個人資料保護法第27條第1項所稱適當之安全措施,是指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施,得包括下列事項:
1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。
所採取的適當安全措施,要與欲達成之個人資料保護目的間,具有適當比例為原則。故中小企業蒐集個人資料後,得考量自身組織規模與保有個人資料的數量或內容,依比例原則建立技術上與組織上之適當安全措施。
相關法條:個人資料保護法施行細則第12條、個人資料保護法第27條第1項
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!