🔐 什麼是 「個人資料檔案安全維護管理辦法」？

很多 NGO/NPO、協會、基金會最近都在煩惱這件事，其實這不是只有大公司才要注意的規範，而是只要你有蒐集、使用「個人資料」——就必須遵守！

它是《個人資料保護法》第 27 條的子法，要求所有 非公務機關（包含 NGO/NPO、企業、學校、協會、基金會…）都必須訂定一份 《個人資料安全維護計畫》。

法源依據

1. 《個人資料保護法》（個資法）第 27 條

公務機關或非公務機關應依業務之性質，對個人資料採取適當之安全維護措施，防止個資遭竊取、竄改、毀損、滅失或洩漏。

1. 這是 核心法條，要求所有蒐集、處理或利用個資的機關/組織（包含 NGO/NPO）必須有安全維護計畫。
2. 《非公務機關個人資料檔案安全維護管理辦法》（主管機關：數位發展部）
3. 這是針對 NGO、協會、基金會、公司行號等 非公務機關的子法。
4. 第 3 條明確規定：非公務機關應訂定「個人資料檔案安全維護計畫」，並依據個資檔案特性及業務需要，實施適當的措施。
5. 第 6 條：計畫內容至少包含：
6. 資料蒐集、處理及利用的內部管理程序
7. 個資安全維護的組織架構
8. 風險評估與影響分析
9. 預防、偵測及應變機制（含資安事件通報）
10. 教育訓練與宣導
11. 設備安全管理
12. 系統存取控制與加密
13. 定期稽核與檢討改善

簡單來說，就是一份 「保護會員、捐款人、志工、客戶個資不外洩」的手冊，包含：

✅ 個資蒐集與使用規範

✅ 存取權限與資料加密

✅ 應變與通報流程

✅ 教育訓練與檢核

主管機關

1. 數位發展部（資安署 + 個資保護會）：統籌個資安全維護規範。*
2. 各目的事業主管機關：依 NPO 性質不同，會要求送審或查核，例如：
3. 社福組織 → 衛福部
4. 學術團體 → 教育部
5. 公益基金會、協會 → 內政部

🎗️ 公益團體：協會、基金會、社福機構

🏫 教育單位：補習班、學校法人

💼 企業公司：電商、健身房、診所、事務所

🙋 甚至只有「會員名單、捐款資料、志工資料」的小型組織也需要！

法律義務：一旦有會員資料、捐款人名單、志工/受助者個資，就必須符合規範。

避免罰鍰：違反個資法最高可罰新台幣 500 萬元，並有行政責任。

信任與透明：確保捐款人、會員對組織的信任，避免因外洩事件傷害聲譽。

標案或補助必要文件：許多政府或國際合作案，會要求附上這份「個人資料安全維護計畫」。

👉 如果你代表的組織還沒有這份「個資安全維護計畫」，現在就該開始準備！

別讓善意的公益努力，因為個資疏忽而受到傷害 💪

現在就找應援科技諮詢！

*在「個人資料保護委員會」正式成立前，由數位發展部擔任統籌角色，負責個資保護相關法規的解釋與推動。依據 2023 年 5 月 31 日公布的《個人資料保護法》修正案，未來將成立一個獨立的「個人資料保護委員會」作為個資保護的最高主管機關。該委員會將統一所有個資保護事權，進行更一致性的監督與裁罰。資安署則主要負責全國的資通安全政策與執行。 未來「個資保護會」才是最高主管機關，位階高於各部會。