PowerPoint 簡報 - PDF Free Download

主講人 : 計資中心呂瑞麟題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 2014.08 P. 1

中興大學個資保護推動的現況由 NII 輔導完成導入, 並通過 BS10012 國際標準認證第一階段為行政單位第二階段為教學研究單位教育部已經將資訊安全與個資保護列入大專校院統合視導的項目常常有人詢問 : 怎麼辦? 沒有特效藥遵循標準做 ( 教育部資科司與中興大學合作分別在 2013 和 2014 年舉行系列教育訓練 ; 請積極邀請業務單位同仁參加 ) 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 2

案例客服人員用親切但是篤定的語氣說 : 對不起, 由於個資法的實施, 我們無法 ex. 遠通電收 ex. 中華電信題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 3

案例學校榮譽榜變圈圈榜資料出處 :http://udn.com/news/national/nats10/7487272.shtml 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 4

案例 : 榮譽榜教育部的最新說明題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 5

案例 * 常見學校外牆跑馬燈 : 賀,XXX 錄取台大 OO 系! 資料出處 :http://udn.com/news/opinion/x1/7489550.shtml 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 6

何謂個人資料? 個人資料保護法於民國 101 年 10 月 1 日起正式實施除了第 6 條 ( 特種個資 ) 以及第 54 條 ( 一年內告知 ) 何謂個人資料? 指自然人之姓名出生年月日國民身分證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動及其他得以直接或間接方式識別該個人之資料 ( 個資法第六條 ) 有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用自我檢視 : 健康檢查報告心理咨商等, 是依據何種法令收集? 如何安全保存? 保留多久? copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 7

個人資料種類數位個人資料書面個人資料參加講習以取得終身學習時數 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 8

個人資料種類 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 9

我為什麼要在意? 刑責問題 : 民事責任 : 每人每一事件五百元以上二萬元以下,20 人以上最高上限 2 億 ( 第 28 條 ) 校長或者資安長例如 : 招生規定是由學校制定, 當然需要由最高首長負責刑事責任 : 第 41 條業務承辦人員違反 ( 規定 ), 足生損害於他人者, 處二年以下有期徒刑拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者, 處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 10

我為什麼要在意? 主管機關的罰則中國信託網路繳費中心個資外洩案, 金管會開罰 400 萬元題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 11

我為什麼要在意? 個資法第 12 條公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人個資法實施細則第 22 條第二款依本法第十二條規定通知當事人, 其內容應包括個人資料被侵害之事實及已採取之因應措施也就是說 : 我們需要提醒當事人來告我們! copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 12

個人資料的生命週期收集儲存處理利用傳輸銷毀我該如何面對? copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 13

我該如何面對? 參加教育訓練, 並落實於工作中持續性的教育訓練初級班 : 武功心法 : 個資保護的八大原則 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 14

個人資料保護原則 (BS10012) 一. 受到公平合法的處理個資盤點以確定法源依據二. 僅為具體指明的目的取得, 且不會受到不符合此等目的的方式處理若無法源依據, 訂定使用目的並取得同意三. 適當相關且不過度若可以不收集, 就不收集 ; 若可以不處理利用, 就不處理利用四. 正確且最新 ( 個資法第 11 條 ) 在取得同意或者宣告隱私時, 即告知需要主動告知異動, 以免權利受損 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 15

個資的使用公務機關個資之蒐集或處理不得逾越特定目的之必要範圍, 並符合下列情形之一者 : 執行法定職務之必要範圍內經當事人書面同意對當事人權益無侵害題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 16

個資的使用公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情形之一者, 得為特定目的外之利用 : 一法律明文規定二為維護國家安全或增進公共利益三為免除當事人之生命身體自由或財產上之危險四為防止他人權益之重大危害五公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人六有利於當事人權益七經當事人書面同意題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 17

個資的蒐集與處理非公務機關個資之蒐集或處理不得逾越特定目的之必要範圍, 並符合下列情形之一者 : 法律明文規定與當事人有契約或類似契約之關係當事人自行公開或其他已合法公開之個人資料學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人經當事人書面同意與公共利益有關個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 18

個人資料保護原則 (BS10012) 五. 保留時間不超過必要程度保留時間亦可參考相關法則, 如檔案管理的相關規定若無法令依據, 保留越短越好 ; 或自訂法規六. 處理方式符合法律賦予的個人權利, 包括標的存取權非必要性的資料, 個人有權要求停止收集處理七. 獲得安全保障 ( 實施細則第 12 條 ; 含書面資料實體主機 ) 可以使用計資中心提供的弱點 ( 個資 ) 掃瞄虛擬主機等服務八. 不在未受到適當保護的情形下被移轉到境外的國家 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 19

案例 I copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 20

個人資料保護原則 (BS10012) 一. 受到公平合法的處理大學法與大學法實施細則二. 僅為具體指明的目的取得, 且不會受到不符合此等目的的方式處理 ( 經由盤點註明特定目的 ) 三. 適當相關且不過度 (?) 四. 正確且最新 ( 是否在申請表中要求?) 在取得同意或者宣告隱私時, 即告知需要主動告知異動, 以免權利受損 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 21

法規依循大學法及大學法施行細則法規依循 ( 修正後 ) 大學法第 24 條第 1 項及大學法施行細則第 19 條大學法第 24 條第 1 項大學法施行細則第 19 條蒐集個人資料敏感資料表單記錄 Ⅰ 大學招生, 應本公平公正公開原則單獨或聯合他校辦理 ; 其招生 ( 包括考試 ) 方式名額考生身分認定利益迴避成績複查考生申訴處理程序及其他應遵行事項之規定, 由大學擬訂, 報教育部核定後實施大學為辦理招生或聯合招生, 得組成大學招生委員會或聯合會, 聯合會並就前項事項共同協商擬訂, 報教育部核定後實施 ; 大學招生委員會或聯合會, 得就考試相關業務, 委託學術專業團體或財團法人辦理 Ⅰ 大學應依本法第二十四條第一項所定事項, 擬訂招生規定, 報本部核定後, 訂定招生簡章 Ⅱ 前項招生規定及涉及考生權益事項, 應於招生簡章中明定 Ⅲ 大學招生委員會或聯合會依本法第二十四條第二項規定委託學術專業團體或財團法人辦理考試相關業務, 應以契約為之姓名身分證字號 ( 護照號碼 ) 出生年月日戶籍地址聯絡資料學經歷資料健康資訊健康資訊招生資訊系統 copyright 國立中興大學法律系蔡惠芳老師題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 22

個人資料保護原則 (BS10012) 五. 保留時間不超過必要程度 ( 已明定保留時間? 何時銷毀?) 六. 處理方式符合法律賦予的個人權利, 包括標的存取權 ( 是否提供更新資料的管道?) 七. 獲得安全保障工讀生看得到嗎? 八. 不在未受到適當保護的情形下被移轉到境外的國家 (X) copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 23

案例 II 題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 24

案例 II 計中可以將未通過英檢的學生資料給語言中心嗎? 學生資料歸誰管? 題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 25

討論議題八大原則第一原則 : 根據什麼法規? 第二原則 : 不會受到不符合此等目的的方式處理第三原則 : 適當相關且不過度第四原則 : 正確且最新第五原則 : 保留時間不超過必要程度第六原則 : 符合法律賦予個人的權利 ( 包含不同意持續受到通知 ) 第七原則 : 獲得安全的保障第八原則 : 個資移轉至境外國家 (X) copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 26

案例 II 的延伸如果業務承辦人所簽的意見如下 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 27

案例的再延伸如果業務承辦人一路簽上來, 且校長核可了業務承辦人風險增加? 語言中心承辦人風險增加? 校長的風險增加? copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 28

案例 III 太子汽車在 Google 上 http://www.ithome.com.tw/itadm/article.php?c=79294 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 29

討論議題外包系統或廠商舉證的責任若被害人告學校洩漏個資公立學校為公務機關, 依據個資法第 28 條處理 ( 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算 ) 私立學校為非公務機關, 依據個資法第 29 條處理若學校懷疑是由委外的系統洩漏出去依據個資法實施細則第 7 條 : 受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之學校告委外廠商走民法, 學校要舉證 copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 30

討論議題讓委外廠商處理個資? 處理原則 : 實施細則第 8 條建議 : 可以要求廠商擁有具有個資 (BS10012) 或者資安 (ISO27001) 認證人員題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 31

案例 IV 我想申請一個證件, 申請單位要求我必須提供身分證影印本才能申請! 檢討議題 : 我已經出示教職員證, 為什麼還要身份證影印本? 如果是校外人士, 需要身分證影本嗎? 如何安全的保存影印本? 需要保留多久? 如何銷毀? 題目 : 中興大學在推動個資認證的經驗分享 copyright 國立中興大學計資中心主講人 : 呂瑞麟 P. 32

其他案例某業者為了業務的推廣, 假扮學生會 ( 或者其他組織 ) 名義大量收集學生個資? 畢業系 ( 校 ) 友請系辦助理提供該班的聯絡資料? 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 33

討論議題個人資料保護的工作是資訊安全的問題? 個人資料保護的工作是法務的問題? 個人資料保護的工作是管理制度的問題? copyright 國立中興大學計資中心題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 34

如何尋求協助以 CC 授權方式提供範本資料未來提供 PIMS 系統提升效率題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 35

個資資產與風險評鑑 - 進行中題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 36

FAQ 個資法擾民? 還是推動個資保護擾民? 通過個資認證, 就可以保證個資不會外洩? 僅能降低風險許多組織推動過 ISO 9xxx, 現在呢? ISO 9xxx 等標準沒有法律效力, 但是個資卻有個資法壓著題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 37

FAQ 第三方認證 BS10012? 為什麼不是 ISO 29100? 目前公正第三方的認證只有 BS10012; 如果有教育部版, 也不錯 ISO 29100? a high-level framework for the protection of personally identifiable information (PII) within information and communication technology (ICT) systems 紙本呢? 經濟部的 TPIPAS( Taiwan Personal Information Protection & Administration System) 剛開始是為電子商務而設計目前範圍擴大 (?) 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 38

個人心得與討論面對資料收集時的態度以前的觀念 : 收集的越完整, 麻煩越少現在的觀念 : 收集的夠用就好, 麻煩越少題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 39

個人心得與討論正確的做法需要讓個資保護的概念要深入到每項工作細節顧客抱怨 : 老是以個資保護為保護傘, 而不願意似乎只有教育訓練學務處的範例 : 家長打電話到學校來, 要求學校提供學生的連絡資訊題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 40

案例討論客服人員用親切但是篤定的語氣說 : 對不起, 由於個資法的實施, 我們無法 ex. 中華電信 ex. 遠通電收題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 41

如何尋求協助本校目前執行教育部資科司教育體系個資安全管理專案計劃貴校執行過程中, 對於執行方式有疑問, 可以詢問中興大學計資中心研究發展組林舜祥先生熱線諮詢專線 ( 臺灣學術網路 TANet 校園網路電話 93110722 或市話 04-22840307 轉 722) 與電子信箱 (nchu-pims@nchu.edu.tw) 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 42

Q&A 題目 : 中興大學在推動個資認證的經驗分享主講人 : 呂瑞麟 P. 43