修正条文-交通部观光局.DOCVIP

旅行業個人資料檔案安全維護計畫及處理辦法總說明 　　個人資料保護法（以下簡稱本法），於九十九年五月二十六日修正公布，除第六條、第五十四條外，其餘條文於一百零一年十月一日施行。依本法第二十七條規定，非公務機關應採行適當之安全措施，防止所保有之個人資料被竊取、竄改、毀損、滅失或洩漏，中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，並訂定相關計畫及處理方法之標準等相關事項之辦法。 　　為加強旅行業對於個人資料檔案安全之保護措施，爰依本法第二十七條第三項訂定本辦法，共計二十一條，訂定重點如下： 本辦法之訂定依據：適用對象及旅行業訂定個人資料檔案安全維護計畫之內容要項。（第一條至第三條） 個人資料妥適性之確保：進行安全維護之前，應確認個人資料蒐集之特定目的、蒐集處理個人資料時應行告知義務、進行個人資料蒐集、處理及利用之限制，個人資料之正確性之確保程序、旅行業委託他人進行蒐集、處理及利用時，應依相關規定辦理、利用個人資料行銷之注意事項、個人資料進行國際傳輸前應遵循事項、當事人行使權利之方式。（第四條至第十一條） 安全管理措施：指定專人或專責組織負責安全維護管理工作，並明定人員管理、資料安全管理、環境管理等措施。倘仍發生竊取、竄改、毀損、滅失或洩漏等事故，應採取之機制。（第十二條至第十六條） 安全稽核、紀錄保存及改善機制：有關個人資料之安全稽核機制、個人資料使用記錄保存及改善個人資料保護計畫等事項。（第十七條至第十九條） 業務終止後之措施：業務終止後對個人資料檔案應採取之措施，併與留存相關紀錄。（第二十條） 本辦法之施行日期。(第二十一條） 旅行業個人資料檔案安全維護計畫及處理辦法 條文 說明 第一條　本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。 本辦法訂定依據。 第二條　旅行業保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其為綜合旅行業及甲種旅行業者，並應訂定個人資料檔案安全維護計畫（以下簡稱維護計畫）。 前項維護計畫之訂定，綜合旅行業及甲種旅行業應於取得旅行業執照前完成；其於本辦法施行前已取得旅行業執照者，應於本辦法施行之日起六個月內完成。 一、依本法第二十七條第一項規定，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」，爰於本條第一項前段規定全體旅行業不分種類皆應予遵循。另依本法第二十七條第二項規定，「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法」，爰依各種類之旅行業規模大小等，於本條第一項後段規定應訂定個人資料檔案安全維護計畫之旅行業種類。 二、現行國內旅行業依本條例第二十七條第二項規定分為綜合、甲種、乙種三類，數量分別為一百二十四家、二千二百八十八家、二百零七家，考量旅行業多為中小型企業，且多不具法律專業，爰選擇資本總額較高、經營規模較大之綜合旅行業及甲種旅行業為指定對象，須訂定個人資料檔案安全維護計畫。至於乙種旅行業雖無須訂定維護計畫，惟仍應依本條第一項前段規定，採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 三、另增列第二項，規定旅行業訂定維護計畫義務之時間，俾期明確；另就本辦法施行前已取得旅行業執照之旅行業，給予六個月作業時間，以完成維護計畫之訂定。 第三條　旅行業保有個人資料檔案者，得參酌第四條至第二十條規定，訂定適當之安全維護管理措施。 　　　綜合旅行業及甲種旅行業訂定之維護計畫內容，應包括下列項目，下列項目必要時得予整併： 配置管理人員及相當資源。 界定個人資料之範圍並定期清查。 個人資料之風險評估及管理機制。 事故之預防、通報及應變機制。 個人資料蒐集、處理、利用之內部管理程序。 設備安全管理、資料安全管理及人員管理措施。 資料安全稽核機制。 使用紀錄、軌跡資料及證據保存。 辦理個人資料認知宣導及教育訓練。 個人資料安全維護之整體持續改善。 業務終止後之個人資料處理方法。 一、本法施行細則第十二條就本法第二十七條第一項所定非公務機關應採行「適當之安全措施」，已規定其措施得包括之相關事項，本辦法第四條至第二十條主要即係就其所列項目進一步為具體規定，爰配合前條第一項前段所定旅行業之義務，於第一項規定提示其履行義務之方法。 二、配合前條第一項後段規定「綜合旅行業及甲種旅行業者，並應訂定個人資料檔案安全維護計畫」之義務，第二項規定其個人資料保護計畫內容應包括之項目，其具體內容則如第一項規定所述，係進一步規定於第四條至第二十條。 第四條　旅行業應確認蒐集個人資料之特定目的，依特定目的之必要性，界定所蒐集、處理及利用個人資料之類別或範圍，並定期清查所保有之個人資料現況。 　　　前項清查發現有下列情形