<4D F736F F F696E74202D ADD3B8EAA8B5B06AB1D0A87CB056BD6DBDD2B57BB1D0A7F7>

Transcription

1 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 個人資料保護法 / 施行細則宣導與學校因應之道 NII 產業發展協進會 (02) 台北市松江路 317 號 7 樓 本簡報內容著作權為 NII 產業發展協進會所有 個人資料, 無所不在 帳單地址電子郵件信箱帳戶資料 開立帳戶資料保單資料貸款徵信資料會員資料周年慶抽獎券 電信 / 網路服務提供業者 信用卡資料客戶資料宅配地址教育程度 身分證號碼結婚登記報稅資料駕照申請 / 換發 健檢報告病歷資料診斷書 學籍資料人事資料註冊 / 報名資料 家長會聯絡 銀行 / 證券 / 保險公司百貨公司 / 大賣場 線上購物 / 網拍社群網站 學校 / 補習班社區活動中心 監理 / 戶政財稅等政府單位 醫院 / 診所健康檢查中心 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 2

2 個資法從 101 年 10 月 1 日開始正式實施 除規範特種個資不得利用的第 6 條, 以及間接蒐集個資 1 年內告知的第 54 條, 這兩條暫緩實施, 等待修法以外, 其餘條文都正式實施 未來不分產業, 公家機關 私人企業 學校機構, 甚至是每一個個人, 也不管儲存在紙本或是電子形式的個人資料, 都需受到個資法的規範 法務部在 101 年 9 月 26 日公告個資法施行細則, 並同步於 101 年 10 月 1 日實施, 沒有緩衝期 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 3 暫緩實施的第六條與第五十四條條文 個資法第六條 : 有關醫療 基因 性生活 健康檢查及犯罪前科之個人資料, 不得蒐集 處理或利用 但有下列情形之一者, 不在此限 : 一 法律明文規定 二 公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施 三 當事人自行公開或其他已合法公開之個人資料四 公務機關或學術研究機構基於醫療 衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集 處理或利用之個人資料 前項第四款個人資料蒐集 處理或利用之範圍 程序及其他應遵行事項之辦法, 由中央目的事業主管機關會同法務部定之 個資法第五十四條 : 本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 4

3 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 5 不要因為擔心違反個資法, 導致過度地 避免或迴避 必要資料之蒐集與使用 個人資料保護的重點在於 保持個人資料的正確性, 並且告知當事人所蒐集資料的特定目的, 以及安全處理與使用方式與範圍, 並作好適當的刪除與銷毀工作 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 6

4 學校機構屬公務或非公務機關? 公務與非公務機關之定義 : 2&7 公務機關 依法行使公權力之中央或地方機關或行政法人 2&8 非公務機關 指前款以外之自然人 法人或其他團體 依據教育部函 公立學校如係各級政府依法令設置實施教育之機構, 而具有機關之地位, 應屬個資法之公務機關 非由各級政府設置之私立學校, 則屬本法之非公務機關 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 7 如何降低個資法之風險? 公務機關 ( 公立學校 ) 28 公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權力者, 負損害賠償責任 但損害因天災 事變或其他不可抗力所致者, 不在此限 18 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 31 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定 施行細則第十二條第二項說明 落實安全維護措施 有十一項 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 8

5 如何降低個資法之風險? 非公務機關 ( 私立學校 ) 29 非公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權力者, 負損害賠償責任 但能證明其無故意或過失者, 不在此限 50 非公務機關之代表人 管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 31 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定 施行細則第十二條第二項說明 落實安全維護措施 有十一項 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 9 施行細則第十二條第二項的來源 法務部施行細則第十二條說明了 適當安全防護措施, 基本上就是英國 BS 的做法 為了避免違反個資法, 透過機制來建立防護措施, 不是為驗證而已 ( 過去 ISO 只集中於資訊部門 ) 個資法第 2 條第 2 款 : 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 : 個資盤點不能只在資訊部門 ( 資訊部門可以協助確認 ), 因為個資法客體含 各種形式含個資的檔案 ( 如紙張等 ) 盤點個資時應注意個資生命週期 ( 蒐集 處理 利用 傳輸 銷毀 ) 的關聯性 : 各階段的合法性, 必須回到蒐集時的特定目的與範圍 蒐集合法, 不表示其他階段合法 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 10

6 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 11 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 12

7 何謂個人資料 ( 個資法第二條第一款 )? 自然人的 姓名 出生年月日 身分證號碼 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 聯絡方式 財務情況 社會活動 一般資料 特種資料其他資料 醫療 基因 性生活 健康檢查 犯罪前科 得以直接或間接方式識別該個人之資料 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 13 特種個資內容 ( 已被暫緩實施 ) 特種個人資料除個資法第 6 條所定情形外, 不得蒐集 處理或利用 類別醫療基因性生活健康檢查犯罪前科 內容指以治療 矯正或預防人體疾病 傷害 殘缺為目的, 所為的診察 診斷及治療 ; 或基於診察 診斷結果, 以治療為目的, 所為的處方 用藥 施術或處置等行為全部或一部之總稱 ( 此部份尚未確定 ) 指人體之染色體所儲存超過十萬對以上最基本而具有全部遺傳特質或特定生物功能 DNA( 去氧核醣核酸 ) 之遺傳單位 指所有與性行為有關之活動之總稱, 如性傾向 性慣行等 指以檢驗為目的所為一般性或遺傳性 傳染性 精神性等疾病檢查之健康資料傳染性之總稱, 如健康檢查報告等 指構成犯罪之具有犯罪紀錄者而言 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 14

8 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 相關案例 七 建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 15 個資法基本認知 一. 個人資料法緣由二. 個人資料法立法目的三. 個人資料法進展 16

9 個人資料保護法與電腦處理個人資料管理辦法 電腦處理個人資料保護法 :84 年 8 月 11 日制定公布 個人資料保護法 :99 年 5 月 26 日修正公布 99 年 5 月 26 日總統公布日起, 廢止許可登記制度 個資法由行政院在 101 年 10 月 1 日宣布實施 (2 個條文暫緩實施 ) 101 年 9 月 26 日公布個資法施行細則 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 17 擴大適用主體 : 新法修正重點 舊法 : 公務機關與非公務機關 ( 醫院 學校 電信業 金融業 證卷業 保險業 大眾傳播業 徵信業等八類行業 ) 新法 : 打破行業別限制, 包含各行各業及個人 擴大保護客體 : 舊法 : 使用電腦或類似設備處理之個人資料蒐集 : 為建立個人資料檔案而取得個人資料 新法 : 以任何方式 ( 包含紙本 ) 留存的資料蒐集 : 以任何方式取得的個人資料 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 18

10 增訂告知義務 : 新法修正重點 ( 續 ) 直接蒐集及間接蒐集之告知義務 修正施行前非由當事人提供之個人資料, 應自本法修正施行之日起一年內完成告知 當事人拒絕行銷之權利 資料違法外洩之通知義務 加重罰則 : 民事賠償 : 新台幣二千萬元 二億元 刑事處罰 : 新台幣伍萬元 一百萬有期徒刑 : 三年以下 五年以下 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 19 域外效力 新法修正重點 ( 續 ) 公務機關及非公務機關, 在中華民國領域外對中華民國人民個人資料蒐集 處理或利用者, 亦適用本法 ( 51) 擴及委外第三人 受公務機關或非公務機關委託蒐集 處理或利用個人資料者, 於本法適用範圍內, 視同委託機關 ( 4) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 20

11 個人資料保護法之立法目的 避免人格權侵害 促進個人資料合理利用 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 21 隱私權與個人資料保護? 個人資料保護法 隱私權保護 刑法 民法等法規 個人資料保護 電腦處理個人資料 電腦處理個人資料保護法 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 22

12 保護個人資料的其他法律 民法 ( 侵害人格權 ) 財產上的損害賠償 精神慰撫金 回復名譽的適當處分 刑法 ( 妨害秘密罪 ) 有期徒刑 : 三年以下 罰金 : 三萬元以下 通訊保障及監察法 ( 秘密通信自由 ) 損害賠償 有期徒刑 : 五年以下 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 23 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 24

13 個資法架構 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 25 個人資料保護法適用於個人嗎? 個資法適用對象 包括各行各業及個人 ( 2) 受委託蒐集 處理或利用個人資料者, 視同委託機關 ( 4) 以任何方式 ( 包括紙本 ) 留存的個資法資料保護客體 任何方式取得個人資料 ( 2) 生存之特定或得特定之自然人 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 26

14 資料蒐集 處理或利用與特定目的之關聯 個人資料之蒐集 處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 ( 5) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 27 直接蒐集個人資料的告知義務 ( 8) 何時應該告知? 向當事人蒐集之前 1 機關名稱 2 蒐集目的 3 個人資料類別 應告知事項 4 利用期間 地區 對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集 處理或利用 (5) 請求刪除 上述權利, 不得預先拋棄或以特約限制 6 如當事人得自由選擇提供個人資料, 不提供將對其權益之影響 得免為告知之情況 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 28

15 間接蒐集個人資料的告知義務 ( 8) 何時應該告知? 應告知事項 處理或利用當事人的個資前 得免為告知之情況 1 機關名稱 2 蒐集目的 3 個人資料類別 4 利用期間 地區 對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集 處理或利用 (5) 請求刪除 上述權利, 不得預先拋棄或以特約限制 6 個人資料來源 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 6 當事人自行公開或其他已合法公開之個人資料 7 不能向當事人或其法定代理人為告知 8 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 9 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 29 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 30

16 公務機關個人資料之蒐集 處理及利用 特定目的內 ( 15) 特定目的外 ( 16) 公務機關對個人資料之蒐集或處 公務機關對個人資料之利用, 除第六條第一 理, 除第六條第一項所規定資料 項所規定資料外, 應於執行法定職務必要範 外, 應有特定目的, 並符合下列 圍內為之, 並與蒐集之特定目的相符 但有 情形之一者 : 下列情形之一者, 得為特定目的外之利用 : 1 執行法定職務必要範圍內 2 經當事人書面同意 3 對當事人權益無侵害 1 法律明文規定 2 為維護國家安全或增進公共利益 3 為免除當事人之生命 身體 自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過處理後或依其揭露方式無從識別特定當事人 6 有利於當事人權益 7 經當事人書面同意 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 31 非公務機關個人資料之蒐集 處理及利用 特定目的內 ( 19) 非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 1 法律明文規定 2 與當事人有契約或類似契約之關係 3 當事人自行公開或其他已合法公開之個人資料 4 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 5 經當事人書面同意 6 與公共利益有關 7 個人資料取自於一般可得之來源 但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 8 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除 停止處理或利用該個人資料 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 32

17 非公務機關個人資料之蒐集 處理及利用 特定目的外 ( 20) 非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之 但有下列情形之一者, 得為特定目的外之利用 : 1 法律明文規定 2 為增進公共利益 3 為免除當事人之生命 身體 自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 6 經當事人書面同意 : 非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 7 經當事人書面同意 : 非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 33 個人資料之安全保護相關規定 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 ( 18) 非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之 ( 27) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 34

18 個資法規定的安全保護相關規定有哪些? 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 35 個資法施行細則所列的安全維護事項 保護標的 : 防止個人資料被竊取 竄改 毀損 滅失或洩漏 1 成立管理織人員及相當資源 2 界定個人資料之範圍 3 個人資料之風險評估及管理機制 4 事故之預防 通報及應變機制 5 個人資料蒐集 處理及利用之內部管理程序 6 資料安全管理及人員管理 7 認知宣導及教育訓練 8 設備安全管理 9 資料安全稽核機制 10 使用紀錄 軌跡資料及證據保存 11 個人資料安全維護之整體持續改善 必要措施以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限 此 11 項安全措施內容為參照英國 BS 10012:2009 及日本 JISQ 15001:2006 等個人資料管理系統之規範, 以 P-D-C-A 循環之概念予以建立 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 36

19 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 37 基本原則 : 不得逾越特定目的 個人資料之蒐集 處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 ( 5) 38

20 個人資料保護法之特定目的 民國 101 年 10 月 01 日公告生效 ( 共 182 項 ) 人身保險 文化行政 人事管理 ( 包含甄選 離職及所屬員工基本資訊 文化資產管理 現職 學經歷 考試分發 終身學習訓練進修 考 績獎懲 銓審 薪資待遇 差勤 福利措施 褫奪 公權 特殊查核或其他人事措施 ) 入出國及移民 水利 農田水利行政 土地行政 火災預防與控制 消防行政 工程技術服務業之管理 代理與仲介業務 工業行政 外交及領事事務 不動產服務 外匯業務 中小企業及其他產業之輔導 民政 中央銀行監理業務 民意調查 公立與私立慈善機構管理 犯罪預防 刑事偵查 執行 矯正 保護處 分 犯罪被害人保護或更生保護事務 公共造產業務 生態保育 公共衛生或傳染病防治 立法或立法諮詢 公共關係 交通及公共建設行政 公職人員財產申報 利益衝突迴避及政治獻金業務公民營 ( 辦 ) 交通運輸 公共運輸及公共建設 戶政 仲裁 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 39 個人資料保護法之特定目的 ( 續 ) 全民健康保險 勞工保險 農民保險 國民年 兩岸暨港澳事務 金保險或其他社會保險 刑案資料管理 券幣行政 多層次傳銷經營 宗教 非營利組織業務 多層次傳銷監管 放射性物料管理 存款保險 林業 農業 動植物防疫檢疫 農村再生及 土石流防災管理 存款與匯款 法人或團體對股東 會員 ( 含股東 會員指 派之代表 ) 董事 監察人 理事 監事或 其他成員名冊之內部管理 有價證券與有價證券持有人登記 法制行政 行政執行 法律服務 行政裁罰 行政調查 法院執行業務 行銷 ( 包含金控共同行銷業務 ) 法院審判業務 住宅行政 社會行政 兵役 替代役行政 社會服務或社會工作 志工管理 金融服務業依法令規定及金融監理需要, 所 為之蒐集處理及利用 投資管理 金融爭議處理 災害防救行政 金融監督 管理與檢查 供水與排水服務 青年發展行政 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 40

21 個人資料保護法之特定目的 ( 續 ) 非公務機關依法定義務所進行個人資料之蒐集 借款戶與存款戶存借作業綜合管理 處理及利用 保健醫療服務 原住民行政 保險經紀 代理 公證業務 捐供血服務 保險監理 旅外國人急難救助 信用卡 現金卡 轉帳卡或電子票證業務 核子事故應變 信託業務 核能安全管理 契約 類似契約或其他法律關係事務 核貸與授信業務 客家行政 海洋行政 建築管理 都市更新 國民住宅事務 消費者 客戶管理與服務 政令宣導 消費者保護 政府資訊公開 檔案管理及應用 畜牧行政 政府福利金或救濟金給付行政 財產保險 科技行政 財產管理 科學工業園區 農業科技園區 文化創業園區 財稅行政 生物科技園區或其他園區管理行政 訂位 住宿登記與購票業務 退除役官兵輔導管理及其眷屬服務照顧 計畫 管制考核與其他研考管理 退撫基金或退休金管理 飛航事故調查 商業與技術資訊 食品 藥政管理 國內外交流業務 個人資料之合法交易業務 借款戶與存款戶存借作業綜合管理 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 41 個人資料保護法之特定目的 ( 續 ) 國家安全行政 安全查核 反情報調查安全查核 發照與登記 國家經濟發展業務 稅務行政 國家賠償行政 華僑資料管理 專門職業及技術人員之管理 懲戒與救濟 訴願及行政救濟 帳務管理及債權交易業務 貿易推廣及管理 彩券業務 鄉鎮市調解 授信業務 傳播行政與管理 採購與供應管理 債權整貼現及收買業務 救護車服務 募款 ( 包含公益勸募 ) 教育或訓練行政 廉政行政 產學合作 會計與相關服務 票券業務 會議管理 票據交換業務 經營郵政業務郵政儲匯保險業務 陳情 請願 檢舉案件處理 經營傳播業務 勞工行政 經營電信業務與電信加值網路業務 博物館 美術館 紀念館或其他公 私營造物 試務 銓敘 保訓行政 業務 場所進出安全管理 資 ( 通 ) 訊服務 就業安置 規劃與管理 資 ( 通 ) 訊與資料庫管理 智慧財產權 光碟管理及其他相關行政 資通安全與管理 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 42

22 個人資料保護法之特定目的 ( 續 ) 農產品交易 衛生行政 農產品推廣資訊 調查 統計與研究分析 農糧行政 學生 ( 員 )( 含畢 結業生 ) 資料管理 遊說業務行政 學術研究 運動 競技活動 憑證業務管理 運動休閒業務 輻射防護 電信及傳播監理 選民服務管理 僱用與服務管理 選舉 罷免及公民投票行政 圖書館 出版品管理 營建業之行政管理 漁業行政 環境保護 網路購物及其他電子商務服務 證券 期貨 證券投資信託及顧問相關業務證券投資信託及顧問相關業務 蒙藏行政 警政 輔助性與後勤支援管理 護照 簽證及文件證明處理 審計 監察調查及其他監察業務 體育行政 廣告或商業行為管理 觀光行政 觀光旅館業 旅館業 旅行業 觀光遊樂業及民宿經營管理業務 影視 音樂與媒體管理 其他中央政府機關暨所屬機關構內部單位管 理 公共事務監督 行政協助及相關業務 徵信 其他公共部門 ( 包括行政法人 政府捐助財 團法人及其他公法人 ) 執行相關業務 標準 檢驗 度量衡行政 其他公務機關對目的事業之監督管理 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 43 其他司法行政 個人資料保護法之特定目的 ( 續 ) 其他地方政府機關暨所屬機關構內部單位管理 公共事務監督 行政協助及相關業務其他自然人基於正當性目的所進行個人資料之蒐集處理及利用其他金融管理業務其他財政收入其他財政服務其他經營公共事業 ( 例如 : 自來水 瓦斯等 ) 業務其他經營合於營業登記項目或組織章程所定之業務其他諮詢與顧問服務 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 44

23 資料違法外洩時, 一定要和當事人說嗎? 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 45 公務機關或非公務機關違反本法規定, 致個人資料被竊取 洩漏 竄改或其他侵害者, 應查明後以適當方式通知當事人 ( 12) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 46

24 若違反個資法, 只要罰錢就可以了嗎? 47 公務機關之法律責任 刑事責任 違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性 非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑 公務員假借職務上之權力 機會或方法, 犯本章之罪者, 加重其刑至二分之一 ( 44) 民事責任 最高賠償總額 2 億元 非財產損害得請求賠償相當金額 公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但損害因天災 事變或其他不可抗力所致者, 不在此限 被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處份 依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算 ( 28)

25 非公務機關之法律責任 刑事責任 違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性 非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑 民事責任 最高賠償總額 2 億元 非財產損害得請求賠償相當金額 非公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但能證明其無故意或過失者, 不在此限 ( 29) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 49 非公務機關之法律責任 ( 續 ) 行政檢查行政責任罰鍰 ( 雙罰 每次 2 萬至 50 萬 ) 處分 非公務機關之代表人 管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並設同一額度罰鍰 ( 50) 禁止蒐集處理或利用 命令刪除經處理之資料 沒入或銷毀 公布違法情形及其姓名或名稱與負責人 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 50

26 第 31 條損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 51 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 52

27 個資法施行細則 法務部 2011 年 10 月 27 日在官方網站公布個資法施行細則草案 法務部法律事務司副法務部法律事務司副司長鍾瑞蘭表示, 草案將進行 14 天的法案預告, 來蒐集各界對草案的建議 法務部 2012 年 9 月 27 日在官方網站公布個資法施行細則 法條共三十三條 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 間接識別 個人資料檔案 ( 細則 3) 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照 組合 連結等, 始能識別該特定之個人 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 54

28 間接識別案例說明 Q: 何謂以間接方式識別該個人之資料? 何謂不能識別? 例如學校職員 A 從校務行政資料庫, 將學生資料中之一個欄位 聯絡方式 賣給補教業者 B, 則是否屬個人資料保護法所規範之可識別個人資料 A:(1) 就 A 而言, 雖然 A 只挑選學生資料中一個欄位 聯絡方式, 單純就連絡方式之資料內容來看, 無法得知該資料之特定個人為何人, 但是 A 或 A 所代表的機關本身, 仍有該校務行政資料庫之其他資料欄位可供對照 組合 連結等間接方式, 而能識別該特定個人, 故就 A 或 A 所代表的機關該單筆資料欄位仍屬可間接識別之個人資料 A 以意圖營利之方式販賣可識別之個人資料, 該當個人資料保護法第 41 條第 2 項之刑事構成要件而應負刑事責任 (2) 就 B 而言, 該 聯絡方式 之個人資料如無法透過資料庫之對照 組合 連結等間接方式而加以識別該特定之學生, 則屬查詢有困難之情形 ( 究屬查詢困難 耗費過鉅或耗時過久始能特定之情形需個案認定 ), 故為無法識別之個人資料, 無個人資料保護法之適用, 惟如屬其他法令規範之範圍, 則仍有其他法令之適用, 例如民法第 18 條及第 195 條之侵害隱私權等規定 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 個人資料檔案 ( 細則 4) 類別內容 ( 施行細則 ) 醫療 基因 指包含病歷及其他由醫師或其他之醫事人員, 以治療 矯正 預防人體疾病 傷害 殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方 用藥 施術或處置所產生之個人資料 由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息 性生活指性取向或性慣行之個人資料 健康檢查 指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料 犯罪前科指經緩起訴 職權不起訴或法院判決有罪確定 執行之紀錄 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 56

29 個人資料檔案 ( 細則 5) 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 備份資料 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 57 個人資料檔案 ( 細則 6) 刪除 指使已儲存之個人資料自個人資料檔案中消失 刪除行為之認定, 應視刪除當時科技水準及技術, 參酌適用主體之組織型態, 使用一般社會通念之標準, 所為使個人資料消失之行為, 以作為參考標準, 尚無需達 不復存在 之標準, 始謂符合本法所稱之 刪除 內部傳送 指公務機關或非公務機關本身內部之資料傳送 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 58

30 個人資料檔案 ( 細則 7) 受委託蒐集 處理或利用個人資料之法人 團體或自然人, 依委託機關應適用之規定為之 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 59 個人資料檔案 ( 細則 8) 委託他人蒐集 處理或利用個人資料時, 委託機關應對受託者為適當之監督 監督至少應包含下列事項 : 一. 預定蒐集 處理或利用個人資料之範圍 類別 特定目的及其期間 二. 受託者就第十二條第二項採取之措施 三. 有複委託者, 其約定之受託者 四. 受託者或其受僱人違反本法 其他個人資料保護法律或其法其他個人資料保護法律或其法規命令時, 應向委託機關通知之事項及採行之補救措施 五. 委託機關如對受託者有保留指示者, 其保留指示之事項 六. 委託關係終止或解除時, 個人資料載體之返還, 及受託者履行委託契約以儲存方式而持有之個人資料之刪除 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 60

31 個人資料檔案 ( 細則 8) 委託他人蒐集 處理或利用個人資料時, 委託機關應對受託者為適當之監督 第一項之監督, 委託機關應定期確認受託者執行之狀況, 並將確認結果記錄之 受託者僅得於委託機關指示之範圍內, 蒐集 處理或利用個人資料 受託者認委託機關之指示有違反本法 其他個人資料保護法律或其法規命令者, 應立即通知委託機關 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 61 個人資料檔案 ( 細則 9, 10) 本法第六條第一項第一款 第八條第二項第一款 第十六條第一項第一款 第十九條第一項第一款 第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令 本法第六條第一項第二款 第八條第二項第二款及第三款 第十條第二款 第十五條第一款 第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一 法律 法律授權之命令 二 自治條例 三 法律或自治條例授權之自治規則 四 法律或中央法規授權之委辦規則 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 62

32 個人個人資料之風險評估及管理機制 體持必要措施包括 ( 細則 12) 成立管理組織, 配置相當資源界定個人資料之範圍資事故之預防通報及應變機制 個人資料蒐集 處理及利用之內部管理程序護個人資料蒐集資料安全管理認知宣導及教育訓練及人員管理整及人員管理設備安全管理資料安全稽核機制續資料安全稽核機制必要之使用紀錄 軌跡資料及證據之保存 安事故之預防 通報及應變機制 料全維護之改善63 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 必要措施包括 ( 細則 12) 必要措施, 以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 64

33 書面同意 ( 細則 14, 15) 本法第七條所定書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之 本法第七條第二項所定單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容並確認同意 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 65 告知 ( 細則 16) 依本法第八條 第九條及第五十四條所定告知之方式, 得以言詞 書面 電話 簡訊 電子郵件 傳真 電子文件電子郵件電子文件或其他足以使當事人知悉或可得知悉之方式為之 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 66

34 專人 ( 細則 25) 公務機關指定 專人 辦理安全維護措施 指具有管理及維護個人資料檔案之專業能力, 且足以擔任機關檔案資料安全維護經常性工作之人員 公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 67 施行細則內容 蒐集 儲存 利用 銷毀 依法進行告知義務 取得書面同意 採取適當保護措施, 避免個人資料被竊取 竄改或毀損 應於蒐集之特定目的內使用 特定目的外之使用應另外取得書面同意 特定目的消失 期限屆滿 當事人要求 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 68

35 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 69 哪些個人資料不受個資法保護 ( 個資法第 51 條 )? 自然人為單純個人或家庭活動之目的, 而蒐集 處理或利用個人資料 例如社交活動 寄送喜帖 親友通訊錄等 上述資料的蒐集必須與職業或業務職掌無關 於公開場所或公 例如運動會照片 遊樂場拍攝小孩與其開活動中所蒐集 他小孩一起遊玩的影片等 為解決合照或其他在合理範圍內之影音處理或利用之未資料須經其他當事人書面同意始得蒐集 處理或利用之不便, 因此排除個資法對上述影音資料的適用, 回歸民法規定 與其他個人資料結合之影音資料 * 日本個人資料保護法另外排除五千筆資料以下的單位 70

36 案例 : 學生入學後, 學校可以如何使用其資料? 例如 : 學校相關活動 ( 含社團等 ) 是否可以透過信件寄發給所有學生? 誰有資格寄發或使用? 學校 社團辦活動可透過信件寄發通知給學生 學校辦活動之單位及社團都可以寄並使用學生的個人資料, 此符合學校教育以及成立社團之特定目的, 但若學校所辦活動其實是廠商的行銷活動, 則有爭議 學校不可以把學生的資料給合辦活動的廠商使用, 這部份請學校評估學校使用學生個人資料之用途與目的, 是否符合學校教育興學之目的 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 71 案例 : 學生入學新生訓練時, 是否是恰當時機, 讓學生知道學校可能利用其資料的狀況, 並在新生訓練或註冊時, 取得同意的 授權? 除非學校使用個人資料有可能超過教育行政之特定目的, 不然是不需要學生額外授權 不過因為新法增加了 " 告知 " 義務, 在學生入學時就要立刻履行告知義務 詳述學校使用個人資料之範圍用途等等 如果學校或做超過特定目的之利用, 就應該及早告知學生並取得 " 書面同意 " 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 72

37 案例 : 畢業生紀念冊上的學生相關資料應該屬於個人資料? 旦目前都視同慣例, 是否未來有風險? 如何補救? 至於圖書館陳列的歷屆畢業紀念冊是否應該管理? 紀念冊上的學生資料是個人資料 過去紀念冊的蒐集與公開並非違法行為, 但是因為現在有販賣個人資料或是詐騙個人資料之行為, 所以學校應改變個人資料之保管方式並加以控管, 例如限制可以閱覽紀念冊的人員 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 73 案例 : 學校目前的畢業學生資料, 如何是屬於合法使用? 是否可以寄發活動通知? 或者應該在學生畢業前, 先取得畢業學生的同意授權? 至於過去幾時年的畢業生資料如何使用與管理才能符合新的個人資料保護法的蒐集 利用之範圍? 學校使用校友的資料應該還是必須符合 " 教育行政 " 的特定目的, 如果超過這個目的還是不能使用, 可能需要在畢業前取得學生授權 一般人並不會反對辦校友活動會超過特定目的, 這個部分學校應該與教育部以及法務部溝通確保學校能繼續使用校友資料, 學校還是應該要建立控管機制, 避免校友資料外洩 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 74

38 案例 : 老師在幫學生寫介紹信前, 會要求學校職員提供該學生多年的相關資料 ( 個人資料與成績 ), 該如何處理? 職員提供該資料前, 是否應取得學生之同意? 老師幫學生寫介紹信在美國教育體系下是老師的義務, 若在臺灣, 幫學生寫介紹信已經成為教授或老師天經地義的工作, 則學校應該要提供給教授相關資料而無須取得學生同意 重點在於, 證明教授或老師是為了寫介紹信而不是為了其他目要求學校提供學生資料 學校可考量要求教授或老師出示學生的申請書, 或者是教授或老師要求學生自己向學校申請資料並由學校直接交給教授等, 不同的做法 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 75 案例 : 學生借書紀錄, 是否涵蓋在個資範圍內? 老師擔心學生最近是否因閱讀某一些讀物而行為有一些偏差, 所以向圖書館調閱學生的借書紀錄, 請問圖書館是否可以提供? 學生借書紀錄包括學生姓名 社會活動或其他得以識別學生之資料, 構成學生個資 圖書館保存借書紀錄的目的是為了 圖書館管管理 之特定目的, 而非為了讓老師檢查學生行為偏差是否與閱讀某些讀物有關之目的 如有證據可合理懷疑某學生偏差行為與閱讀有相當關聯, 老師為了進一步確認向圖書館調閱學生借書紀錄, 固然可認為是學校內部 教育或訓練行政 目的, 但仍應於該目的之必要範圍內為之, 且應尊重當事人之權益 若老師在無任何證據情況下調取學生借書紀錄, 恐被認為逾越 教育或訓練行政 目的之必要範圍, 因而違反個資法的規定 因此, 圖書館 是否可以將學生借書紀錄提供給老師, 應視具體個案中老師可否提供合理之說明及證據來作決定 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 76

39 案例 : 學務處提供家長查詢學生考試成績或學習紀錄, 使用方式是以 學生的身分證字號 登入為查詢依據, 請問學務處可以提供家長查詢嗎? 若可以, 可以提供到什麼程度? 另外針對己成年的學生或未成年的學生是否有不一樣的處理方式 應區分成年和未成年, 成年學生的家長應無法查詢, 除非有學生授權 未成年的家長是學生的法定代理人, 應該都能看才對 案例 : 學校可以為了保護學生, 蒐集學生病史 健康 身分 ( 低收入戶 ) 資料等涉及特種個資嗎? 有關病史 健康檢查的部分, 要看教育部的法規有沒有允許 低收入戶並非特種個資 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 77 案例 : 導師是否可以知道班上同學的學習狀況, 導師可以知道同學修課成績嗎? 如果導師取得學生的修課成績, 是為了瞭解學生的學習狀況, 此為執行法定職務必要範圍 ( 公立學校 ) 或因學校與學生間之契約關係 ( 私立學校 ), 為了特定目的 ( 教育或訓練行政 ) 所為, 符合個資法的規定 案例 : 學校是否可寄發認同卡相關資料給校友? 學校當初蒐集校友個人資料之特定目的為教育或訓練行政, 或學生資料管理 學校寄發認同卡相關資料給校友, 構成利用校友個人資料之行為, 似已逾越上述特定目的, 除非取得校友之書面同意, 否則不得為之 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 78

40 案例 : 個資法中之特種個人資料規範中, 若個資擁有者自行公開之個人資料, 是可以收集的, 但是請問這樣的資訊可以拿來傳播嗎? 雖然已公開的特種個資是可以蒐集的, 但蒐集及利用仍須符合特定目的, 並不是任意可以拿來傳播的 案例 : 身心障礙是否為特種資料? ( 例如 : 殘障手冊, 或公務人員履歷表上註明身心障礙 ) 身心障礙須依據醫療機構之鑑定結果核發身心障礙證明而為認定 如以法務部指定之個資法施行細則草案之定義, 醫療 指 以治療 矯正或預防人體疾病 傷害 殘缺為目的, 所為的診察 診斷及治療, 身心障礙似符合上述 醫療 之定義, 從而屬於特種個人資料之一種 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 79 案例 : 網頁上的學生家長區, 家長可以查詢學生的個人缺曠 操行嗎? 學校將學生的缺曠課資料及操行成績提供家長查詢, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符 惟大學生瞭解自己的缺曠課資料及操行成績, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否有必要將學生的缺曠課資料及操行成績提供家長查詢, 始能達到教育或訓練行政之目的, 恐有疑義 建議教育部對此作成統一解釋, 以便學校知所遵循, 避免學生質疑 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 80

41 案例 : 在公告欄上公告曠課學生名單 ( 學生姓名 學號 ) 有違反個資嗎? 有關獎懲之作法, 應符合學校辦理教育行政之目的, 公布應不違反個資 學生成績預警制度, 若有扣 8 分或扣 16 分的情形, 是否可以寄給家長知道? 學校將學生預警制度扣分情形告知家長, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符 大學生收受成績預警制度之資料, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否必要告知學生本人之成績預警資料, 另行提供學生家長, 始能達到教育或訓練行政之目的, 恐有疑義 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 81 案例 : 某大學為獎勵學生畢業, 將學生部分資料公開於網頁上, 經學生提告後, 將網頁資料撤銷, 但在 Google 仍搜尋得到, 請問是否可以要求學校向 Google 交涉, 或需由學生自行要求 Google 撤銷其資料? 網頁由學校建立, 學校應盡早找 Google 交涉, 否則有可能仍然有責 案例 : 系所或系科主任希望知道各老師教學狀況, 以作為老師的教學評量 教學評鑑使或其它考核用途, 請問課務組該如何因應處理? 課務組提供老師教學狀況給系所或系科主任, 作為教學評量 評鑑或其他考核用途, 屬於學校處理及利用老師個人資料的行為, 應屬特定目的 ( 教育或訓練行政 ) 之必要範圍, 符合個資法規定, 因此是可以提供的 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 82

42 案例 : 就業輔導處 針對學生畢業後, 使用學生相關個人資料, 是否邀簽署同意書? 是否有時效問題 ( 例如 :5 年或 7 年 )? 若資料須放更久, 如何處理? 如學校已經在簽署同意書上說明特定目的與理由, 則學校於符合特定目的之情況下, 得於學生畢業後繼續使用學生之個人資料, 不會受到期間的限制 案例 : 學校的推廣中心是否可以利用報名學校的甄 / 筆試的考生資料, 寄給落榜生推廣學分班招生資料? 學校蒐集考生個人資料之特定目的為學生資料管理, 而非行銷推廣中心之課程 推廣中心將招生資料寄給落榜生推廣中心將招生資料寄給落榜生, 構成利用考生個人資料之行為, 逾越學生資料管理之特定目的, 除非取得考生之書面同意, 否則不得為之 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 83 小結 學生獎懲資料符合學校辦理教育行政之目的, 公布不違反個資法 每位教職員均應檢視自己放在網路上與學校有關業務的資料是否違反個人資料保護法蒐集 處理與利用之規範, 若有請立即自行刪除, 若無法自行刪除者, 應通知學校資訊單位協助處理 例如, 班級網頁中是否有學生的姓名 生日 照片 ( 特別是照片旁有標註可供辨識學生身份的資料 ) 等之資訊揭露 學校辦理研習課程等活動之簽到單, 須妥善保管並定期或不需要時予以銷毀 學校網站上若出現學生班級 座號 全名 健康狀況 家庭狀況 聯絡方式 輔導紀錄 申請補助進度等資訊, 須進一步檢視公開之必要性, 或進行必要處理後再公開 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 84

43 小結 ( 續 ) 教師索取學生個資需由業務承辦人判別是否合乎該師之職權, 方可給予個資 ; 可透過建立調閱紀錄表並由權責主管簽核等方式進行管控與追蹤 歷屆的畢業紀念冊不開放讀取, 必要時可上鎖保存, 並建立限制可接觸畢業紀念冊人員之規定 保留重要或敏感個資之處所需有門禁等實體安全控管機制 ; 存放個人資料的電腦也需安全控管機制, 例如密碼 包含個人資料的電腦在報廢前, 需將硬碟資料進行完全知移除 ( 不只是清空電腦資源回收筒 ) 因教學 行政而辦的活動, 可透過電子信件寄發給所有學生, 不違反個資法 向尚未成年之學生取用個資, 需取得當事人或監護人同意方可行之 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 85 一 什麼是個人資料 二 個資法基本認知 簡報大綱 三 個資法架構與第一章部分條文 四 個資法蒐集 處理及利用 五 個資法部分條文罰則 六 個資法施行細則重點 七 案例說明 八 個資保護落實建議 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 86

44 建議事項 立即進行組織內個人資料盤點工作, 瞭解組織擁有的個人資料種類 數量 保存與利用情形, 並確認蒐集當時的特定目的, 以為後續風險評估與建議安全管控措施之基礎 設置組織負責規劃個人資料保護相關事宜 進行必要的資訊安全與個資教育訓練 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 87 資料蒐集 處理 利用之自我檢查五步驟 步驟一 : 清點所有之個人資料 步驟二 : 清查蒐集個人資料之途徑與方式 步驟三 : 確認是否須履行告知義務並建立告知機制 步驟四 : 確認蒐集 處理 利用之特定目的 步驟五 : 檢視利用的範圍與方式 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 88

45 施行細則第十二條 (11 項措施 ) 資料來源 : ithome 個資法上路, 企業要做好 11 項安全維護措施 ( ) 參考範本 : 網路活動蒐集個資之同意書 一 隱私權保護政策的適用範圍應告知項目 本隱私權政策內容, 包括 NII 產業發展協進會如何處理在您使用本活動網站時所蒐集到的個人資料, 不適用於本活動網站以外的相關連結網站, 也不適用於非本網站所委託或參與管理的人員 二 資料的蒐集與使用方式本活動網站為提供您最佳的互動性服務, 可能會請您提供相關個人資料, 其範圍如下 : 當您使用本活動網站之挑戰遊戲等互動功能時, 系統會保留您所提供的電子郵件地址 姓名 學校名稱 班級名稱 居住縣市別 ( 含區 ) 指導教師姓名 服務使用時間 挑戰答題紀錄等 本活動所蒐集之姓名 學校名稱 班級名稱 居住縣市別 ( 含區 ) 指導教師姓名等資訊為必填欄位, 將作為抽獎身分確認以及做為與您連絡之依據 ; 電子郵件地址非必填欄位, 僅用於發送 忘記密碼通知函 使用 為提供精確的服務, 我們會將蒐集之挑戰答題紀錄進行統計與分析, 分析結果之統計數據或說明文字呈現, 除供內部研究外, 我們會視需要公布統計數據及說明文字, 但不涉及特定個人之資料 於一般瀏覽時, 伺服器會自行記錄相關行徑, 包括您使用連線設備的 IP 位址 使用時間 使用的瀏覽器 瀏覽及點選資料紀錄等, 做為我們增進網站服務的參考依據, 此紀錄為內部應用, 絕不對外公布 機關名稱 蒐集目的 個人資料類別 利用期間 地區 對象及方式 本活動所蒐集與利用您的個人資料之期間為, 自即日起至民國 101 年 3 月 31 日為止, 利用地區為台灣地區 您可自由選擇是否提供您的個人資料, 但若您所提供之個人資料, 經檢舉或由本會發現不足以確認您的身分, 或有其他個人資料冒用 盜用 資料不實等情形, 本會有權刪除您的抽獎或得獎資格 不提供個資之權益影響 90

46 參考範本 : 網路活動蒐集個資之同意書 ( 續 ) 您可隨時依照個人資料保護法律之相關規定, 向本網站查詢本網站所蒐集之您的個人資料 要求補充或更正 請求停止蒐集處理或利用 請求刪除, 或請求給予副本 您行使有關權利與本網站之聯絡方式為 : 電話 :(02) ; 傳真 : (02) ; 電子郵件 :[email protected] 如您要求本網站停止蒐集 處理或利用您的個人資料, 或是要求刪除您的個人資料, 本網站必須取消您參加活動或抽獎之資格, 以及抽中之獎品 除非取得您的同意或其他法令之特別規定, 本網站絕不會將您的個人資料揭露予第三人或使用於蒐集目的以外之其他用途 三 資料之保護 本網站主機均設有防火牆 防毒系統等相關的各項資訊安全設備及必要的安全防護措施防毒系統等相關的各項資訊安全設備及必要的安全防護措施, 加以保護網站及您的個人資料, 只由經過授權的人員才能接觸您的個人資料, 相關處理人員皆簽有保密合約, 如有違反保密義務者, 將會受到相關的法律處分 如因業務需要有必要委託本活動網站相關單位提供服務時, 本網站亦會嚴格要求其遵守保密義務, 並且採取必要檢查程序以確定其將確實遵守 四 本網站的網頁提供其他網站的網路連結, 您也可經由本網站所提供的連結, 點選進入其他網站 但該連結網站不適用本網站的隱私權政策, 您必須參考該連結網站中的隱私權政策 五 為了提供您最佳的服務, 本網站會在您的電腦中放置並取用我們的 Cookie, 若您不願接受 Cookie 的寫入, 您可在您使用的瀏覽器功能項中設定隱私權等級為高, 即可拒絕 Cookie 的寫入, 但可能會導致網站某些功能無法正常執行 應告知項目 當事人權利 六 本隱私權政策可能會因應個人資料保護法或其他相關法規 以及實際需求隨時進行修正, 修正後的條款將刊登於本活動網站上 91 簡報完畢, 敬請指教 NII 產業發展協進會 (02) 台北市松江路 317 號 7 樓 本簡報內容著作權為 NII 產業發展協進會所有