為防堵消費者個資外洩，經濟部已要求大型超商、超市、百貨、量販店等業者須在2024年1月31日前完成訂定個人資料檔案安全維護計畫，估計約有4,000家大型綜合零售業者受影響，違者最高可罰1,500萬元。

民眾購物時常會被要求加入該店家會員、並提供個資給店家。為防止店家未善盡保護個資之責，致造成個資外洩，經濟部已在2023年8月發布「綜合商品零售業個人資料檔案安全維護管理辦法」，規範資本額在千萬元以上、並有招募會員或可取得交易對象個人資料的百貨超商量販店，須於六個月內訂定個資安全維護計畫，亦即1月31日是最後期限。換言之，自2月1日起，若查到未訂定個資安全維護計畫將開罰。

經濟部官員表示，估計約有4,000家大型綜合零售業者必須訂定個資安全維護計畫，主要是超商、超市、量販店、百貨公司等大型業者，因招募會員較多、且較有能力與資本進行個資維護。至於電商，則不在這次規範之內。

商業發展署表示，零售業者訂定個資安全維護計畫，必須包含個資蒐集、處理及利用的內部管理程序、資訊安全管理及人員管理、實施教育訓練及事故預防、通報及應變機制等，並應配置相當資源，落實個資檔案的安全維護及管理，防止個資被竊取、竄改、毀損、滅失或洩露。

針對發生個資外洩，企業應變機制包含控制事故對當事人造成的損害，業者須於發現事故時起72小時內通報主管機關。至於會員與業者業務終止後的個資處理，亦規範個資至少需保存五年，以進行外洩事件調查。

針對綜合商品零售業者利用個資行銷，該辦法明定，應明確告知當事人個人資料來源。業者首次利用個人資料行銷時，應提供當事人或其法定代理人表示拒絕接受行銷之方式；當事人表示拒絕接受行銷者，應立即停止利用，並周知所屬人員。

一般民眾會因為購物加入會員而提供個人資料，不管是線上或是實體購物都應該留意所提供的資料是否為必要，若非必要勿隨意提供，雖然有些實體店面已訂定個資安全計畫，但自身個資仍不能掉以輕心，以免個資外洩，得不償失。

詳文請見資安人新聞稿