發文日期：中華民國114年3月27日

發文字號：觀業字第1143000921號

主旨：請貴會轉知所屬會員旅行社，保有消費者個人資料應遵循個人資料保護法各項法定義務，採取適當安全措施，防止個資被竊取、竄改、毀損、滅失或洩漏，請查照。

說明：

一、按個人資料保護法（下稱個資法）第27條第1項規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」、同法施行細則第12條規定略以：「…安全措施，包括：四、事故之預防、通報及應變機制。」另同法第12條規定：「公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。」及交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法第9條規定：「非公務機關遇有消費者個人資料外洩事故，將危及其正常營運或大量當事人權益者，應於知悉事故後72小時內依附表格式通報其主管機關。」

二、112年迄今發生數起旅行業者個資安維事件，造成消費者個資（姓名、電話、商品訂購紀錄等）外洩等情事，查有旅行業者未確實依前揭法令辦理相關事項之情形。爰此，請旅行業者遇有個資安維事件，應於當下立即採取緊急應變措施、查明事件成因，並將事故原因個別通知當事人（旅客），以防止當事人損害擴大。另應於72小時內填寫「個人資料侵害事故通報與紀錄表」（如附件1）向本署辦理通報作業。

三、倘旅行業者未依規定通報，本署經由其他管道知悉有個資安維事件，除依規定進行行政調查，亦將旅行業者未盡個資法義務之情形，納入個資法第48條第2項規定之審酌罰鍰額度範圍，裁處新臺幣（下同）2萬元以上200萬元以下罰鍰，並限期改正，倘屆期未改正者，將按次裁處15萬元以上1,500萬元以下罰鍰，另同法第50條規定，代表人並受同一額度罰鍰。

四、檢附個人資料保護委員籌備處「中小企業對客戶的個人資料保護手冊」及「通知當事人個資事故原因範本」（ https://online.fliphtml5.com/qegwe/oyzu/#p=1 ）供參酌，請旅行業者確實辦理個人資料相關保護措施，以維護旅客權益。