個人資料, 無所不在帳單地址電子郵件信箱帳戶資料開立帳戶資料保單資料貸款徵信資料會員資料周年慶抽獎券電信 / 網路服務提供業者信用卡資料客戶資料宅配地址教育程度身分證號碼結婚登記報稅資料駕照申請 / 換發學籍資料人事資料註冊 / 報名資料家長會聯絡健檢報告病歷資料診斷書銀行 / 證券

個人資料, 無所不在帳單地址電子郵件信箱帳戶資料開立帳戶資料保單資料貸款徵信資料會員資料周年慶抽獎券電信 / 網路服務提供業者信用卡資料客戶資料宅配地址教育程度身分證號碼結婚登記報稅資料駕照申請 / 換發學籍資料人事資料註冊 / 報名資料家長會聯絡健檢報告病歷資料診斷書銀行 / 證券 / 保險公司百貨公司 / 大賣場線上購物 / 網拍社群網站學校 / 補習班社區活動中心監理 / 戶政財稅等政府單位醫院 / 診所健康檢查中心 2

不要因為擔心違反個資法, 導致過度地避免或迴避必要資料之蒐集與使用個人資料保護的重點在於保持個人資料的正確性, 並且告知當事人所蒐集資料的特定目的, 以及安全處理與使用方式與範圍, 並作好適當的刪除與銷毀工作 3

暫緩實施的第六條與第五十四條條文個資法第六條 : 有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用但有下列情形之一者, 不在此限 : 一法律明文規定二公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施三當事人自行公開或其他已合法公開之個人資料四公務機關或學術研究機構基於醫療衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集處理或利用之個人資料前項第四款個人資料蒐集處理或利用之範圍程序及其他應遵行事項之辦法, 由中央目的事業主管機關會同法務部定之個資法第五十四條 : 本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處 5

如何降低個資法之風險? 1. 18 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏 2. 28 公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權力者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限 3. 29 非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權力者, 負損害賠償責任但能證明其無故意或過失者, 不在此限 4. 50 非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 5. 31 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定 6. 施行細則第十二條第二項說明落實安全維護措施有十一項 6 6

施行細則第十二條第二項的來源 1. 法務部施行細則第十二條說明了適當安全防護措施, 基本上就是英國 BS10012 的做法為了避免違反個資法, 透過機制來建立防護措施, 不是為驗證而已 ( 過去 ISO27001 只集中於資訊部門 ) 2. 個資法第 2 條第 2 款 : 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合 : 個資盤點不能只在資訊部門 ( 資訊部門可以協助確認 ), 因為個資法客體含各種形式含個資的檔案 ( 如紙張等 ) 3. 盤點個資時應注意個資生命週期 ( 蒐集處理利用傳輸銷毀 ) 的關聯性 : 各階段的合法性, 必須回到蒐集時的特定目的與範圍蒐集合法, 不表示其他階段合法 7 7

施行細則第十二條說明 8

落實 BS10012( 或日本標準 ) 應注意事項 1. 2.1.12 敏感性個人資訊 ( 定義於 DPA Section2) 2. 4.1.2 遵循政策之日常責任 (f)(h)(m)(dpa 要求 ) 3. 4.2.2 高風險的個人資訊 4. 4.6 通報 ( 確保組織依據 DPA 的要求, 將處理個人資訊過程之細節通報資訊專責機構 ) 5. 4.7.1 個人資訊的蒐集與處理 ( (b)(c) 組織依據 DPA Schedule 2 及 3 的要求 ) 6. 4.14 個人資訊在 EEA 外之傳輸 (EEA 歐洲經濟區 ) 9 9

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 10

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 11

何謂個人資料 ( 個資法第二條第一款 )? 自然人的姓名出生年月日身分證號碼護照號碼特徵指紋婚姻家庭教育職業病歷聯絡方式財務情況社會活動一般資料其他資料特種資料醫療基因性生活健康檢查犯罪前科得以直接或間接方式識別該個人之資料 12

特種個資內容 ( 已被暫緩實施 ) 特種個人資料, 包括醫療基因性生活健康檢查犯罪前科 p 特種個人資料除個資法第 6 條 ( 目前凍結 ) 所定情形外, 不得蒐集處理或利用類別醫療基因性生活健康檢查犯罪前科內容指以治療矯正或預防人體疾病傷害殘缺為目的, 所為的診察診斷及治療 ; 或基於診察診斷結果, 以治療為目的, 所為的處方用藥施術或處置等行為全部或一部之總稱 ( 此部份尚未確定 ) 指人體之染色體所儲存超過十萬對以上最基本而具有全部遺傳特質或特定生物功能 DNA( 去氧核醣核酸 ) 之遺傳單位指所有與性行為有關之活動之總稱, 如性傾向性慣行等指以檢驗為目的所為一般性或遺傳性傳染性精神性等疾病檢查之健康資料之總稱, 如健康檢查報告等指構成犯罪之具有犯罪紀錄者而言 13

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 14

個資法基本認知一. 個人資料法緣由二. 個人資料法立法目的三. 個人資料法進展 15

新法修正重點 p 擴大適用主體 : p p 現行法 : 公務機關與非公務機關 ( 醫院學校電信業金融業證券業保險業大眾傳播業徵信業等八類行業 ) 新法 : 打破行業別限制, 包含各行各業及個人 p 擴大保護客體 : p p 現行法 : 使用電腦或類似設備處理之個人資料檔案蒐集 : 為建立個人資料檔案而取得個人資料新法 : 以任何方式 ( 包含紙本 ) 留存的資料蒐集 : 以任何方式取得的個人資料 16

新法修正重點 ( 續 ) p 增訂告知義務 : p 直接搜集及間接搜集之告知義務 p 修正施行前非由當事人提供之個人資料, 應自本法修正施行之日起一年內完成告知 p 當事人拒絕行銷之權利 p 資料違法外洩之通知義務 p 加重罰則 : p p 民事賠償 : 新台幣二千萬元 -> 二億元刑事處罰 : 新台幣伍萬元 -> 一百萬有期徒刑 : 三年以下 -> 五年以下 17

個人資料保護法與電腦處理個人資料管理辦法 l 電腦處理個人資料保護法 :84 年 8 月 11 日制定公佈 l 個人資料保護法 :99 年 5 月 26 日修正公佈 l 99 年 5 月 26 日總統公佈日起, 廢止許可登記制度 l 100 年 11 月 25 日的目標已經展延 l 101 年 9 月 26 日公佈施行細則 l 個資法終於在 101 年 10 月 1 日宣佈實施 18

個人資料保護法之立法目的避免人格權侵害促進個人資料合理利用 19

隱私權與個人資料保護?!!! 20

保護個人資料的其他法律 n 民法 18 195( 侵害人格權 ) n 財產上的損害賠償 n 精神慰撫金 n 回復名譽的適當處分 n 刑法 315 315-1 318-1( 妨害秘密罪 ) n 有期徒刑 -> 三年以下 n 罰金 -> 三萬元以下 n 通訊保障及監察法 19 24 25( 秘密通信自由 ) n 損害賠償 n 有期徒刑 -> 五年以下 21

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 22

個資法架構 23

個人資料保護法的適用於個人嗎? 個資法適用對象包括各行各業及個人 ( 2) 受委託蒐集處理或利用個人資料者, 視同委託機關 ( 4) 個資法保護客體以任何方式 ( 包括紙本 ) 留存的資料任何方式取得個人資料 ( 2) 生存之特定或得特定之自然人 24

公務與非公務之定義 : 2&7 公務機關 : 指依法行使公權力之中央或地方機關或行政法人 2&8 非公務機關 : 指前款以外之自然人法人或其他團體資料蒐集處理或利用與特定目的之關聯 : 5 個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 25

教育部來函轉知公立學校如係各級政府依法令設置實施教育之機構, 而具有機關之地位, 應屬個資法之公務機關非由各級政府設置之私立學校, 則屬本法之非公務機關 26 26

直接蒐集個人資料的告知義務 ( 8) 何時應該告知? 向當事人蒐集之前應告知事項得免為告知之情況 1 機關名稱 2 蒐集目的 3 個人資料類別 4 利用期間地區對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集處理或利用 (5) 請求刪除上述權利, 不得預先拋棄或以特約限制 6 如當事人得自由選擇提供個人資料, 不提供將對其權益之影響 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 27

間接蒐集個人資料的告知義務 ( 8) 何時應該告知? 處理或利用當事人的個資前 1 機關名稱 2 蒐集目的應告知事項 3 個人資料類別 4 利用期間地區對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集處理或利用 (5) 請求刪除上述權利, 不得預先拋棄或以特約限制 6 個人資料來源得免為告知之情況 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 6 當事人自行公開或其他已合法公開之個人資料 7 不能向當事人或其法定代理人為告知 8 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 9 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 28

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 29

公務機關個人資料之蒐集處理及利用特定目的內 ( 15) 公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 1 執行法定職務必要範圍內 2 經當事人書面同意 3 對當事人權益無侵害特定目的外 ( 16) n 公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之, 並與蒐集之特定目的相符但有下列情形之一者, 得為特定目的外之利用 : 1 法律明文規定 2 為維護國家安全或增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過處理後或依其揭露方式無從識別特定當事人 6 有利於當事人權益 7 經當事人書面同意 30

非公務機關個人資料之蒐集處理及利用特定目的之內 ( 19) 非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 1 法律明文規定 2 與當事人有契約或類似契約之關係 3 當事人自行公開或其他已合法公開之個人資料 4 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 5 經當事人書面同意 6 與公共利益有關 7 個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 8 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料 31

非公務機關個人資料之蒐集處理及利用特定目的外 ( 20) 非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 1 法律明文規定 2 為增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 6 經當事人書面同意 : 非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 7 經當事人書面同意 : 非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 32

個人資料之安全保護相關規定公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏 ( 18) n 非公務機關非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之 ( 27) 33

個資法規定的安全保護相關規定有哪些? 34

個資法施行細則所列的安全維護事項保護標的 : 防止個人資料被竊取竄改毀損滅失或洩漏 1 成立管理織人員及相當資源 2 界定個人資料之範圍 3 個人資料之風險評估及管理機制 4 事故之預防通報及應變機制 5 個人資料蒐集處理及利用之內部管理程序 6 資料安全管理及人員管理 7 認知宣導及教育訓練 8 設備安全管理 9 資料安全稽核機制 10 使用紀錄軌跡資料及證據保存 11 個人資料安全維護之整體持續改善必要措施以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限此 11 項安全措施內容為參照英國 BS10012:2009 及日本 JISQ15001:2006 等個人資料管理系統之規範, 以 P-D-C-A 循環之概念予以建立 35

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 36

基本原則 : 不得逾越特定目的個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 ( 5) 37

個人資料保護法之特定目的民國 101 年 10 月 01 日公告生效 ( 共 182 項 ) 人身保險文化行政人事管理 ( 包含甄選離職及所屬員工基本資訊文化資產管理現職學經歷考試分發終身學習訓練進修考績獎懲銓審薪資待遇差勤福利措施褫奪公權特殊查核或其他人事措施 ) 入出國及移民水利農田水利行政土地行政火災預防與控制消防行政工程技術服務業之管理代理與仲介業務工業行政外交及領事事務不動產服務外匯業務中小企業及其他產業之輔導民政中央銀行監理業務民意調查公立與私立慈善機構管理犯罪預防刑事偵查執行矯正保護處分犯罪被害人保護或更生保護事務公共造產業務生態保育公共衛生或傳染病防治立法或立法諮詢公共關係交通及公共建設行政公職人員財產申報利益衝突迴避及政治獻金業務公民營 ( 辦 ) 交通運輸公共運輸及公共建設戶政仲裁 38

個人資料保護法之特定目的 ( 續 ) 全民健康保險勞工保險農民保險國民年金兩岸暨港澳事務保險或其他社會保險刑案資料管理券幣行政多層次傳銷經營宗教非營利組織業務多層次傳銷監管放射性物料管理存款保險林業農業動植物防疫檢疫農村再生及土石流防災管理存款與匯款法人或團體對股東會員 ( 含股東會員指派之代表 ) 董事監察人理事監事或其他成員名冊之內部管理有價證券與有價證券持有人登記法制行政行政執行法律服務行政裁罰行政調查法院執行業務行銷 ( 包含金控共同行銷業務 ) 住宅行政兵役替代役行政志工管理投資管理災害防救行政供水與排水服務法院審判業務社會行政社會服務或社會工作金融服務業依法令規定及金融監理需要, 所為之蒐集處理及利用金融爭議處理金融監督管理與檢查青年發展行政 39

個人資料保護法之特定目的 ( 續 ) 非公務機關依法定義務所進行個人資料之蒐集處借款戶與存款戶存借作業綜合管理理及利用保健醫療服務原住民行政保險經紀代理公證業務捐供血服務保險監理旅外國人急難救助信用卡現金卡轉帳卡或電子票證業務核子事故應變信託業務核能安全管理契約類似契約或其他法律關係事務核貸與授信業務客家行政海洋行政建築管理都市更新國民住宅事務消費者客戶管理與服務政令宣導消費者保護政府資訊公開檔案管理及應用畜牧行政政府福利金或救濟金給付行政財產保險科技行政財產管理科學工業園區農業科技園區文化創業園區財稅行政生物科技園區或其他園區管理行政訂位住宿登記與購票業務退除役官兵輔導管理及其眷屬服務照顧計畫管制考核與其他研考管理退撫基金或退休金管理飛航事故調查商業與技術資訊食品藥政管理國內外交流業務個人資料之合法交易業務借款戶與存款戶存借作業綜合管理 40

個人資料保護法之特定目的 ( 續 ) 國家安全行政安全查核反情報調查發照與登記國家經濟發展業務稅務行政國家賠償行政華僑資料管理專門職業及技術人員之管理懲戒與救濟訴願及行政救濟帳務管理及債權交易業務貿易推廣及管理彩券業務鄉鎮市調解授信業務傳播行政與管理採購與供應管理債權整貼現及收買業務救護車服務募款 ( 包含公益勸募 ) 教育或訓練行政廉政行政產學合作會計與相關服務票券業務會議管理票據交換業務經營郵政業務郵政儲匯保險業務陳情請願檢舉案件處理經營傳播業務勞工行政經營電信業務與電信加值網路業務博物館美術館紀念館或其他公私營造物業試務銓敘保訓行政務場所進出安全管理資 ( 通 ) 訊服務就業安置規劃與管理資 ( 通 ) 訊與資料庫管理智慧財產權光碟管理及其他相關行政資通安全與管理 41

個人資料保護法之特定目的 ( 續 ) 農產品交易農產品推廣資訊農糧行政遊說業務行政運動競技活動運動休閒業務電信及傳播監理僱用與服務管理圖書館出版品管理漁業行政網路購物及其他電子商務服務蒙藏行政輔助性與後勤支援管理審計監察調查及其他監察業務廣告或商業行為管理影視音樂與媒體管理徵信標準檢驗度量衡行政衛生行政調查統計與研究分析學生 ( 員 )( 含畢結業生 ) 資料管理學術研究憑證業務管理輻射防護選民服務管理選舉罷免及公民投票行政營建業之行政管理環境保護證券期貨證券投資信託及顧問相關業務警政護照簽證及文件證明處理體育行政觀光行政觀光旅館業旅館業旅行業觀光遊樂業及民宿經營管理業務其他中央政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務其他公共部門 ( 包括行政法人政府捐助財團法人及其他公法人 ) 執行相關業務其他公務機關對目的事業之監督管理 42

個人資料保護法之特定目的 ( 續 ) 其他司法行政其他地方政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務其他自然人基於正當性目的所進行個人資料之蒐集處理及利用其他金融管理業務其他財政收入其他財政服務其他經營公共事業 ( 例如 : 自來水瓦斯等 ) 業務其他經營合於營業登記項目或組織章程所定之業務其他諮詢與顧問服務 43

資料違法外洩時, 一定要和當事人說嗎? 44

公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人 ( 12) 45

若違反個資法, 只要罰錢就可以了嗎? 46

公務機關之法律責任刑事責任違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一 ( 44) 民事責任最高賠償總額 2 億元非財產損害得請求賠償相當金額公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處份依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算 ( 28) 47

非公務機關之法律責任刑事責任違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑民事責任最高賠償總額 2 億元非財產損害得請求賠償相當金額非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證明其無故意或過失者, 不在此限 ( 29) 48

非公務機關之法律責任 ( 續 ) 行政檢查行政責任罰鍰 ( 雙罰每次 2 萬至 50 萬 ) 處分非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並設同一額度罰鍰 ( 50) 禁止蒐集處理或利用命令刪除經處理之資料沒入或銷毀公布違法情形及其姓名或名稱與負責人 49

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 50

哪些個人資料不受個資法保護 ( 個資法第 51 條 )? 自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料例如社交活動寄送喜帖親友通訊錄等上述資料的蒐集必須與職業或業務職掌無關於公開場所或公開活動中所蒐集處理或利用之未與其他個人資料結合之影音資料例如運動會照片遊樂場拍攝小孩與其他小孩一起遊玩的影片等為解決合照或其他在合理範圍內之影音資料須經其他當事人書面同意始得蒐集處理或利用之不便, 因此排除個資法對上述影音資料的適用, 回歸民法規定 * 日本個人資料保護法另外排除五千筆資料以下的單位 51

案例 : 學生入學後, 學校可以如何使用其資料? 例如 : 學校相關活動 ( 含社團等 ) 是否可以透過信件寄發給所有學生? 誰有資格寄發或使用? 學校社團辦活動可透過信件寄發通知給學生, 學校辦活動之單位及社團都可以寄並使用學生的個人資料, 這應該符合學校教育以及成立社團的特定目的, 但若學校所辦活動其實是廠商的行銷活動, 就會有爭議學校不可以把學生的資料給合辦活動的廠商使用, 這部份請學校評估學校使用學生個人資料之用途與目的, 是否符合學校教育興學之目的, 謹慎一點應該和教育部討論, 並請教育部依照學校教學之需求, 請法務部增修特定目的 52

學生入學後, 學校可以如何使用其資料? 例如 : 學校相關活動 ( 含社團等 ) 是否可以透過信件寄發給所有學生? 誰有資格寄發或使用? 學校社團辦活動可以透過信件寄發通知給學生, 學校辦活動之單位以及社團都可以寄以及使用學生的個人之資料. 我認為這是符合學校教育以及成立社團的特定目的當然如果學校所辦的活動其實是廠商的行銷活動, 就會有爭議的空間此外, 學校不可以把學生的資料給合辦活動的廠商使用這個部份應該要請學校評估學校使用學生個人資料之用途與目的, 看看是否符合學校教育興學之目的, 謹慎一點應該和教育部討論, 並請教育部依照學校教學之需求, 請法務部增修 " 特定目的 " 53

案例 : 學生入學新生訓練時, 是否是恰當時機, 讓學生知道學校可能利用其資料的狀況, 並在新生訓練或註冊時, 取得同意的授權? 除非學校使用個人資料有可能超過教育行政之特定目的, 不然是不需要學生額外授權不過因為新法增加了 " 告知 " 義務, 在學生入學時就要立刻履行告知義務詳述學校使用個人資料之範圍用途等等如果學校或做超過特定目的之利用, 就應該及早告知學生並取得 " 書面同意 " 54

案例 : 畢業生紀念冊上的學生相關資料應該屬於個人資料? 旦目前都視同慣例, 是否未來有風險? 如何補救? 至於圖書館陳列的歷屆畢業紀念冊是否應該管理? 紀念冊上的學生資料當然是個人資料, 過去紀念冊的收集與公開並非違法行為, 但是因為現在有販賣個人資料或是詐騙個人資料之行為, 所以學校應改改變個人資料之保管方式應該加以控管, 限制可以閱覽紀念冊的人員 55

案例 : 學校目前的畢業學生資料, 如何是屬於合法的使用? 是否可以寄發活動通知等等? 或者應該在學生畢業前, 先取得畢業學生的同意授權? 至於過去幾時年的畢業生資料如何使用與管理才能符合新的個人資料保護法的蒐集利用之範圍? 學校使用校友的資料應該還是必須符合 " 教育行政 " 的特定目的, 如果超過這個目的還是不能使用, 可能需要在畢業前取得學生授權我想一般人並不會反對辦校友活動會超過特定目的, 這個部分學校應該與教育部以及法務部溝通確保學校能繼續使用校友資料, 學校還是應該要建立控管機制, 避免校友資料外洩 56

案例 : 老師在幫學生寫介紹信前, 會要求學校職員提供該學生多年的相關資料 ( 個人資料與成績 ), 該如何處理? 職員提供該資料前, 是否應取得學生之同意? 這個問題還是在解釋教育行政的範圍, 老師幫學生寫介紹信在美國教育體系下是老師的義務, 但是台灣的教育制度在聯考廢除以後, 目前走到哪個地步? 如果這已經變成是教授或老師天經地義的工作, 我個人認為學校是應該要提供的, 無須取得學生同意只是如何證明教授或老師是為了寫介紹信? 會不會有教授或老師為別的目的去要資料? 需不需要教授或老師出示學生的申請書, 或者是教授或老師應該反過來要求學生自己去申請, 由學校直接給教授, 這是學校要去綜合考量的 57

案例 : 學生借書紀錄, 是否涵蓋在個資範圍內? 老師擔心學生最近是否因閱讀某一些讀物而行為有一些偏差, 所以向圖書館調閱學生的借書紀錄, 請問圖書館是否可以提供? 學生借書紀錄包括學生姓名社會活動或其他得以識別學生之資料, 構成學生個資圖書館保存借書紀錄, 是為了學生資料管理之目的, 不是為了老師檢查學生行為偏差是否與閱讀某些讀物有關之目的老師向圖書館調閱學生借書紀錄, 固然可認為是學校內部教育或訓練行政目的, 但仍應於教育或訓練行政目的之必要範圍內為之, 且應尊重當事人之權益, 如有證據可合理懷疑某學生偏差行為與閱讀有相當關聯, 老師為了進一步確認而向圖書館調閱學生借書紀錄, 或可被認為符合教育或訓練行政目的之必要範圍然而, 老師如果在無任何證據之情況下, 全面調取學生借書紀錄, 恐被認為逾越教育或訓練行政目的之必要範圍, 因而違反個資法的規定因此, 圖書館是否可以將學生借書紀錄提供給老師, 應視具體個案中老師可否提供合理之說明及證據來作決定 58

案例 : 學務處提供家長可以查詢學生的考試成績或學習紀錄, 使用的方式是以學生的身分證字號登入為查詢依據, 請問學務處可以提供家長查詢嗎? 若可以, 可以提供到什麼程度? 另外針對己成年的學生或未成年的學生是否有不一樣的處理方式應區分成年和未成年, 成年學生的家長應無法查詢, 除非有學生授權未成年的家長是學生的法定代理人, 應該都能看才對案例 : 學校可以為了保護學生, 收集學生病史健康身分 ( 低收入戶 ) 資料等涉及特種個資嗎? 有關病史健康檢查的部分, 要看教育部的法規有沒有允許低收入戶並非特種個資 59

案例 : 在公告欄上公告曠課學生名單 ( 學生姓名學號 ) 有違反個資嗎有關獎懲之作法, 應符合學校辦理教育行政之目的, 公布應不違反個資案例 : 學校是否可寄發認同卡相關資料給校友? 學校當初蒐集校友個人資料之特定目的為教育或訓練行政, 或學生資料管理學校寄發認同卡相關資料給校友, 構成利用校友個人資料之行為, 似已逾越上述特定目的, 除非取得校友之書面同意, 否則不得為之 60

案例 : 導師是否可以知道班上同學的學習狀況, 導師可以知道同學修課成績嗎? 如果導師取得學生的修課成績, 是為了瞭解學生的學習狀況, 應認係為執行法定職務必要範圍 ( 公立學校 ) 或因學校與學生間之契約關係 ( 私立學校 ), 為了特定目的 ( 教育或訓練行政 ) 所為, 符合個資法的規定案例 : 身心障礙是否為特種資料?( 例如 : 殘障手冊, 或公務人員履歷表上註明身心障礙 ) 身心障礙須依據醫療機構之鑑定結果核發身心障礙證明而為認定如以法務部指定之個資法施行細則草案之定義, 醫療指以治療矯正或預防人體疾病傷害殘缺為目的, 所為的診察診斷及治療, 身心障礙似符合上述醫療之定義, 從而屬於特種個人資料之一種惟身心障礙是否為特種個人資料, 應以個資法施行細則正式公布後, 依施行細則對於醫療之定義再為決定 61

案例 : 網頁上的學生家長區, 家長可以查詢學生的個人缺曠操行嗎? 如上題所述, 學校將學生的缺曠課資料及操行成績提供家長查詢, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符惟大學生瞭解自己的缺曠課資料及操行成績, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否有必要將學生的缺曠課資料及操行成績提供家長查詢, 始能達到教育或訓練行政之目的, 恐有疑義, 建議教育部對此作成統一解釋, 以便學校知所遵循, 避免學生質疑 62

案例 : 個資法中之特種個人資料規範中, 若個資擁有者自行公開之個人資料, 是可以收集的, 但是請問這樣的資訊可以拿來傳播嗎? 雖然已經公開的特種個資是可以蒐集的, 但蒐集以及利用時還是要依照個資法規定的範圍, 也就是必須要有特定目的, 並不是任意可以拿來傳播的學生成績預警制度, 若有扣 8 分或扣 16 分的情形, 是否可以寄給家長知道? 學校將學生預警制度扣分情形告知家長, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符惟大學生收受成績預警制度之資料, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否必要告知學生本人之成績預警資料, 另行提供學生家長, 始能達到教育或訓練行政之目的, 恐有疑義, 建議教育部對此作成統一解釋, 以便學校知所遵循, 避免學生質疑 63

簡報大綱一什麼是個人資料二個資法基本認知三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議 64

建議檢視法務部現有的電腦處理個人資料保護法之特定目的是否充分且符合業務推動之需求, 適時向主管機關 ( 教育部獲教育處 ) 提出修正或增修之建議立即進行組織內個人資料盤點工作, 瞭解組織擁有的個人資料種類數量保存與利用情形, 並確認蒐集當時的特定目的, 以為後續風險評估與建議安全管控措施之基礎設置組織負責規劃個人資料保護相關事宜進行必要的資訊安全與個資教育訓練 65

資料蒐集處理利用之自我檢查五步驟步驟一 : 清點所有之個人資料步驟二 : 清查蒐集個人資料之途徑與方式步驟三 : 確認是否須履行告知義務並建立告知機制步驟四 : 確認蒐集處理利用之特定目的步驟五 : 檢視利用的範圍與方式 66

施行細則第十二條說明 67

簡報完畢, 敬請指教 68