中小企業法規宣導巡迴列車

個資法風暴之防禦與因應主講者 : 溫令行律師 1

演講者個人資料令珩法律事務所台北所 / 台中所 / 新竹所所長兼主持律師 : 溫令行律師經濟部中小企業榮譽律師清華大學科技法律研究所講師法務部行政執行處講師新北市政府專案講師專利代理人新北市政府委任律師台北市政府諮詢律師台北律師公會民事法家事法委員台北桃園新竹台中台南律師公會會員蘋果日報法律信箱法律顧問萬華婦女協會法律顧問保成志光學儒文教機構民事訴訟法講師 / 2

演講主軸壹個人資料保護法之簡介貳違反個資法之民事刑事及行政責任參集體訴訟肆案例分析伍新版個資法上路後, 校園可能面臨之問題陸結論 3

新聞公眾利益? 人肉搜中指蕭恐觸個資法法務部完成個資法修正案, 未來涉及蒐集他人性生活整形或是犯罪前科等個人資料, 除非符合公眾利益, 否則可能違法, 影響層面包括近來網友間盛行的人肉搜索, 今天媒體問到法務部長曾勇夫, 如果是之前中指蕭擋救護車, 被網友人肉搜索 ; 或是和民意代表吳育昇爆發婚外情的女主角孫仲瑜, 網友蒐集並且曝光她資料, 算違反新個資法嗎? 法務部長曾勇夫一時語塞, 通通答不上來! 新聞聯結 : http://tw.news.yahoo.com/%e5%85%ac%e7%9c%be%e5%88%a9%e7%9b%8a- %E4%BA%BA%E8%82%89%E6%90%9C%E4%B8%AD%E6%8C%87%E8%95%AD%E 6%81%90%E8%A7%B8%E5%80%8B%E8%B3%87%E6%B3%95-110237249.html 4

中指蕭個資曝光蕭母在警局大哭半小時中指蕭因惡意阻擋救護車行進, 成為全民公敵, 不但全家人的資本資料都被人肉搜索出來, 不少網友打到他就讀的台大歷史學研究所要求校方應做出懲處, 甚至臉書上還有反中指男的活動社團, 連署人數超過 10 萬餘人, 要他踹共 ( 台語出來講之意 )! 被網友譏諷為中指男新店擋車王的蕭姓男子,24 日晚間 6 點 21 分, 駕駛橘色 SMART 轎車, 不知何故刻意擋在一輛急馳的救護車前, 還刻意在救護車前踩剎車, 甚至比出中指嗆聲這樣的行徑讓救護人員忍無可忍, 將蕭姓男子挑釁的行為全部 PO 上網新聞來源 :http://www.nownews.com/2011/01/05/11490-2679376.htm#ixzz1hurfmz6r http://www.nownews.com/2010/12/29/91-2677591.htm 5

個資法怪象榮譽榜變圈圈榜 6

太八卦六十八名員警偷查孫仲瑜個資蘋果揭露立委吳育昇婚外情, 事件女主角孫仲瑜成為各方追逐的焦點, 八卦的程度連警察都想一探究竟, 警政署發現, 有六十八名警員, 透過刑案資訊系統查詢孫女個人資料警政署資訊室主任李相臣說, 每位警察必須以自己的帳碼登入系統, 才能查詢民眾個資, 統統都會留下紀錄關於孫仲瑜案, 全台有十六個單位共六十八名警員, 曾以電腦查詢孫仲瑜的個人資料, 還有人重複查詢兩次以上, 共查了七十多次李相臣強調, 經調查, 這些警員查閱孫女個資與案件無關, 但都未洩露給他人, 因此依規定將處以申誡一次到兩次, 如果警員將個資外洩, 將涉及個人資料保護法及瀆職等刑責, 後果相當嚴重資料來源 :http://www.appledaily.com.tw/appledaily/article/headline/20100118/32240472/, http://mouse13147.blogspot.tw/2009_11_01_archive.html 7

壹個人資料之範疇 8

個人資料保護法架構第四章 (28~40) 損害賠償及團體訴訟第二章 (15~18) 公務機關對個人資料之蒐集與應用第五章罰則 (41~50) 第一章總則 (1~14) 第三章 (19~27) 非公務機關對個人資料之蒐集與應用第六章 (51~56) 附則 9

個人資料保護法架構立法院於 99 年 4 月 27 日, 將電腦處理個人資料保護法, 修訂並三讀通過為個人資料保護法個人資料保護法於 99.05.26 修正公布之全文施行日, 並於 101.10.01 正式施行修訂方向 : 擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與 10

新舊個資法異同比較電腦處理個人資料保護法 ( 舊法 ) 個人資料保護法新法適用主體限於指定行業公務機關自然人法人或其他團體保護客體電腦處理之個人資料包括人工處理電腦處理並區別一般性資料與敏感性資料程序規定無課與蒐集前告知義務及特定目的外利用之告知義務加重責任民事 : 每人每一事件二萬至十萬, 同一事件最高賠償二千萬刑事 : 處罰意圖營利 ; 且限告訴乃論行政 : 罰負責人民事 : 每人每一事件五百至二萬, 同一事件最高賠償二億, 並增訂團體訴訟刑事 : 納入處罰非意圖營利 ; 且意圖營利者非屬告訴乃論之罪行政 : 機關與負責人併罰制

個人資料保護法適用主體舊法 : 公務機關 ( 依法行使公權力之中央或地方機關 ) 非公務機關 : 醫院私立學校電信業金融業證券業保險業大眾傳播業徵信業等八類行業新法 : 打破行業別限制, 包括各行各業及個人 ( 第二條第七款第八款 ) 受委託蒐集處理或利用個人資料者, 視同委託機關 ( 個資法第四條 ) 12

個人資料保護法保護客體個資法 2 條 1 款一般性資料敏感性資料 ( 個資法 6 條 : 病歷醫療基因性生活健康檢查 ) 只有性別年齡等, 而沒有姓名生日聯絡方式公司或學校名稱等資料無法識別該個人, 應不受個資法規範工作地點: 台北市無法識別該個人, 應不受個資法規範 Email 容易與其他網路資料結合, 故可能足以識別該個人, 應受個資法規範

個人資料保護法適用客體舊法 : 使用電腦或類似設備處理之個人資料檔案蒐集 : 為建立個人資料檔案而取得個人資料新法 : 以任何方式 ( 包括紙本 ) 留存的資料蒐集 : 以任何方式取得個人資料個人 : 生存之特定或得特定之自然人 14

何謂個人資料? 姓名出生年月日身分證號碼護照號碼特徵指紋婚姻家庭教育職業病歷聯絡方式財務情況社會活動一般資料特種資料其他資料醫療基因性生活健康檢查犯罪前科得以直接或間接方式識別該個人之資料 15

個人資料保護法適用對象個資法 2 條 7 8 款公務機關 : 依法行使公權力之中央或地方機關或行政法人非公務機關 : 公務機關以外之自然人法人或團體

規範行為 ( 個資法 2 條 3~6 款 ) 個資法規範行為蒐集指以任何方式取得個人資料處理指為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送利用指將蒐集之個人資料為處理以外之使用國際傳輸指將個人資料作跨國 ( 境 ) 之處理或利用

規範行為 - 蒐集 ( 個資法 2 條 3 款 ) 蒐集 : 以任何方式取得個人資料直接向當事人蒐集間接從第三人取得 18

蒐集注意事項一確定使用目的及範圍公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一 : 19

蒐集注意事項二蒐集資料應履行告知程序直接蒐集 ( 個資法 8 條 ) 間接蒐集 ( 個資法 9 條 ) 20

直接蒐集 ( 8) 告知時機 : 向當事人直接蒐集前應告知事項 : 免為告知情況 : 機關名稱蒐集目的個人資料類別使用之期間對象地區方式當事人的權利不提供時權益之影響依法免告知告知將妨礙執行法定職務履行法定義務必要妨害第三人重大利益當事人明知應告知內容提醒 : 蒐集之文書上可記載告知內容及取得其同意相關文字特定目的及類別可參照法務部個人資料保護法之特定目的及個人資料之類別共十大類

間接蒐集告知時機 : 處理或利用前應告知事項 : 免為告知情況 : 機關名稱蒐集目的個人資料類別使用之期間對象地區方式當事人的權利 * 補行告知義務 : 個資法修正施行前間接蒐集之資料, 修正施行之日起一年內完成告知 ( 必需執行一對一告知!!) 依法免告知告知將妨礙執行法定職務履行法定義務必要妨害第三人重大利益當事人明知應告知內容當事人自行公開或其他已合法公開學術機構機於公益或學術研究之目的, 且資料經處理或無從辨識當事人不能向當事人或其法定代理人告知大眾傳播業者基於新聞報導之公益目的而蒐集個人資料

公務機關蒐集法定要件特定目的 ( 15) p.s 非公務機關蒐集為 19I 七選一三選一 ( 15) 告知 ( 8) 26

規範行為 - 處理 ( 個資法 2 條 4 款 ) 處理 : 為建立或利用個人資料檔案所為資料之記錄輸入儲存編輯更正複製檢索刪除輸出連結或內部傳送內部傳送 : 公務機關將資料傳送給國外辦事處, 總公司將資料傳送給分公司 27

公務機關處理法定要件特定目的 ( 15) p.s 非公務機關處理為 19I 七選一三選一 ( 15) 告知 ( 8) 28

規範行為 - 利用 ( 個資法 2 條 5 款 ) 利用 : 將個人資料為處理以外之使用直接對當事人使用其個人資料, 例如對當事人從事行銷將資料提供當事人以外之第三人 29

利用注意事項利用個資應與蒐集之特定目的相符公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情形之一者, 得為特定目的外之利用 : ( 取得當事人書面同意最安全 ) 30

公務機關利用法定要件與特定目的相符 ( 16) p.s 例外 : 符合 16 七選一, 得為特定目的外利用執行法定職務之必要範圍 ( 16) 31

規範行為 - 國際傳輸 ( 個資法 2 條 6 款 ) 國際傳輸 : 將個人資料作跨國 ( 境 ) 之處理或利用向大陸地區傳輸個人資料 ( 法務部 94 年 8 月 26 日法律字第 948260940029553 號 ) 外國在台分公司將客戶資料傳遞予外國總公司 ( 法務部 90 年 4 月 27 日法律決字第 014746 號 ) 32

其他個資法上應注意事項公務機關其他義務公務機關有公開檔案之義務 17 公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一個人資料檔案名稱二保有機關名稱及聯絡方式三個人資料檔案保有之依據及特定目的四個人資料之類別公務機關有確保個資安全之義務 18 12 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人 33

當事人得行使之權利及限制當事人得行使權利 : 查詢請求閱覽提供複製本 ( 10) 請求補充更正刪除或停止蒐集處理或利用 ( 11) 不得預先拋棄或以特約限制 : 如有違反, 則不生拋棄或限制的效力, 當事人仍得行使之 ( 5) 不須依當事人請求辦理之例外情形 : 10 1. 妨害國安軍事機密國家重大利益等 2. 妨害公務 3. 妨害蒐集機關或第三人之重要利益 34

非公務機關個人資料之蒐集處理及利用特定目的內 ( 19) 非公務機關對個人資料之蒐特定目的內 ( 19) 蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 1. 法律有明文規定 2. 與當事人有契約或類似契約之關係 3. 當事人自行公開或其他已合法公開之個人資料 4. 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 5. 經當事人書面同意 6. 與公共利益有關 7. 個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個個人資料 35

非公務機關個人資料之蒐集處理及利用特定目的外 ( 20) 非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 1. 法律明文規定 2. 為增進公共利益 3. 為免除當事人之生命身體自由或財產上之危險 4. 為防止他人權益之重大危害 5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過處理後或依其揭露方式無從識別特定當事人 6. 經當事人書面同意非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 36

個人資料保護法的例外項目 ( 51) 自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料 37

貳違反個資法之民事刑事及行政責任 38

損害賠償及罰則擴大適用對象 : 公務機關及非公務機關擴大保護範圍 : 含數位化資料及人工資料加重責任 : 刑事 : 最高處 5 年以下有期徒刑 +100 萬元罰金民事 : 最高賠償金額上限原則為合計 2 億元 ; 不易或不能證明損害, 每人每一事件 500 元以上 2 萬元以下行政 : 同時處罰機關及機關負責人 5 萬元以上,50 萬元以下罰鍰限期改正, 屆期未改正者, 按次處罰 39

民事刑事責任個資外洩通知義務訴訟程序 1. 查明後應以適當方式通知當事人 ( 新法第 12 條 ) 2. 為降低個資外洩所造成之損害, 應於事故發生當下先行通知當事人

民事責任責任衝擊 ( 個資法 28) 額度 ( 新台幣 ) 說明 500-20,000 被害人不易或不能證明 " 實際損害額, 依侵害情節, 每人每一事件計算 200,000,000 同一原因事實造成多數當事人權利受侵害, 合計最高總額 >200,000,000 因該原因事實所涉利益超過 2 億元者, 以該所涉利益為限回復名譽 41

參集體訴訟 42

集體訴訟個資法第三十條 : 損害賠償請求權, 自請求權人知有損害及賠償義務人者起, 因二年間不行使而消滅, 自損害發生時起, 逾五年者, 亦同個資法第三十一條 : 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定個資法第三十二條 : 依本章規定提起訴訟之財團法人或公益社團法人, 應符合下列要件 : 財團法人之登記財產總額達新台幣一千萬元或社團法人之社員人數達一百人保護個人資料事項於其章程所定目的範圍內許可設立三年以上 43

肆案例分析

判決案例臺灣高等法院臺南分院 98 年上更 ( 一 ) 字第 352 號刑事判決 : 被告乙原係戶政事務所戶籍員, 假借職務上機會, 在其任職戶政事務所內, 以電腦設備調閱知悉甲全戶戶籍資料及張妻張林貴美相驗屍體證明書等他人秘密, 並予以下載影印, 無故洩漏出示予友人李財誕觀看判決結果 : 被告處有期徒刑參月 ( 電腦處理個人資料保護法 35 公務員假借職務上之機會犯電腦處理個人資料保護法 34 非法輸出個人資料檔案罪 ) 資料來源 : 交通部公路總局臺北區監理所政風室編撰 45

判決案例臺灣基隆地方法院 88 年國字第 3 號民事判決 : 被告基隆港務警察所受託查覆原告林雄先生有無刑案資料, 未注意逕行告知查詢單位 ( 交通部航訓中心 ) 當事人有刑事前科資料, 且該刑案資料係偵查結果不起訴之資料, 該項資料不得對外查詢提供本案係基隆港務警察所聯檢中心不當提供資料所致判決結果 : 被告應給付原告新台幣陸萬元並登報道歉 ( 電腦處理個人資料保護法 27 II 民法 195 I) 46

個資法相關民事判決裁判案號被告行業別請求權基礎簡述賠償金額臺灣高等法院 98 年度上易字第 1229 號民事判決臺灣板橋地方法院 99 年度重勞訴字第 10 號民事判決臺灣臺南地方法院 94 年度訴字第 121 號民事判決臺灣臺北地方法院 97 年度訴字第 1683 號民事判決銀行證券商離職員工個人電信業者及其員工網路書店電腦處理個人資料保原告未曾向被告申請信用卡, 然被告於民護法第 18 條第 28 條國 97 年間誤向聯合徵信中心申報原告持用民法第 184 條第 1 項前之信用卡遭強制停卡致原告之名譽信用段第 188 條第 1 項受有損害第 195 條民法第 153 條第 199 條第 184 條第 1 項前段營業秘密第 12 條第 1 項前段電腦處理個人資料保護法第 28 條民法第 184 條第 1 項前段第 188 條第 1 項第 195 條民法第 184 條第 1 項前段第 195 條電腦處理個人資料保護法第 28 條適用第 27 條被告藉職務上之機會, 取得原告未授權被告查閱之客戶資料後離職被告甲為利用職務之便, 受被告乙之請託擅自進入電腦系統查詢電話使用人即原告之姓名住址相關資料, 並告知被告乙藉以確定原告之身分 250,000 214,500 個人 :150,000 電信業者及其員工 :80000 原告等於被告網站購買台北金馬影展套票, 137,900 因被告處理疏失, 竟夾帶其餘 477 位註冊成功之會員資料含會員帳號姓名地址電話手機電子信箱資料, 外流到其他數百人之信箱之中, 無法追回資料來源 : 達文西律師事務所 47

民事判決分析裁判案號被告行業別請求權基礎簡述賠償金額臺灣臺北地方法院簡易 99 年度北國簡字第 16 號民事判決公務機關國家賠償法第 5 條民法第 195 條與電腦處理個人資料保護法被告將原告之個人資料公布於薪給發放標準之陳情函並予以張貼 5,000 臺灣宜蘭地方法院羅東簡易庭 99 年度羅小第 56 號民事小額判決網購賣家民法第 184 條第 1 項前段第 195 條及電腦處理個人資料保護法原告於網拍上購買被告商品, 被告於評價留言公開原告家中之系爭家用電話號碼, 使原告之家用電話號碼遭第三者知悉 20,000 臺灣臺北地方法院 93 年度訴字第 2455 號民事判決徵信業者資訊業者電腦處理個人資料保護法第二十七二十八條規定被告乙違法蒐集將原告之個人資料, 又與被告甲共同意圖營利, 提供被告甲之付費會員, 得透過網路超連結方式, 以每筆資料二百元之價格付費查詢徵信者 :100,000 資訊者 :100,000 臺灣臺中地方法院 94 年度重訴字第 196 號民事判決銀行及其員工電腦處理個人資料保護法第六條及第十八條第二十八條及民法第一百八十八條之規定被告甲利用任職被告公司業務之機會, 取得原告申辦現金卡之個人資料, 進而利用此一資料, 冒用原告名義, 辦理變更住址及掛失補發現金卡 100,000 48

伍新版個資法上路後, 學校可能面臨之問題 49

校務行政相關之個人資料學生申請補助健康檢查病歷記錄教職員人事資料學生基本資料家長聯絡方式清寒家庭身份. 50

校務行政相關之個人資料種類教職員資料學生家長資料往來廠商資料畢業校友等資料教育推廣校務基金學生活動等管道取得之個人資料畢業所需之個人資料私校法人董監資料其他資料資料來源 :NII 產業發展協進會 51

可能發生之問題學校活動 ( 含社團 ) 是否可透過信件寄發給所有學生? 誰可以寄發或使用? 可否將學生資料提供給活動合作廠商? 教授要求助理行政人員或電算中心提供學生資料, 在何種情形下可以提供? 畢業紀念冊上的學生資料是否屬於個人資料? 圖書館中陳列的歷屆畢業紀念冊是否應該管理? 學生畢業後是否仍可以寄發活動通知? 或應該在學生畢業前先取得其同意授權? 歷屆畢業生個人資料應該如何管理, 才符合個資法? 資料來源 :NII 產業發展協進會 52

陸面對個資法, 該如何因應防禦?

勤業眾信建議企業 10 大實務做法 54

個資法施行細則草案第九條一成立管理組織, 配置相當資源二界定個人資料之範圍三個人資料之風險評估及管理機制四事故之預防通報及應變機制五個人資料蒐集處理及利用之內部管理程序六資料安全管理及人員管理七認知宣導及教育訓練八設備安全管理九資料安全稽核機制十必要之使用紀錄軌跡資料及證據之保存十一個人資料安全維護之整體持續改善 55

個資法因應程序個資組織宣告 & 認知訓練成立個資法專案小組建立個資因應推進計畫表宣導個資保護政策個資流程盤點 & 個資風險評估進行個資盤點討論流程優化之可行性個資缺口因應建立 SOP 程序個資維護之有效性稽核

參考個資盤點清冊玉里醫院內部保有及管理個人資料項目彙整表 ( 一至四 : 為新修正個資法第 17 條規定應公開項目 ; 五至八 : 為本署為瞭解部內各單位持有個人資料內容及有何督導管理之非公務機關, 所外加調查之項目 ) 項目編號一個人資料檔案名稱二保有依據三特定目的四個人資料類別五個人資料範圍六是否特種資料特種資料類別七有無監督管理之非公務機關及其名稱 ( 現行法 ) 八有無監督管理之非公務機關及其名稱 ( 修正條文 ) 01 P2K 人事管理系統 02 門診整合個案資料庫全民健康保險門診整合照護計劃二人事行政管理 089 保險醫療服務 C001 識別個人者 C011 個人描述 C001 辨識個人者 C011 個人描述 C111 健康紀錄單位姓名職稱連絡電話住址學歷工作經歷姓名身分號碼連絡電話無無住址病情狀 03 病歷醫療法第 67 條 089 保險醫療服務 C001 辨識個人者 C011 個人描述 C012 身體描述 C013 習慣 C014 個性 C021 家庭情形 C040 意外或其他事故及有關情形 C111 健康紀錄況等姓名身分號碼連絡電話住址病情狀況等

個資保護守則定期備份設定範圍帳號密碼一個人資料檔案應定期備份, 並防止個人資料被竊取竄改毀損滅失或洩漏二個人資料輸入輸出更新或註銷時, 應該釐定使用範圍, 以及調閱或存取的權限三個人資料檔案儲存於個人電腦者, 應於該電腦設置可辨識身分之登入通行碼個人資料檔案使用完畢後, 應即退出應用程式, 不得留置於電腦中令珩法律事務所 58

個資保護守則建立程序彌封加密紀錄追蹤審核公布四含有個人資料的紙本, 運用於申請列印存檔轉交及銷毀等行為, 應建立相關之授權監督及行為記錄的機制五內部傳遞或與其他機關交換個人資料時, 應在實體文件封袋上, 加上彌封 ; 或對電子資料檔案壓縮加密, 並加以記錄檔案的流向六對於調閱個人資料的人, 加以記錄其調閱身分及行為調閱紀錄可視機關實際需求存檔, 以利後續人員查詢及追蹤七管理之網站或網頁內容, 於確有必要公布個人資料時, 需經所屬單位主管核准, 且依相關法律及規範處理, 才能公布令珩法律事務所 59

設備管理須知專人處理安全隔離委外監督徹底刪除一應指定專人負責管理儲存個人資料的設備及設施, 並檢查處理設備的異常事件二儲存個人資料之設備, 應置放於安全區域, 例如 : 門禁控管的辦公區域機房等, 避免有心人士或非授權人員存取三外部人員及個人, 更新或維修電腦設備時, 應指派專人在場, 確保個人資料之安全, 以及防止個人資料外洩四儲存個人資料之電腦或相關設備, 如需報廢或移轉他用時, 應確實刪除該設備所儲存的個人資料檔案令珩法律事務所 60

人員管理持續訓練帳密更換權限取消一機關應對處理個人資料的人員, 施予教育訓練, 並定期於單位內宣導個資隱私保護之重要性二處理個人資料之人員, 其職務如有異動, 應將所保管之資料移交而接辦人員應重置通行碼, 也應視需要更換使用者識別帳號三處理個人資料的人員, 應簽訂保密切結書, 並確認於離職或合約終止時, 取消其使用者識別帳號, 且收繳其通行證及相關證件令珩法律事務所 61

案例一學校活動 ( 含社團 ) 是否可透過信件寄發給所有學生? 誰可以寄發或使用? 學校或社團辦活動可以透過信件寄發通知給學生, 因為此舉符合學校教育及成立社團之特定目的學校辦活動之單位以及社團都可以寄發及使用學生的個人資料若學校活動是廠商的行銷活動, 即有爭議空間, 學校不可以把學生資料給合辦活動的廠商來使用學校須評估學校使用學生個人資料之用途與目的, 確認是否符合學校只教育興學目的, 更謹慎的作法為與教育部討論, 請教育部依學校教學需求, 請法務部增修特定目的資料來源 :NII 產業發展協進會 62

案例二 2. 教授要求助理行政人員或電算中心提供學生資料, 在何種情形下可以提供? 老師因為教學所需 ( 如與學生聯繫科業有關事項瞭解學生家庭背景與能力等 ), 可能會需要學生的個人資料學校負責保管資料的人員須判斷老師索取學生資料之目的, 是否逾越教學必要範圍, 以判斷是否提供? 建立個人資料調閱的申請與審核機制資料來源 :NII 產業發展協進會 63

案例三 3. 新生訓練是否於適當時期讓學生知道學校可能利用其個人資料? 學校是否一併在新生訓練或註冊時取得其同意授權? 除非學校使用個人資料有可能超過教育行政指特定目的, 否則是不需要學生額外授權的但因新法增加告知的義務, 因此在學生入學時應立即履行告知義務, 詳述學校使用個人資料之範圍與用途等如果學校對於學生的個人資料有逾越特定目的之利用, 應及早告知學生並取得其書面同意資料來源 :NII 產業發展協進會 64

案例四 4. 畢業紀念冊上的學生資料是否屬於個人資料? 圖書館中陳列的歷屆畢業紀念冊是否應該管理? 畢業紀念冊的學生 ( 及家長 ) 資料是屬於個人資料過去畢業紀念冊的收集與公開並非違法行為, 但因為現在販賣個人資料或詐騙個人資料之行為越來越多, 所以學校應改變個人資料之保管方式, 控管限制閱覽畢業紀念冊的人員資料來源 :NII 產業發展協進會 65

案例五 5. 學生畢業後是否仍可以寄發活動通知? 或應該在學生畢業前先取得其同意授權? 歷屆畢業生個人資料應該如何管理, 才符合個資法? 學校使用校有個人資料還須符合教育行政之特定目的, 若超過特定目的則不能使用, 可能需要在學生畢業前取得授權一般人並不會反對學校辦理校友活動是超過特定目的, 但學校應與教育部法務部溝通, 確保學校能繼續使用校有資料此外, 學校應建立管控機制, 避免校有資料外洩資料來源 :NII 產業發展協進會 66

案例六 6. 老師擔心學生因閱讀一些讀物而造成行為偏差, 是否可以向圖書館調閱學生借書記錄? 借書記錄含學生姓名社會活動或其它得以識別學生之資料, 此屬於個人資料之範疇圖書館保存借書記錄之目的為學生資料管理, 並不具評估學生行為偏差與否之目的老師向圖書館調閱學生借書記錄, 固然可認為是學校內部教育或訓練行程目的, 但仍應與該目的之必要範圍內為之, 並應尊重當事人權益如有證據可合理懷疑某學生偏差行為與閱讀有關聯, 老師為進一步確認而向圖書館調閱學生借書記錄, 或可被認為符合教育或訓練行政目的之必要範圍若老師在無任何證據情況下, 全面調閱學生借書記錄, 恐被認為逾越教育或訓練行政目的之必要範圍, 因而違反個資法的規定資料來源 :NII 產業發展協進會 67

案例七 ~ 九 7. 學生找工作時, 公司會要求學校提供該學生在學成績等資料, 學校是否可以提供? 學校無從判斷學生是否有到某公司謀職, 應由學生向學校提出申請, 並由學生或學校直接提供給公司 8. 在公告欄公告曠課學生名單 ( 學生姓名學號 ), 有違反個資法嗎? 有關獎懲應符合學校辦理教育與訓練行政之目的, 公佈並不違反個資法 9. 若當事人自行公開其特種個人資料, 是否可以蒐集與傳播? 已公開的特種資料雖然可以蒐集, 但是蒐集及利用仍須依個資法之特定目的範圍, 也不能任意傳播資料來源 :NII 產業發展協進會 68

結語避免違反個資法大原則儘速瞭解個資法及施行細則的內容尊重當事人權益誠實信用原則特定目的不得逾越特定目的之必要範圍正當合理的關聯法定例外情形維護個人資料的正確性採行適當的安全措施 69

結語具體作為大原則各級教育單位如何保護個資? 教育部應該針對共通性的問題作出政策性的決定內部訓練 : 藉由內部訓練使同仁對於個資法能有整體性的瞭解建立標準作業程序, 落實個資法及相關法令之要求全力支持推動大學個資與資安管理制度個資資產與流程盤點管控措施建立與落實定期稽核外部專業諮詢 : 對於如何適用個資法有疑義時, 應向外尋求專業法律意見 70

謝謝聆聽 71