<4D F736F F F696E74202D ADD3B8EAA8B5B06AB1D0A87CB056BD6DBDD2B57BB1D0A7F7>

教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 個人資料保護法 / 施行細則宣導與學校因應之道 NII 產業發展協進會 (02) 2508-2353 2353 台北市松江路 317 號 7 樓本簡報內容著作權為 NII 產業發展協進會所有個人資料, 無所不在帳單地址電子郵件信箱帳戶資料開立帳戶資料保單資料貸款徵信資料會員資料周年慶抽獎券電信 / 網路服務提供業者信用卡資料客戶資料宅配地址教育程度身分證號碼結婚登記報稅資料駕照申請 / 換發健檢報告病歷資料診斷書學籍資料人事資料註冊 / 報名資料家長會聯絡銀行 / 證券 / 保險公司百貨公司 / 大賣場線上購物 / 網拍社群網站學校 / 補習班社區活動中心監理 / 戶政財稅等政府單位醫院 / 診所健康檢查中心教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 2

個資法從 101 年 10 月 1 日開始正式實施除規範特種個資不得利用的第 6 條, 以及間接蒐集個資 1 年內告知的第 54 條, 這兩條暫緩實施, 等待修法以外, 其餘條文都正式實施未來不分產業, 公家機關私人企業學校機構, 甚至是每一個個人, 也不管儲存在紙本或是電子形式的個人資料, 都需受到個資法的規範法務部在 101 年 9 月 26 日公告個資法施行細則, 並同步於 101 年 10 月 1 日實施, 沒有緩衝期教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 3 暫緩實施的第六條與第五十四條條文個資法第六條 : 有關醫療基因性生活健康檢查及犯罪前科之個人資料, 不得蒐集處理或利用但有下列情形之一者, 不在此限 : 一法律明文規定二公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施三當事人自行公開或其他已合法公開之個人資料四公務機關或學術研究機構基於醫療衛生或犯罪預防之目的, 為統計或學術研究而有必要, 且經一定程序所為蒐集處理或利用之個人資料前項第四款個人資料蒐集處理或利用之範圍程序及其他應遵行事項之辦法, 由中央目的事業主管機關會同法務部定之個資法第五十四條 : 本法修正施行前非由當事人提供之個人資料, 依第九條規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反第九條規定論處教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 4

教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 5 不要因為擔心違反個資法, 導致過度地避免或迴避必要資料之蒐集與使用個人資料保護的重點在於保持個人資料的正確性, 並且告知當事人所蒐集資料的特定目的, 以及安全處理與使用方式與範圍, 並作好適當的刪除與銷毀工作教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 6

學校機構屬公務或非公務機關? 公務與非公務機關之定義 : 2&7 公務機關依法行使公權力之中央或地方機關或行政法人 2&8 非公務機關指前款以外之自然人法人或其他團體依據教育部函公立學校如係各級政府依法令設置實施教育之機構, 而具有機關之地位, 應屬個資法之公務機關非由各級政府設置之私立學校, 則屬本法之非公務機關教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 7 如何降低個資法之風險? 公務機關 ( 公立學校 ) 28 公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權力者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限 18 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏 31 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定施行細則第十二條第二項說明落實安全維護措施有十一項教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 8

如何降低個資法之風險? 非公務機關 ( 私立學校 ) 29 非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權力者, 負損害賠償責任但能證明其無故意或過失者, 不在此限 50 非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 31 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定施行細則第十二條第二項說明落實安全維護措施有十一項教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 9 施行細則第十二條第二項的來源法務部施行細則第十二條說明了適當安全防護措施, 基本上就是英國 BS 10012 的做法為了避免違反個資法, 透過機制來建立防護措施, 不是為驗證而已 ( 過去 ISO 27001 只集中於資訊部門 ) 個資法第 2 條第 2 款 : 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合 : 個資盤點不能只在資訊部門 ( 資訊部門可以協助確認 ), 因為個資法客體含各種形式含個資的檔案 ( 如紙張等 ) 盤點個資時應注意個資生命週期 ( 蒐集處理利用傳輸銷毀 ) 的關聯性 : 各階段的合法性, 必須回到蒐集時的特定目的與範圍蒐集合法, 不表示其他階段合法教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 10

一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 11 一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 12

何謂個人資料 ( 個資法第二條第一款 )? 自然人的姓名出生年月日身分證號碼護照號碼特徵指紋婚姻家庭教育職業病歷聯絡方式財務情況社會活動一般資料特種資料其他資料醫療基因性生活健康檢查犯罪前科得以直接或間接方式識別該個人之資料教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 13 特種個資內容 ( 已被暫緩實施 ) 特種個人資料除個資法第 6 條所定情形外, 不得蒐集處理或利用類別醫療基因性生活健康檢查犯罪前科內容指以治療矯正或預防人體疾病傷害殘缺為目的, 所為的診察診斷及治療 ; 或基於診察診斷結果, 以治療為目的, 所為的處方用藥施術或處置等行為全部或一部之總稱 ( 此部份尚未確定 ) 指人體之染色體所儲存超過十萬對以上最基本而具有全部遺傳特質或特定生物功能 DNA( 去氧核醣核酸 ) 之遺傳單位指所有與性行為有關之活動之總稱, 如性傾向性慣行等指以檢驗為目的所為一般性或遺傳性傳染性精神性等疾病檢查之健康資料傳染性之總稱, 如健康檢查報告等指構成犯罪之具有犯罪紀錄者而言教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 14

一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六相關案例七建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 15 個資法基本認知一. 個人資料法緣由二. 個人資料法立法目的三. 個人資料法進展 16

個人資料保護法與電腦處理個人資料管理辦法電腦處理個人資料保護法 :84 年 8 月 11 日制定公布個人資料保護法 :99 年 5 月 26 日修正公布 99 年 5 月 26 日總統公布日起, 廢止許可登記制度個資法由行政院在 101 年 10 月 1 日宣布實施 (2 個條文暫緩實施 ) 101 年 9 月 26 日公布個資法施行細則教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 17 擴大適用主體 : 新法修正重點舊法 : 公務機關與非公務機關 ( 醫院學校電信業金融業證卷業保險業大眾傳播業徵信業等八類行業 ) 新法 : 打破行業別限制, 包含各行各業及個人擴大保護客體 : 舊法 : 使用電腦或類似設備處理之個人資料蒐集 : 為建立個人資料檔案而取得個人資料新法 : 以任何方式 ( 包含紙本 ) 留存的資料蒐集 : 以任何方式取得的個人資料教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 18

增訂告知義務 : 新法修正重點 ( 續 ) 直接蒐集及間接蒐集之告知義務修正施行前非由當事人提供之個人資料, 應自本法修正施行之日起一年內完成告知當事人拒絕行銷之權利資料違法外洩之通知義務加重罰則 : 民事賠償 : 新台幣二千萬元二億元刑事處罰 : 新台幣伍萬元一百萬有期徒刑 : 三年以下五年以下教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 19 域外效力新法修正重點 ( 續 ) 公務機關及非公務機關, 在中華民國領域外對中華民國人民個人資料蒐集處理或利用者, 亦適用本法 ( 51) 擴及委外第三人受公務機關或非公務機關委託蒐集處理或利用個人資料者, 於本法適用範圍內, 視同委託機關 ( 4) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 20

個人資料保護法之立法目的避免人格權侵害促進個人資料合理利用教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 21 隱私權與個人資料保護? 個人資料保護法隱私權保護刑法民法等法規個人資料保護電腦處理個人資料電腦處理個人資料保護法教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 22

保護個人資料的其他法律民法 18 195( 侵害人格權 ) 財產上的損害賠償精神慰撫金回復名譽的適當處分刑法 315 315-1 318-1( 妨害秘密罪 ) 有期徒刑 : 三年以下罰金 : 三萬元以下通訊保障及監察法 19 24 25( 秘密通信自由 ) 損害賠償有期徒刑 : 五年以下教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 23 一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 24

個資法架構教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 25 個人資料保護法適用於個人嗎? 個資法適用對象包括各行各業及個人 ( 2) 受委託蒐集處理或利用個人資料者, 視同委託機關 ( 4) 以任何方式 ( 包括紙本 ) 留存的個資法資料保護客體任何方式取得個人資料 ( 2) 生存之特定或得特定之自然人教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 26

資料蒐集處理或利用與特定目的之關聯個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 ( 5) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 27 直接蒐集個人資料的告知義務 ( 8) 何時應該告知? 向當事人蒐集之前 1 機關名稱 2 蒐集目的 3 個人資料類別應告知事項 4 利用期間地區對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集處理或利用 (5) 請求刪除上述權利, 不得預先拋棄或以特約限制 6 如當事人得自由選擇提供個人資料, 不提供將對其權益之影響得免為告知之情況 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 28

間接蒐集個人資料的告知義務 ( 8) 何時應該告知? 應告知事項處理或利用當事人的個資前得免為告知之情況 1 機關名稱 2 蒐集目的 3 個人資料類別 4 利用期間地區對象及方式 5 當事人依第 3 條規定得行使之權利及方式 : (1) 查詢或請求閱覽 (2) 請求製給複製本 (3) 請求補充或更正 (4) 請求停止蒐集處理或利用 (5) 請求刪除上述權利, 不得預先拋棄或以特約限制 6 個人資料來源 1 依法律規定得免告知 2 個人資料之蒐集係公務機關執行法定職務所必要 3 告知將妨害公務機關執行法定職務 4 告知將妨害第三人之重大利益 5 當事人明知應告知之內容 6 當事人自行公開或其他已合法公開之個人資料 7 不能向當事人或其法定代理人為告知 8 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 9 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 29 一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 30

公務機關個人資料之蒐集處理及利用特定目的內 ( 15) 特定目的外 ( 16) 公務機關對個人資料之蒐集或處公務機關對個人資料之利用, 除第六條第一理, 除第六條第一項所規定資料項所規定資料外, 應於執行法定職務必要範外, 應有特定目的, 並符合下列圍內為之, 並與蒐集之特定目的相符但有情形之一者 : 下列情形之一者, 得為特定目的外之利用 : 1 執行法定職務必要範圍內 2 經當事人書面同意 3 對當事人權益無侵害 1 法律明文規定 2 為維護國家安全或增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過處理後或依其揭露方式無從識別特定當事人 6 有利於當事人權益 7 經當事人書面同意教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 31 非公務機關個人資料之蒐集處理及利用特定目的內 ( 19) 非公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外, 應有特定目的, 並符合下列情形之一者 : 1 法律明文規定 2 與當事人有契約或類似契約之關係 3 當事人自行公開或其他已合法公開之個人資料 4 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 5 經當事人書面同意 6 與公共利益有關 7 個人資料取自於一般可得之來源但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 8 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時, 應主動或依當事人之請求, 刪除停止處理或利用該個人資料教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 32

非公務機關個人資料之蒐集處理及利用特定目的外 ( 20) 非公務機關對個人資料之利用, 除第六條第一項所規定資料外, 應於蒐集之特定目的必要範圍內為之但有下列情形之一者, 得為特定目的外之利用 : 1 法律明文規定 2 為增進公共利益 3 為免除當事人之生命身體自由或財產上之危險 4 為防止他人權益之重大危害 5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 6 經當事人書面同意 : 非公務機關依前項規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 7 經當事人書面同意 : 非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 33 個人資料之安全保護相關規定公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取竄改毀損滅失或洩漏 ( 18) 非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取竄改毀損滅失或洩漏中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法前項計畫及處理方法之標準等相關事項之辦法, 由中央目的事業主管機關定之 ( 27) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 34

個資法規定的安全保護相關規定有哪些? 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 35 個資法施行細則所列的安全維護事項保護標的 : 防止個人資料被竊取竄改毀損滅失或洩漏 1 成立管理織人員及相當資源 2 界定個人資料之範圍 3 個人資料之風險評估及管理機制 4 事故之預防通報及應變機制 5 個人資料蒐集處理及利用之內部管理程序 6 資料安全管理及人員管理 7 認知宣導及教育訓練 8 設備安全管理 9 資料安全稽核機制 10 使用紀錄軌跡資料及證據保存 11 個人資料安全維護之整體持續改善必要措施以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限此 11 項安全措施內容為參照英國 BS 10012:2009 及日本 JISQ 15001:2006 等個人資料管理系統之規範, 以 P-D-C-A 循環之概念予以建立教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 36

一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 37 基本原則 : 不得逾越特定目的個人資料之蒐集處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 ( 5) 38

個人資料保護法之特定目的民國 101 年 10 月 01 日公告生效 ( 共 182 項 ) 人身保險文化行政人事管理 ( 包含甄選離職及所屬員工基本資訊文化資產管理現職學經歷考試分發終身學習訓練進修考績獎懲銓審薪資待遇差勤福利措施褫奪公權特殊查核或其他人事措施 ) 入出國及移民水利農田水利行政土地行政火災預防與控制消防行政工程技術服務業之管理代理與仲介業務工業行政外交及領事事務不動產服務外匯業務中小企業及其他產業之輔導民政中央銀行監理業務民意調查公立與私立慈善機構管理犯罪預防刑事偵查執行矯正保護處分犯罪被害人保護或更生保護事務公共造產業務生態保育公共衛生或傳染病防治立法或立法諮詢公共關係交通及公共建設行政公職人員財產申報利益衝突迴避及政治獻金業務公民營 ( 辦 ) 交通運輸公共運輸及公共建設戶政仲裁教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 39 個人資料保護法之特定目的 ( 續 ) 全民健康保險勞工保險農民保險國民年兩岸暨港澳事務金保險或其他社會保險刑案資料管理券幣行政多層次傳銷經營宗教非營利組織業務多層次傳銷監管放射性物料管理存款保險林業農業動植物防疫檢疫農村再生及土石流防災管理存款與匯款法人或團體對股東會員 ( 含股東會員指派之代表 ) 董事監察人理事監事或其他成員名冊之內部管理有價證券與有價證券持有人登記法制行政行政執行法律服務行政裁罰行政調查法院執行業務行銷 ( 包含金控共同行銷業務 ) 法院審判業務住宅行政社會行政兵役替代役行政社會服務或社會工作志工管理金融服務業依法令規定及金融監理需要, 所為之蒐集處理及利用投資管理金融爭議處理災害防救行政金融監督管理與檢查供水與排水服務青年發展行政教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 40

個人資料保護法之特定目的 ( 續 ) 非公務機關依法定義務所進行個人資料之蒐集借款戶與存款戶存借作業綜合管理處理及利用保健醫療服務原住民行政保險經紀代理公證業務捐供血服務保險監理旅外國人急難救助信用卡現金卡轉帳卡或電子票證業務核子事故應變信託業務核能安全管理契約類似契約或其他法律關係事務核貸與授信業務客家行政海洋行政建築管理都市更新國民住宅事務消費者客戶管理與服務政令宣導消費者保護政府資訊公開檔案管理及應用畜牧行政政府福利金或救濟金給付行政財產保險科技行政財產管理科學工業園區農業科技園區文化創業園區財稅行政生物科技園區或其他園區管理行政訂位住宿登記與購票業務退除役官兵輔導管理及其眷屬服務照顧計畫管制考核與其他研考管理退撫基金或退休金管理飛航事故調查商業與技術資訊食品藥政管理國內外交流業務個人資料之合法交易業務借款戶與存款戶存借作業綜合管理教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 41 個人資料保護法之特定目的 ( 續 ) 國家安全行政安全查核反情報調查安全查核發照與登記國家經濟發展業務稅務行政國家賠償行政華僑資料管理專門職業及技術人員之管理懲戒與救濟訴願及行政救濟帳務管理及債權交易業務貿易推廣及管理彩券業務鄉鎮市調解授信業務傳播行政與管理採購與供應管理債權整貼現及收買業務救護車服務募款 ( 包含公益勸募 ) 教育或訓練行政廉政行政產學合作會計與相關服務票券業務會議管理票據交換業務經營郵政業務郵政儲匯保險業務陳情請願檢舉案件處理經營傳播業務勞工行政經營電信業務與電信加值網路業務博物館美術館紀念館或其他公私營造物試務銓敘保訓行政業務場所進出安全管理資 ( 通 ) 訊服務就業安置規劃與管理資 ( 通 ) 訊與資料庫管理智慧財產權光碟管理及其他相關行政資通安全與管理教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 42

個人資料保護法之特定目的 ( 續 ) 農產品交易衛生行政農產品推廣資訊調查統計與研究分析農糧行政學生 ( 員 )( 含畢結業生 ) 資料管理遊說業務行政學術研究運動競技活動憑證業務管理運動休閒業務輻射防護電信及傳播監理選民服務管理僱用與服務管理選舉罷免及公民投票行政圖書館出版品管理營建業之行政管理漁業行政環境保護網路購物及其他電子商務服務證券期貨證券投資信託及顧問相關業務證券投資信託及顧問相關業務蒙藏行政警政輔助性與後勤支援管理護照簽證及文件證明處理審計監察調查及其他監察業務體育行政廣告或商業行為管理觀光行政觀光旅館業旅館業旅行業觀光遊樂業及民宿經營管理業務影視音樂與媒體管理其他中央政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務徵信其他公共部門 ( 包括行政法人政府捐助財團法人及其他公法人 ) 執行相關業務標準檢驗度量衡行政其他公務機關對目的事業之監督管理教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 43 其他司法行政個人資料保護法之特定目的 ( 續 ) 其他地方政府機關暨所屬機關構內部單位管理公共事務監督行政協助及相關業務其他自然人基於正當性目的所進行個人資料之蒐集處理及利用其他金融管理業務其他財政收入其他財政服務其他經營公共事業 ( 例如 : 自來水瓦斯等 ) 業務其他經營合於營業登記項目或組織章程所定之業務其他諮詢與顧問服務教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 44

資料違法外洩時, 一定要和當事人說嗎? 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 45 公務機關或非公務機關違反本法規定, 致個人資料被竊取洩漏竄改或其他侵害者, 應查明後以適當方式通知當事人 ( 12) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 46

若違反個資法, 只要罰錢就可以了嗎? 47 公務機關之法律責任刑事責任違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑公務員假借職務上之權力機會或方法, 犯本章之罪者, 加重其刑至二分之一 ( 44) 民事責任最高賠償總額 2 億元非財產損害得請求賠償相當金額公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但損害因天災事變或其他不可抗力所致者, 不在此限被害人雖非財產上之損害, 亦得請求賠償相當之金額 ; 其名譽被侵害者, 並得請求為回復名譽之適當處份依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算 ( 28)

非公務機關之法律責任刑事責任違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性非意圖營利 : 兩年以下有期徒刑意圖營利 : 五年以下有期徒刑五年以下有期徒刑民事責任最高賠償總額 2 億元非財產損害得請求賠償相當金額非公務機關違反本法規定, 致個人資料遭不法蒐集處理利用或其他侵害當事人權利者, 負損害賠償責任但能證明其無故意或過失者, 不在此限 ( 29) 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 49 非公務機關之法律責任 ( 續 ) 行政檢查行政責任罰鍰 ( 雙罰每次 2 萬至 50 萬 ) 處分非公務機關之代表人管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並設同一額度罰鍰 ( 50) 禁止蒐集處理或利用命令刪除經處理之資料沒入或銷毀公布違法情形及其姓名或名稱與負責人教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 50

第 31 條損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 51 一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 52

個資法施行細則法務部 2011 年 10 月 27 日在官方網站公布個資法施行細則草案法務部法律事務司副法務部法律事務司副司長鍾瑞蘭表示, 草案將進行 14 天的法案預告, 來蒐集各界對草案的建議法務部 2012 年 9 月 27 日在官方網站公布個資法施行細則法條共三十三條教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 間接識別個人資料檔案 ( 細則 3) 指保有該資料之公務或非公務機關僅以該資料不能直接識別, 須與其他資料對照組合連結等, 始能識別該特定之個人教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 54

間接識別案例說明 Q: 何謂以間接方式識別該個人之資料? 何謂不能識別? 例如學校職員 A 從校務行政資料庫, 將學生資料中之一個欄位聯絡方式賣給補教業者 B, 則是否屬個人資料保護法所規範之可識別個人資料 A:(1) 就 A 而言, 雖然 A 只挑選學生資料中一個欄位聯絡方式, 單純就連絡方式之資料內容來看, 無法得知該資料之特定個人為何人, 但是 A 或 A 所代表的機關本身, 仍有該校務行政資料庫之其他資料欄位可供對照組合連結等間接方式, 而能識別該特定個人, 故就 A 或 A 所代表的機關該單筆資料欄位仍屬可間接識別之個人資料 A 以意圖營利之方式販賣可識別之個人資料, 該當個人資料保護法第 41 條第 2 項之刑事構成要件而應負刑事責任 (2) 就 B 而言, 該聯絡方式之個人資料如無法透過資料庫之對照組合連結等間接方式而加以識別該特定之學生, 則屬查詢有困難之情形 ( 究屬查詢困難耗費過鉅或耗時過久始能特定之情形需個案認定 ), 故為無法識別之個人資料, 無個人資料保護法之適用, 惟如屬其他法令規範之範圍, 則仍有其他法令之適用, 例如民法第 18 條及第 195 條之侵害隱私權等規定教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 個人資料檔案 ( 細則 4) 類別內容 ( 施行細則 ) 醫療基因指包含病歷及其他由醫師或其他之醫事人員, 以治療矯正預防人體疾病傷害殘缺為目的, 或其他醫學上之正當理由, 所為之診察及治療 ; 或基於以上之診察結果, 所為處方用藥施術或處置所產生之個人資料由人體一段去氧核醣核酸構成, 為人體控制特定功能之遺傳單位訊息性生活指性取向或性慣行之個人資料健康檢查指非針對特定疾病進行診斷或治療之目的, 而以醫療行為施以檢查所產生之資料犯罪前科指經緩起訴職權不起訴或法院判決有罪確定執行之紀錄教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 56

個人資料檔案 ( 細則 5) 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索整理之個人資料之集合備份資料教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 57 個人資料檔案 ( 細則 6) 刪除指使已儲存之個人資料自個人資料檔案中消失刪除行為之認定, 應視刪除當時科技水準及技術, 參酌適用主體之組織型態, 使用一般社會通念之標準, 所為使個人資料消失之行為, 以作為參考標準, 尚無需達不復存在之標準, 始謂符合本法所稱之刪除內部傳送指公務機關或非公務機關本身內部之資料傳送教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 58

個人資料檔案 ( 細則 7) 受委託蒐集處理或利用個人資料之法人團體或自然人, 依委託機關應適用之規定為之教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 59 個人資料檔案 ( 細則 8) 委託他人蒐集處理或利用個人資料時, 委託機關應對受託者為適當之監督監督至少應包含下列事項 : 一. 預定蒐集處理或利用個人資料之範圍類別特定目的及其期間二. 受託者就第十二條第二項採取之措施三. 有複委託者, 其約定之受託者四. 受託者或其受僱人違反本法其他個人資料保護法律或其法其他個人資料保護法律或其法規命令時, 應向委託機關通知之事項及採行之補救措施五. 委託機關如對受託者有保留指示者, 其保留指示之事項六. 委託關係終止或解除時, 個人資料載體之返還, 及受託者履行委託契約以儲存方式而持有之個人資料之刪除教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 60

個人資料檔案 ( 細則 8) 委託他人蒐集處理或利用個人資料時, 委託機關應對受託者為適當之監督第一項之監督, 委託機關應定期確認受託者執行之狀況, 並將確認結果記錄之受託者僅得於委託機關指示之範圍內, 蒐集處理或利用個人資料受託者認委託機關之指示有違反本法其他個人資料保護法律或其法規命令者, 應立即通知委託機關教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 61 個人資料檔案 ( 細則 9, 10) 本法第六條第一項第一款第八條第二項第一款第十六條第一項第一款第十九條第一項第一款第二十條第一項第一款所稱法律, 指法律或法律具體明確授權之法規命令本法第六條第一項第二款第八條第二項第二款及第三款第十條第二款第十五條第一款第十六條所稱法定職務, 指於下列法規中所定公務機關之職務 : 一法律法律授權之命令二自治條例三法律或自治條例授權之自治規則四法律或中央法規授權之委辦規則教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 62

個人個人資料之風險評估及管理機制體持必要措施包括 ( 細則 12) 成立管理組織, 配置相當資源界定個人資料之範圍資事故之預防通報及應變機制個人資料蒐集處理及利用之內部管理程序護個人資料蒐集資料安全管理認知宣導及教育訓練及人員管理整及人員管理設備安全管理資料安全稽核機制續資料安全稽核機制必要之使用紀錄軌跡資料及證據之保存安事故之預防通報及應變機制料全維護之改善63 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 必要措施包括 ( 細則 12) 必要措施, 以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 64

書面同意 ( 細則 14, 15) 本法第七條所定書面意思表示之方式, 依電子簽章法之規定, 得以電子文件為之本法第七條第二項所定單獨所為之書面意思表示, 如係與其他意思表示於同一書面為之者, 蒐集者應於適當位置使當事人得以知悉其內容並確認同意教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 65 告知 ( 細則 16) 依本法第八條第九條及第五十四條所定告知之方式, 得以言詞書面電話簡訊電子郵件傳真電子文件電子郵件電子文件或其他足以使當事人知悉或可得知悉之方式為之教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 66

專人 ( 細則 25) 公務機關指定專人辦理安全維護措施指具有管理及維護個人資料檔案之專業能力, 且足以擔任機關檔案資料安全維護經常性工作之人員公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 67 施行細則內容蒐集儲存利用銷毀依法進行告知義務取得書面同意採取適當保護措施, 避免個人資料被竊取竄改或毀損應於蒐集之特定目的內使用特定目的外之使用應另外取得書面同意特定目的消失期限屆滿當事人要求教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 68

一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 69 哪些個人資料不受個資法保護 ( 個資法第 51 條 )? 自然人為單純個人或家庭活動之目的, 而蒐集處理或利用個人資料例如社交活動寄送喜帖親友通訊錄等上述資料的蒐集必須與職業或業務職掌無關於公開場所或公例如運動會照片遊樂場拍攝小孩與其開活動中所蒐集他小孩一起遊玩的影片等為解決合照或其他在合理範圍內之影音處理或利用之未資料須經其他當事人書面同意始得蒐集處理或利用之不便, 因此排除個資法對上述影音資料的適用, 回歸民法規定與其他個人資料結合之影音資料 * 日本個人資料保護法另外排除五千筆資料以下的單位 70

案例 : 學生入學後, 學校可以如何使用其資料? 例如 : 學校相關活動 ( 含社團等 ) 是否可以透過信件寄發給所有學生? 誰有資格寄發或使用? 學校社團辦活動可透過信件寄發通知給學生學校辦活動之單位及社團都可以寄並使用學生的個人資料, 此符合學校教育以及成立社團之特定目的, 但若學校所辦活動其實是廠商的行銷活動, 則有爭議學校不可以把學生的資料給合辦活動的廠商使用, 這部份請學校評估學校使用學生個人資料之用途與目的, 是否符合學校教育興學之目的教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 71 案例 : 學生入學新生訓練時, 是否是恰當時機, 讓學生知道學校可能利用其資料的狀況, 並在新生訓練或註冊時, 取得同意的授權? 除非學校使用個人資料有可能超過教育行政之特定目的, 不然是不需要學生額外授權不過因為新法增加了 " 告知 " 義務, 在學生入學時就要立刻履行告知義務詳述學校使用個人資料之範圍用途等等如果學校或做超過特定目的之利用, 就應該及早告知學生並取得 " 書面同意 " 教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 72

案例 : 畢業生紀念冊上的學生相關資料應該屬於個人資料? 旦目前都視同慣例, 是否未來有風險? 如何補救? 至於圖書館陳列的歷屆畢業紀念冊是否應該管理? 紀念冊上的學生資料是個人資料過去紀念冊的蒐集與公開並非違法行為, 但是因為現在有販賣個人資料或是詐騙個人資料之行為, 所以學校應改變個人資料之保管方式並加以控管, 例如限制可以閱覽紀念冊的人員教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 73 案例 : 學校目前的畢業學生資料, 如何是屬於合法使用? 是否可以寄發活動通知? 或者應該在學生畢業前, 先取得畢業學生的同意授權? 至於過去幾時年的畢業生資料如何使用與管理才能符合新的個人資料保護法的蒐集利用之範圍? 學校使用校友的資料應該還是必須符合 " 教育行政 " 的特定目的, 如果超過這個目的還是不能使用, 可能需要在畢業前取得學生授權一般人並不會反對辦校友活動會超過特定目的, 這個部分學校應該與教育部以及法務部溝通確保學校能繼續使用校友資料, 學校還是應該要建立控管機制, 避免校友資料外洩教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 74

案例 : 老師在幫學生寫介紹信前, 會要求學校職員提供該學生多年的相關資料 ( 個人資料與成績 ), 該如何處理? 職員提供該資料前, 是否應取得學生之同意? 老師幫學生寫介紹信在美國教育體系下是老師的義務, 若在臺灣, 幫學生寫介紹信已經成為教授或老師天經地義的工作, 則學校應該要提供給教授相關資料而無須取得學生同意重點在於, 證明教授或老師是為了寫介紹信而不是為了其他目要求學校提供學生資料學校可考量要求教授或老師出示學生的申請書, 或者是教授或老師要求學生自己向學校申請資料並由學校直接交給教授等, 不同的做法教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 75 案例 : 學生借書紀錄, 是否涵蓋在個資範圍內? 老師擔心學生最近是否因閱讀某一些讀物而行為有一些偏差, 所以向圖書館調閱學生的借書紀錄, 請問圖書館是否可以提供? 學生借書紀錄包括學生姓名社會活動或其他得以識別學生之資料, 構成學生個資圖書館保存借書紀錄的目的是為了圖書館管管理之特定目的, 而非為了讓老師檢查學生行為偏差是否與閱讀某些讀物有關之目的如有證據可合理懷疑某學生偏差行為與閱讀有相當關聯, 老師為了進一步確認向圖書館調閱學生借書紀錄, 固然可認為是學校內部教育或訓練行政目的, 但仍應於該目的之必要範圍內為之, 且應尊重當事人之權益若老師在無任何證據情況下調取學生借書紀錄, 恐被認為逾越教育或訓練行政目的之必要範圍, 因而違反個資法的規定因此, 圖書館是否可以將學生借書紀錄提供給老師, 應視具體個案中老師可否提供合理之說明及證據來作決定教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 76

案例 : 學務處提供家長查詢學生考試成績或學習紀錄, 使用方式是以學生的身分證字號登入為查詢依據, 請問學務處可以提供家長查詢嗎? 若可以, 可以提供到什麼程度? 另外針對己成年的學生或未成年的學生是否有不一樣的處理方式應區分成年和未成年, 成年學生的家長應無法查詢, 除非有學生授權未成年的家長是學生的法定代理人, 應該都能看才對案例 : 學校可以為了保護學生, 蒐集學生病史健康身分 ( 低收入戶 ) 資料等涉及特種個資嗎? 有關病史健康檢查的部分, 要看教育部的法規有沒有允許低收入戶並非特種個資教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 77 案例 : 導師是否可以知道班上同學的學習狀況, 導師可以知道同學修課成績嗎? 如果導師取得學生的修課成績, 是為了瞭解學生的學習狀況, 此為執行法定職務必要範圍 ( 公立學校 ) 或因學校與學生間之契約關係 ( 私立學校 ), 為了特定目的 ( 教育或訓練行政 ) 所為, 符合個資法的規定案例 : 學校是否可寄發認同卡相關資料給校友? 學校當初蒐集校友個人資料之特定目的為教育或訓練行政, 或學生資料管理學校寄發認同卡相關資料給校友, 構成利用校友個人資料之行為, 似已逾越上述特定目的, 除非取得校友之書面同意, 否則不得為之教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 78

案例 : 個資法中之特種個人資料規範中, 若個資擁有者自行公開之個人資料, 是可以收集的, 但是請問這樣的資訊可以拿來傳播嗎? 雖然已公開的特種個資是可以蒐集的, 但蒐集及利用仍須符合特定目的, 並不是任意可以拿來傳播的案例 : 身心障礙是否為特種資料? ( 例如 : 殘障手冊, 或公務人員履歷表上註明身心障礙 ) 身心障礙須依據醫療機構之鑑定結果核發身心障礙證明而為認定如以法務部指定之個資法施行細則草案之定義, 醫療指以治療矯正或預防人體疾病傷害殘缺為目的, 所為的診察診斷及治療, 身心障礙似符合上述醫療之定義, 從而屬於特種個人資料之一種教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 79 案例 : 網頁上的學生家長區, 家長可以查詢學生的個人缺曠操行嗎? 學校將學生的缺曠課資料及操行成績提供家長查詢, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符惟大學生瞭解自己的缺曠課資料及操行成績, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否有必要將學生的缺曠課資料及操行成績提供家長查詢, 始能達到教育或訓練行政之目的, 恐有疑義建議教育部對此作成統一解釋, 以便學校知所遵循, 避免學生質疑教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 80

案例 : 在公告欄上公告曠課學生名單 ( 學生姓名學號 ) 有違反個資嗎? 有關獎懲之作法, 應符合學校辦理教育行政之目的, 公布應不違反個資學生成績預警制度, 若有扣 8 分或扣 16 分的情形, 是否可以寄給家長知道? 學校將學生預警制度扣分情形告知家長, 似為學校執行法定職務必要範圍, 且與蒐集之特定目的 ( 教育或訓練行政 ) 相符大學生收受成績預警制度之資料, 依其年齡及身分, 應為其日常生活所必需, 且滿 20 歲之大學生已為成年人, 不論其為意思表示或受意思表示, 均無須法定代理人 ( 家長 ) 之允許, 因此大專院校是否必要告知學生本人之成績預警資料, 另行提供學生家長, 始能達到教育或訓練行政之目的, 恐有疑義教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 81 案例 : 某大學為獎勵學生畢業, 將學生部分資料公開於網頁上, 經學生提告後, 將網頁資料撤銷, 但在 Google 仍搜尋得到, 請問是否可以要求學校向 Google 交涉, 或需由學生自行要求 Google 撤銷其資料? 網頁由學校建立, 學校應盡早找 Google 交涉, 否則有可能仍然有責案例 : 系所或系科主任希望知道各老師教學狀況, 以作為老師的教學評量教學評鑑使或其它考核用途, 請問課務組該如何因應處理? 課務組提供老師教學狀況給系所或系科主任, 作為教學評量評鑑或其他考核用途, 屬於學校處理及利用老師個人資料的行為, 應屬特定目的 ( 教育或訓練行政 ) 之必要範圍, 符合個資法規定, 因此是可以提供的教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 82

案例 : 就業輔導處針對學生畢業後, 使用學生相關個人資料, 是否邀簽署同意書? 是否有時效問題 ( 例如 :5 年或 7 年 )? 若資料須放更久, 如何處理? 如學校已經在簽署同意書上說明特定目的與理由, 則學校於符合特定目的之情況下, 得於學生畢業後繼續使用學生之個人資料, 不會受到期間的限制案例 : 學校的推廣中心是否可以利用報名學校的甄 / 筆試的考生資料, 寄給落榜生推廣學分班招生資料? 學校蒐集考生個人資料之特定目的為學生資料管理, 而非行銷推廣中心之課程推廣中心將招生資料寄給落榜生推廣中心將招生資料寄給落榜生, 構成利用考生個人資料之行為, 逾越學生資料管理之特定目的, 除非取得考生之書面同意, 否則不得為之教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 83 小結學生獎懲資料符合學校辦理教育行政之目的, 公布不違反個資法每位教職員均應檢視自己放在網路上與學校有關業務的資料是否違反個人資料保護法蒐集處理與利用之規範, 若有請立即自行刪除, 若無法自行刪除者, 應通知學校資訊單位協助處理例如, 班級網頁中是否有學生的姓名生日照片 ( 特別是照片旁有標註可供辨識學生身份的資料 ) 等之資訊揭露學校辦理研習課程等活動之簽到單, 須妥善保管並定期或不需要時予以銷毀學校網站上若出現學生班級座號全名健康狀況家庭狀況聯絡方式輔導紀錄申請補助進度等資訊, 須進一步檢視公開之必要性, 或進行必要處理後再公開教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 84

小結 ( 續 ) 教師索取學生個資需由業務承辦人判別是否合乎該師之職權, 方可給予個資 ; 可透過建立調閱紀錄表並由權責主管簽核等方式進行管控與追蹤歷屆的畢業紀念冊不開放讀取, 必要時可上鎖保存, 並建立限制可接觸畢業紀念冊人員之規定保留重要或敏感個資之處所需有門禁等實體安全控管機制 ; 存放個人資料的電腦也需安全控管機制, 例如密碼包含個人資料的電腦在報廢前, 需將硬碟資料進行完全知移除 ( 不只是清空電腦資源回收筒 ) 因教學行政而辦的活動, 可透過電子信件寄發給所有學生, 不違反個資法向尚未成年之學生取用個資, 需取得當事人或監護人同意方可行之教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 85 一什麼是個人資料二個資法基本認知簡報大綱三個資法架構與第一章部分條文四個資法蒐集處理及利用五個資法部分條文罰則六個資法施行細則重點七案例說明八個資保護落實建議教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 86

建議事項立即進行組織內個人資料盤點工作, 瞭解組織擁有的個人資料種類數量保存與利用情形, 並確認蒐集當時的特定目的, 以為後續風險評估與建議安全管控措施之基礎設置組織負責規劃個人資料保護相關事宜進行必要的資訊安全與個資教育訓練教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 87 資料蒐集處理利用之自我檢查五步驟步驟一 : 清點所有之個人資料步驟二 : 清查蒐集個人資料之途徑與方式步驟三 : 確認是否須履行告知義務並建立告知機制步驟四 : 確認蒐集處理利用之特定目的步驟五 : 檢視利用的範圍與方式教育部提升校園資訊安全服務計畫 (101 至 102 年 ) 88

施行細則第十二條 (11 項措施 ) 資料來源 : ithome 個資法上路, 企業要做好 11 項安全維護措施 (2012-10-04) http://www.ithome.com.tw/privacylaw/article/76621 參考範本 : 網路活動蒐集個資之同意書一隱私權保護政策的適用範圍應告知項目本隱私權政策內容, 包括 NII 產業發展協進會如何處理在您使用本活動網站時所蒐集到的個人資料, 不適用於本活動網站以外的相關連結網站, 也不適用於非本網站所委託或參與管理的人員二資料的蒐集與使用方式本活動網站為提供您最佳的互動性服務, 可能會請您提供相關個人資料, 其範圍如下 : 當您使用本活動網站之挑戰遊戲等互動功能時, 系統會保留您所提供的電子郵件地址姓名學校名稱班級名稱居住縣市別 ( 含區 ) 指導教師姓名服務使用時間挑戰答題紀錄等本活動所蒐集之姓名學校名稱班級名稱居住縣市別 ( 含區 ) 指導教師姓名等資訊為必填欄位, 將作為抽獎身分確認以及做為與您連絡之依據 ; 電子郵件地址非必填欄位, 僅用於發送忘記密碼通知函使用為提供精確的服務, 我們會將蒐集之挑戰答題紀錄進行統計與分析, 分析結果之統計數據或說明文字呈現, 除供內部研究外, 我們會視需要公布統計數據及說明文字, 但不涉及特定個人之資料於一般瀏覽時, 伺服器會自行記錄相關行徑, 包括您使用連線設備的 IP 位址使用時間使用的瀏覽器瀏覽及點選資料紀錄等, 做為我們增進網站服務的參考依據, 此紀錄為內部應用, 絕不對外公布機關名稱蒐集目的個人資料類別利用期間地區對象及方式本活動所蒐集與利用您的個人資料之期間為, 自即日起至民國 101 年 3 月 31 日為止, 利用地區為台灣地區您可自由選擇是否提供您的個人資料, 但若您所提供之個人資料, 經檢舉或由本會發現不足以確認您的身分, 或有其他個人資料冒用盜用資料不實等情形, 本會有權刪除您的抽獎或得獎資格不提供個資之權益影響 90

參考範本 : 網路活動蒐集個資之同意書 ( 續 ) 您可隨時依照個人資料保護法律之相關規定, 向本網站查詢本網站所蒐集之您的個人資料要求補充或更正請求停止蒐集處理或利用請求刪除, 或請求給予副本您行使有關權利與本網站之聯絡方式為 : 電話 :(02)2508-2353; 傳真 : (02)2507-3507; 電子郵件 :service@nii.org.tw 如您要求本網站停止蒐集處理或利用您的個人資料, 或是要求刪除您的個人資料, 本網站必須取消您參加活動或抽獎之資格, 以及抽中之獎品除非取得您的同意或其他法令之特別規定, 本網站絕不會將您的個人資料揭露予第三人或使用於蒐集目的以外之其他用途三資料之保護本網站主機均設有防火牆防毒系統等相關的各項資訊安全設備及必要的安全防護措施防毒系統等相關的各項資訊安全設備及必要的安全防護措施, 加以保護網站及您的個人資料, 只由經過授權的人員才能接觸您的個人資料, 相關處理人員皆簽有保密合約, 如有違反保密義務者, 將會受到相關的法律處分如因業務需要有必要委託本活動網站相關單位提供服務時, 本網站亦會嚴格要求其遵守保密義務, 並且採取必要檢查程序以確定其將確實遵守四本網站的網頁提供其他網站的網路連結, 您也可經由本網站所提供的連結, 點選進入其他網站但該連結網站不適用本網站的隱私權政策, 您必須參考該連結網站中的隱私權政策五為了提供您最佳的服務, 本網站會在您的電腦中放置並取用我們的 Cookie, 若您不願接受 Cookie 的寫入, 您可在您使用的瀏覽器功能項中設定隱私權等級為高, 即可拒絕 Cookie 的寫入, 但可能會導致網站某些功能無法正常執行應告知項目當事人權利六本隱私權政策可能會因應個人資料保護法或其他相關法規以及實際需求隨時進行修正, 修正後的條款將刊登於本活動網站上 91 簡報完畢, 敬請指教 NII 產業發展協進會 (02) 2508-2353 2353 台北市松江路 317 號 7 樓本簡報內容著作權為 NII 產業發展協進會所有