複選題

24. 網路販售系統上線 6 個月後，公 司收到證券主管機關通知大量會員資料被人於國外網站上架 販售。請問發生此個資外洩事件，公司於回應此資安事件時， 須注意下列哪些法令規章？(複選)
(A) 電腦處理個人資料保護法
(B) 上市上櫃公司資通安全管控指引
(C) 個人資料保護法
(D) 食品安全衛生管理法

總結

針對網路販售系統發生大量會員個資外洩事件，公司回應時主要須遵循：

1. 個人資料保護法（現行法，取代原「電腦處理個人資料保護法」），規範個人資料之蒐集、處理、利用及洩漏通報義務【(經濟部, 根法律網)】。

2. 上市上櫃公司資通安全管控指引，上市上櫃公司應依該指引強化資通安全防護與事件通報機制，並符合內部控制制度要求【(櫃買市場業務宣導網站, 台灣證券交易所)】。
   而電腦處理個人資料保護法已於 2012 年修正為「個人資料保護法」，不再獨立適用；食品安全衛生管理法雖為重要法令，主要規範食品製造與衛生，不直接涵蓋個資外洩通報等資安事件之管理，故不屬本次事件回應所需重點法律。

各法令／規章說明

(C) 個人資料保護法

• 個資法於 2010 年更名自「電腦處理個人資料保護法」，並於 2012 年全面施行【(經濟部, 根法律網)】。

• 規範 個人資料蒐集、處理、利用 必須合於「目的明確、合法取得」等原則，並於個資外洩時依第 28 條規定 72 小時內通報主管機關 及通知當事人【(根法律網)】。

(B) 上市上櫃公司資通安全管控指引

• 該指引由臺灣證券交易所與櫃買中心發布，適用於上市、上櫃公司，目的是協助企業強化資訊安全治理及事件通報機制【(櫃買市場業務宣導網站, 台灣證券交易所)】。

• 指引明文要求公司建立資安事件應變流程、定期演練及內部／對外通報機制，並納入內部控制制度之稽核範疇【(根法律網, Selaw)】。

(A) 電腦處理個人資料保護法

• 電腦處理個人資料保護法 自 1995 年施行，2012 年修正公開改名為「個人資料保護法」，並由後者取代，大部分條文已廢止或併入新版個資法中【(經濟部, 法務部)】。

• 新法已涵蓋所有電腦及非電腦形式之個人資料處理，故不再單獨適用此舊法。

(D) 食品安全衛生管理法

• 食安法（舊稱「食品衛生管理法」）主要規範食品原料、製程與檢驗安全，並非針對資訊系統或個資保護設計【(foodlabel.org.tw, 總統府)】。

• 雖為食品製造業必遵法令，但對於會員個資外洩之通報義務及處置程序，並無直接規定。

正確答案（複選）

(B)、(C)。
公司在回應本次個資外洩事件時，應特別注意 個人資料保護法 與 上市上櫃公司資通安全管控指引，其餘法規選項不屬於此事件的核心法令依據。