數位部產業署30日表示,蝦皮跟誠品生活個資保護程序沒做好,委外廠商未落實監督管理等,已違反個資法第27條第1項規定,開罰蝦皮新台幣20萬元、誠品生活10萬元;針對蝦皮、誠品生活與旋轉拍賣等業者涉消費者個資外洩,已辦理行政檢查,要求限期改正。這也是數位部成立以來首次針對個資保護缺失向企業開罰。
刑事局日前公布第1季高風險賣場名單,蝦皮購物居冠。數位部多次要求業者提出佐證資料,但蝦皮仍只提供4筆個資盤點內容,明顯有缺漏;風險評估分析部分,蝦皮對風險較高流程未提供已採取矯正措施的佐證。
產業署指出,蝦皮對委外廠商未落實稽核,無法提供完整的安全管控執行、稽核紀錄等具體佐證資料,無法證實蝦皮對保有個資已採取適當安全措施,依個資法第48條第4款併第50條規定,開罰業者併同負責人20萬元。
產業署表示,相關業者已有多次紀錄,過去多次要求改正,因此這次開罰。台灣蝦皮委託新加坡蝦皮公司進行個資保護稽核,但2019年後都未執行,也沒提供2019年後稽核紀錄。
另外,誠品個資外洩事件,民眾網購「阿共打來怎麼辦」一書,接到自稱誠品市調,大談中共武統洗腦言語。產業署指出,到誠品實地行政檢查,發現帳號管理未確實,要求事後提供佐證資料,誠品生活個資盤點資料仍不完整,加上未落實委外廠商監督管理,依上述規定處分,開罰10萬元。
個資法日前已修法三讀,提高裁罰金額上限,但還沒正式發布,因此目前適用的是現行個資法條文,開罰金額在2萬元到20萬元間。
產業署表示,未來針對電商,個資管理部分也會做更完整盤點。數位部要求各電商業者務必重視個資保護,也會引入相關解決方案,與電商業者合作。