
第十六條電影事業應不定期檢討消費者個人資料檔案安全維護計畫執行情形,並留存個人資料使用紀錄、軌跡資料或相關證據及紀錄,應至少留存五年。但法令另有規定或契約另有約定者,不在此限。
電影事業依前項自主檢查結果發現消費者個人資料檔案安全維護計畫不符法令或不符法令之虞者,應即改善。
第十七條電影事業業務終止後,其保有之個人資料不得繼續使用,應依下列方式處理,並留存相關紀錄,其保存期限至少五年:
一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
第十八條電影事業委託他人蒐集、處理或利用個人資料之全部或一部時,應依本法施行細則第八條規定為適當監督。
電影事業為執行前項監督,應與受託者明確約定相關監督事項及方式。
第十九條本辦法自發布日施行。