依據「電腦處理個人資料保護法」（以下簡稱本法）第三條第七款之規定，就非公務機關之適用範圍限於法條例示之八項行業及其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。鑑於晚近透過網路或型錄等無店面方式零售商品之行業，個人資料外洩事件頻傳，加強個人資料保護之需求已日益殷切，法務部與經濟部爰依本法第三條第七款第三目「其他經法務部會同中央目的事業主管機關指定之事業、團體或個人」規定，於九十九年二月九日正式會銜公告指定將無店面零售業（以網際網路及型錄方式零售商品之公司行號），自九十九年七月一日起指定適用本法規範，被指定之事業須於九十九年十二月三十一日前向主管機關申辦許可登記。
經濟部依據本法之授權訂定「無店面零售業電腦處理個人資料辦法」（以下簡稱本辦法），本辦法適用範圍限於無店面零售業中毋須經特許或許可之網路購物或型錄購物業，以及已受專業管理法令規範之行業者，不包括行動購物及電視購物業者；而適用本辦法之網路購物或型錄購物業者，亦限於以網際網路或紙本型錄為媒介進行商品零售，不包括服務之提供。草案重點如次：
一、本辦法之法源依據（草案第一條）
二、本辦法之規範行為（草案第二條）
三、本辦法之適用對象（草案第三條）
四、本辦法之主管機關（草案第四條）
五、申請登記與取得執照（草案第五條）
六、申請程序之補正（草案第六條）
七、本法第二十條第一項第一款至第十款之公告與新聞紙刊載（草案第七條）
八、申請變更登記程序（草案第八條）
九、終止登記程序（草案第九條）
十、簿冊備置與提供查閱申請（草案第十條）
十一、當事人申請查詢個人資料程序（草案第十一條）
十二、其他機關、團體或個人申請查詢個人資料事項（草案第十二條）
十三、指定專人依個人資料檔案安全維護計畫辦理安全維護事項及等案安全維護計畫要求事項（草案第十三條）
十四、申請、變更登記及執照換發、補發費用（草案第十四條）
十五、申請查詢、請求閱覽個人資料或製給複製本之費用（草案第十五條）
十六、施行日期（草案第十六條）



無店面零售業電腦處理個人資料辦法草案
條文 說明
第一條 本辦法依電腦處理個人資料保護法 (以下簡稱本法) 第十九條第三項、第二十條第五項及第二十六條第二項規定訂定之。
本辦法之法源依據。

第二條 凡於中華民國境內從事無店面零售業者為個人資料之蒐集、電腦處理、國際傳遞及利用，應依本辦法辦理許可登記並取得執照。
一、 本辦法之法源為「電腦處理個人資料保護法」，故規範行為以本法規範之範圍為主，包括對於個人資料之蒐集、電腦處理、利用及國際傳遞，同時需經過主管機關登記發給執照方可為上述行為，爰規定之。
二、 參酌本法第十九條第一項。

第三條 本辦法所稱之無店面零售業，係指依據公司法或商業登記法登記成立之公司或商業，以網際網路、紙本型錄為媒介，進行實體商品零售，並透過網頁或紙本型錄之訂購機制，直接接受消費者訂購商品者。但不包括行動購物業、電視購物業，及其他應經特許或許可之行業或已受專業管理法令規範之行業以上述方式行銷者。
前項所稱訂購機制，於網際網路係指業者提供之網路訂購系統；於紙本型錄係指直接附加於型錄之訂購單或訂購專線等得由消費者填寫或說明訂購品項、數量、付款方式、金額等必要項目以進行訂購之機制。
一、適用本辦法之網路購物、型錄購物業者，以實體商品零售為限，不包括服務提供。
二、依經濟部七十九年九月二十六日商二一六九二五號函，若為應經特許或許可之行業，其中央目的事業主管機關應為各該特許或許可法令之主管機關。如第一類或第二類電信事業之中央目的事業主管機關應為國家通訊傳播委員會，故其已通過「電信業及傳播業電腦處理個人資料管理辦法」規範該類行業之電腦處理個人資料行為。而無須經特許或許可但有專業管理法令之行業，其中央目的事業主管機關則為該專業法令之主管機關。如文化創意服務業之主管機關為文建會，休閒農業之主管機關為農委會，化妝品零售業之主管機關為衛生署等。故本辦法對於上述需要經過特許或許可之行業或已有特定目的事業主管機關專業管理法令之行業不適用之。

第四條 本辦法所稱主管機關：在中央為經濟部；在直轄市為直轄市政府；在縣(市)為縣(市)政府。
本辦法之主管機關。

第五條 無店面零售業申請登記，應填具申請書，向登記機關辦理登記並取得執照。
前項登記機關，係指依公司法及商業登記法辦理公司登記及商業登記之機關。
申請登記與取得執照程序。

第六條 無店面零售業者依前條規定申請登記時，有下列情形之ㄧ者，受理申請之主管機關應通知限期補正，屆期未補正者，駁回其申請：
一、 應記載事項有欠缺。
二、 申請之個人資料非執行職務所必要。
三、 個人資料檔案安全維護計畫不符本辦法規定。
四、 其他未依本法及其相關法規辦理之情形。
申請登記程序瑕疵之限期補正與駁回規定。

第七條 無店面零售業者經主管機關核准登記後，應將本法第二十條第一項第一款至第十款所列事項於政府公報公告，並刊載於當地新聞紙。
一、 依據本法第二十一條規定，訂定核准登記刊載規範。
二、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第七條、「私立就業服務機構電腦處理個人資料管理辦法」第六條。

第八條 無店面零售業者依據第五條規定登記並取得執照後，如申請書各欄登記事項有變更者，應於變更後十五日內填具申請書，向主管機關申請變更登記。 一、 依據本法第二十條第二項規範申請事項變更登記之程序。
二、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第五條後段、「私立學校及學術研究機構電腦處理個人資料管理辦法」第六條第一項、「私立就業服務機構電腦處理個人資料管理辦法」第八條第一項。

第九條 無店面零售業者於業務終止時，應於終止事由發生時起一個月內辦理下列事項：
一、 填具申請書，向主管機關申請辦理終止登記。
二、 依據本法施行細則第三十六條規定載明個人資料之處理方法併同前款申請書，陳報主管機關核准。
三、 繳銷執照。 一、 依據本法第二十條第二項規定業務終止時之終止登記程序。
二、 依據本法第二十條第三項及施行細則第三十六條，規定業務終止時所有個人資料之處理方法應陳報主管機關核准。
三、 為避免申請終止事業持續使用其執照，爰規定申請終止時應併同繳銷執照。
四、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第九條、「私立學校及學術研究機構電腦處理個人資料管理辦法」第七條、「短期補習班電腦處理個人資料管理辦法」第七條。

第十條 無店面零售業者應備置簿冊登載本法第二十條第一項第一款至第十款所列事項，並供查閱。
前項簿冊得以電腦終端設備或其他足供當事人查閱之相關設備、文件方式代替之。 一、 依據本法第二十二條規範簿冊查閱事項。
二、 因應電腦化趨勢規定簿冊得以電腦或其他足供當世人查閱之方式替代。
三、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第八條、「私立就業服務機構電腦處理個人資料管理辦法」第十條。

第十一條 當事人就其個人資料向無店面零售業者申請查詢、閱覽、製給複製本或行使其他本法第四條規定之權利時，應填具申請書。
無店面零售業者受理前項之申請，除有申請書件內容有遺漏、欠缺，應通知限期補正之情事外，應依當事人之請求就其個人資料為適當之處理。
第一項申請案件應於受理後三十日內處理之；未能於期限內處理者應將其原因以書面通知申請人。 一、 依據本法第四條，當事人就其個人資料得請求查詢、閱覽、製給複製本、補充、更正、停止電腦處理及利用與刪除之權利，爰規定申請處理程序及處理時程。
二、 為保障當事人權利，爰規定當事人申請案件之處理期限。
三、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第十條、「私立就業服務機構電腦處理個人資料管理辦法」第十二條。

第十二條 無店面零售業者對向其申請取得個人資料之當事人，應將申請人、申請時間及申請人之聯絡方法等事項作成紀錄。
無店面零售業者保有之個人資料有更正、補充、刪除或停止電腦處理、利用之情形時，應通知該個人。 一、 為避免個人資料有被濫用、冒名取得等影響個人資料所有人權益之情事，爰規定無店面零售業就個人資料申請人相關資訊應作成紀錄，以備日後追查之用，並規定個人資料情形之變動應通知各該個人，確保個人資料所有人即時得知未經授權之相關變動，並為立即之反應。
二、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第十二條、「徵信業電腦處理個人資料辦法」第十二條。

第十三條 無店面零售業者保有個人資料檔案者，應指定專人依個人資料檔案安全維護計畫辦理安全維護事項。
個人資料檔案之安全維護計畫，應符合下列要求：
一、資料安全方面
（一）個人資料檔案建置在資料庫者，應釐定使用權限，並設置使用者代碼、識別密碼；識別密碼應妥善保存，不得與他人共用。
（二）個人資料檔案儲存在個人電腦硬式磁碟機上者，資料保有單位應在該個人電腦設置開機密碼、螢幕保護程式密碼及相關安全措施。
（三）非經允准不得使用個人資料檔案。
（四）個人資料檔案使用完畢應即退出應用程式，不得留置在電腦顯示畫面上。
（五）以網際網路蒐集、處理、國際傳遞及利用個人資料時，應採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，確保系統正常運作。
（六）以網際網路進行交易處理時，應評估可能之安全風險，確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研擬妥適的安全控管措施。
二、資料稽核方面
（一）以電腦處理個人資料時，應核對個人資料之輸入、輸出、編輯或更正是否與原檔案相符。
（二）個人資料提供利用時，應核對與檔案資料是否相符，如有疑義，應調閱原檔案查核。
（三）應建立定期稽核制度，並保存稽核資料。
三、設備管理方面
（一）建置個人資料之有關電腦設備，資料保有單位應定期保養維護。
（二）非有必要，不得任意移動電腦設備。
（三）建置個人資料之個人電腦，不得直接作為公眾查詢之前端工具。
（四）建立備援制度，對於需要長期保留或重要檔案之備份媒體與資料，定期備份異地存放，並應有專用防火或保險箱等安全設備。
（五）確實刪除廢棄或轉售之相關電腦硬體中所儲存之個人資料。
四、其他安全維護事項
（一）以電腦處理個人資料檔案之人員，其職務有異動時，應將所保管之儲存媒體及有關資料列冊移交，接辦人員應另行設定密碼，以利管理。
（二）遵守一般電腦安全維護之有關規定。
一、 依據本法第二十條第五項規定個人資料檔案安全維護計畫標準相關事項。
二、 參酌「百貨公司業暨零售式量販業電腦處理個人資料保護辦法」第十三條、「徵信業電腦處理個人資料辦法」第十四條、「私立就業服務機構電腦處理個人資料管理辦法」第十三條、「不動產仲介經紀業電腦處理個人資料管理辦法」第九條。

第十四條 無店面零售業者申請登記，應隨文繳納登記費新臺幣五百元、執照費新臺幣一千元。
變更登記、申請換發或補發執照，應隨文繳納登記費新臺幣二百元、執照費新臺幣一千元。
依據本法第十九條第三項規定，訂定收費標準。

第十五條 當事人查詢、請求閱覽個人資料或製給複製本者，無店面零售業者得酌收費用最高限額如下：
一、 查詢或請求閱覽個人資料：新臺幣一百元。
二、 製給複製本：每份新臺幣一百元。 依據本法第二十六條第二項規定，訂定當事人申請之費用酌收標準。

第十六條 本辦法自發布日施行。
本法施行日期。