第 3 條
- 1多層次傳銷事業就個人資料保護之規劃,應考量下列事項:
- 一、配置管理人員及相當資源。
- 二、界定個人資料之範圍並定期清查。
- 三、依已界定之個人資料範圍及個人資料蒐集、處理、利用之流程,分析可能產生之風險,並根據風險分析之結果,訂定適當之管控措施。
- 四、就所保有之個人資料被竊取、竄改、毀損、滅失或洩露等事故,採取適當之應變措施,以控制事故對當事人之損害,並於發現個人資料外洩後七十二小時內,填列個人資料侵害事故通報與紀錄表(如附件)通報公平交易委員會(以下簡稱本會)及以適當方式通知當事人;於事後研議預防機制,避免類似事故再度發生。
- 五、對於所屬人員施以宣導或教育訓練。
- 2本會接獲前項第四款通報後,得依本法第二十二條至第二十五條規定所賦予之職權,為適當之監督管理措施。
第 4 條
多層次傳銷事業就個人資料之管理程序,應遵循下列事項:
- 一、確認一般個人資料及本法第六條之特種個人資料之屬性,分別訂定管理程序。
- 二、檢視蒐集、處理個人資料之特定目的,及是否符合免告知之事由,以符合本法第八條及第九條關於告知義務之規定。
- 三、檢視蒐集、處理個人資料是否符合本法第十九條規定,具有特定目的及法定要件,及利用個人資料是否符合本法第二十條第一項規定於特定目的內利用;於特定目的外利用個人資料時,檢視是否具備法定特定目的外利用要件。
- 四、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並明確約定相關監督事項與方法。
- 五、利用個人資料為行銷時,倘當事人表示拒絕行銷後,立即停止利用其個人資料行銷,並週知所屬人員;於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
- 六、進行個人資料國際傳輸前,檢視有無本會依本法第二十一條規定為限制國際傳輸之命令或處分,並應遵循之。
- 七、當事人行使本法第三條所規定之權利時,確認是否為個人資料之本人,並遵守本法第十三條有關處理期限之規定。
- 八、為維護所保有個人資料之正確性,檢視於蒐集、處理或利用過程,是否正確,發現個人資料不正確時,適時更正、補充或通知曾提供利用之對象;個人資料正確性有爭議者,依本法第十一條第二項規定處理之方式。
- 九、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;確認特定目的消失或期限屆滿時,依本法第十一條第三項規定處理。
第 6 條
前條第一款之資料安全管理措施,包括下列事項:
- 一、運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時,訂定使用可攜式設備或儲存媒介物之規範。
- 二、針對所保有之個人資料內容,如有加密之需要,於蒐集、處理或利用時,採取適當之加密機制。
- 三、作業過程有備份個人資料之需要時,比照原件,依本法規定予以保護之。
- 四、個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物,嗣該媒介物於報廢或轉作其他用途時,採適當防範措施,以免由該媒介物洩漏個人資料。
- 五、委託他人執行前款行為時,對受託人依本法施行細則第八條規定為適當之監督,並明確約定相關監督事項與方式。
第 7 條
第五條第二款之人員管理措施,包括下列事項:
- 一、依據作業之需要,適度設定所屬人員不同之權限並控管其接觸個人資料之情形。
- 二、檢視各相關業務流程涉及蒐集、處理及利用個人資料之負責人員。
- 三、與所屬人員約定保密義務。
第 8 條
第五條第三款之設備安全管理措施,包括下列事項:
- 一、保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦或自動化機器設備等媒介物之環境,依據作業內容之不同,實施適宜之進出管制方式。
- 二、所屬人員妥善保管個人資料之儲存媒介物。
- 三、針對不同媒介物存在之環境,審酌建置適度之保護設備或技術。
第 9 條
第五條第四款之傳銷商規範措施,包括下列事項:
- 一、傳銷商自多層次傳銷事業蒐集他人個人資料,其要件及程序。
- 二、傳銷商為從事多層次傳銷經營業務,非自多層次傳銷事業蒐集之他人個人資料,相關蒐集、處理、利用行為之規範約束。