1. 目標
為規範本校個人資料之蒐集、處理及利用等行為,以避免人格權受侵害,並促進個人資料之合理利用,以符合「個人資料保護法」及「個人資料保護法施行細則」之要求,及落實個人資料之保護及管理,特訂定個人資料保護管理政策(以下簡稱本政策),作為有效評估本校遵循法律及優良實務的狀況。
2. 適用範圍
本校所有與個人資料之蒐集、處理與利用等作業相關之單位、人員、業務流程與系統。
3. 依據
3.1 中華民國個人資料保護法。
3.2 中華民國個人資料保護法施行細則。
3.3 英國國家標準個人資訊管理系統(BS10012:2017)。
3.4 教育體系資通安全暨個資保護管理規範。
3.5 附錄B個人資料管理規範。
4. 個人資料保護管理目標
4.1 本校依個人資料保護法及個人資料保護法施行細則之要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
4.2 本校為管理個人資料之需求,建立管理組織,制訂、推動、實施個人資料保護管理。
4.3 保護本校個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
4.4 提升同仁個人資料保護與管理能力,定期辦理個人資料保護宣導教育訓練,以降低營運風險並創造可信賴之個人資料保護及隱私環境。
4.5 本校依相關法律要求及規定,克盡個人資料保護之目標及義務,並且維護及落實個人資料管理制度。
4.6 依適用的法律、規定、契約及或專業責任,以及個人及其他主要利害關係人的利益,適時改進個人資料管理制度。
4.7 定期針對個人資料之作業流程進行風險評鑑,鑑別可承受之風險等級,並針對不可接受之風險進行風險處理。個人資料保護原則
5. 個人資料保護原則
5.1 公平及合法的處理。
5.2 僅為了特定目的取得,且不進行不合於該目的之處理。
5.3 適當、相關且不過度。
5.4 保持正確及最新。
5.5 不保存超過需求的時間。
5.6 遵循法定的個人權利包括個人資料當事人對於其資料的存取。
5.7 確保安全。
5.8 不將資料傳輸到法令所不允許及沒有足夠保護的國家。
6. 政策內容
6.1 個人資料保護組織
6.1.1 為有效執行個人資料保護與管理各項工作,應成立個人資料保護管理組織(組織成員應包含高階主管),規範本校內所有成員之責任與義務,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並遵循法令法規及持續有效地落實個人資料保護最佳實務。
6.1.2 確認相關人員在個人資料管理制度內之職責及責任。
6.2 個人資料之蒐集與處理
6.2.1 本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個人資料,應遵循我國個人資料保護法等法令。
6.2.2 不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
6.2.3 僅在法律規定及本校校務活動內蒐集最少量的個人資料,並且不處理過多的個人資料。
6.2.4 在校務活動的過程中僅於特定目的及個人資料類別內取得個人資料,並且只進行合於組織目的之蒐集、處理及利用。
6.2.5 僅處理與本校校務內相關且適當的個人資料。
6.2.6 本著合法、公平、公正、公開的合理處置原則,進行蒐集、處理及利用必要之個人資料,且建立相關管理制度合理地處理所取得之個人資料。
6.3 個人資料之利用及國際傳輸
6.3.1 本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第二十條之規定辦理;倘有需取得當事人同意之必要者,本校應依法取得當事人之同意。
6.3.2 本校所蒐集、處理之個人資料,應遵循我國個資法及本校個人資料管理制度之規範,且個人資料之使用為本校營運或業務所需,方可為本校承辦同仁利用。
6.3.3 本校取得之個人資料,如有進行國際傳輸之必要者,定謹遵不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本校將不進行國際傳輸,以維護個人資料之安全。
6.3.4 僅在合法及有適當保護的狀況下傳送個人資料至其他國家或地區。
6.4 個人資料之調閱與異動
當本校接獲個人資料調閱或異動之需求時,應依個資法及本校所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
6.5 個人資料之例外應用
6.5.1 遵守個人資料保護相關法規,包含其他法規豁免例外應用。
6.5.2 本校因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第二十條及相關法令規定,並以正式公文查詢外,本校不得對第三人揭露:
6.5.2.1 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。
6.5.2.2 其他政府機關因執行公權力並有正當理由所需者。
6.5.2.3 與公眾生命安全有關之機關(構)為緊急救助所需者。
6.5.3 本校對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
6.5.3.1 法律明文規定。
6.5.3.2 為增進公共利益。
6.5.3.3 為免除當事人之生命、身體、自由或財產上之危險。
6.5.3.4 為防止他人權益之重大危害。
6.5.3.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
6.5.3.6 經當事人同意。
6.5.3.7 有利於當事人權益。
6.6 個人資料之保護
6.6.1 本校應建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體人員及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
6.6.2 確保所有個人資料安全,建立相關安全控管措施。
6.6.3 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
6.6.4 為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立安全保護機制,並定期查核。
6.6.5 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
6.6.6 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
6.6.7 本校各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施,並依本校緊急應變通報程序辦理。
6.6.8 本校係以嚴密之措施、政策保護當事人之個人資料,包括本校之所有教職員,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
6.6.9 本校之委外廠商或合作廠商與本校業務合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
6.7 利害關係人之參與及期許
6.7.1 適當鑑別並諮詢利害關係人,以增加利害關係人的參與程度。
6.7.2 為確保本校矯正預防措施之有效運作,應落實管理審查機制,本校每年至少舉行一次管理審查會議。
6.8 對於所取得之個人資料,應建立個人資料檔案清冊並適當維護相關內容。
6.9 對於個人資料之保護,將明確告知並設置諮詢管道,提供當事人有關個人資料將如何被使用及被誰利用的清楚資訊。
6.10 為保持個人資料正確性,依作業性質及個人資料主體之請求,予以保持最新,確保當事人權利。
6.11 個人資料保存期限,僅在合乎法律或規定或組織目的內進行。
6.12 尊重當事人權利,建立相關處理流程。
6.13 持續發展及實施個人資料保護管理工作,以確保政策得以落實。
6.14 個人資料保護組織
6.14.1 為有效執行個人資料保護與管理各項工作,應成立個人資料保護管理組織(組織成員應包含高階主管),規範本校內所有成員之責任與義務,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並遵循法令法規及持續有效地落實個人資料保護最佳實務。
6.14.2 確認相關人員在個人資料管理制度內之職責及責任。
6.15 個人資料之蒐集與處理
6.15.1 本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個人資料,應遵循我國個人資料保護法等法令。
6.15.2 不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
6.15.3 僅在法律規定及本校校務活動內蒐集最少量的個人資料,並且不處理過多的個人資料。
6.15.4 在校務活動的過程中僅於特定目的及個人資料類別內取得個人資料,並且只進行合於組織目的之蒐集、處理及利用。
6.15.5 僅處理與本校校務內相關且適當的個人資料。
6.15.6 本著合法、公平、公正、公開的合理處置原則,進行蒐集、處理及利用必要之個人資料,且建立相關管理制度合理地處理所取得之個人資料。
6.16 個人資料之利用及國際傳輸
6.16.1 本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第二十條之規定辦理;倘有需取得當事人同意之必要者,本校應依法取得當事人之同意。
6.16.2 本校所蒐集、處理之個人資料,應遵循我國個資法及本校個人資料管理制度之規範,且個人資料之使用為本校營運或業務所需,方可為本校承辦同仁利用。
6.16.3 本校取得之個人資料,如有進行國際傳輸之必要者,定謹遵不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本校將不進行國際傳輸,以維護個人資料之安全。
6.16.4 僅在合法及有適當保護的狀況下傳送個人資料至其他國家或地區。
6.17 個人資料之調閱與異動
當本校接獲個人資料調閱或異動之需求時,應依個資法及本校所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
6.18 個人資料之例外應用
6.18.1 遵守個人資料保護相關法規,包含其他法規豁免例外應用。
6.18.2 本校因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第二十條及相關法令規定,並以正式公文查詢外,本校不得對第三人揭露:
6.18.2.1 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。
6.18.2.2 其他政府機關因執行公權力並有正當理由所需者。
6.18.2.3 與公眾生命安全有關之機關(構)為緊急救助所需者。
6.18.3 本校對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
6.18.3.1 法律明文規定。
6.18.3.2 為增進公共利益。
6.18.3.3 為免除當事人之生命、身體、自由或財產上之危險。
6.18.3.4 為防止他人權益之重大危害。
6.18.3.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
6.18.3.6 經當事人同意。
6.18.3.7 有利於當事人權益。
6.19 個人資料之保護
6.19.1 本校應建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體人員及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
6.19.2 確保所有個人資料安全,建立相關安全控管措施。
6.19.3 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
6.19.4 為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立安全保護機制,並定期查核。
6.19.5 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
6.19.6 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
6.19.7 本校各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施,並依本校緊急應變通報程序辦理。
6.19.8 本校係以嚴密之措施、政策保護當事人之個人資料,包括本校之所有教職員,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
6.19.9 本校之委外廠商或合作廠商與本校業務合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
6.20 利害關係人之參與及期許
6.20.1 適當鑑別並諮詢利害關係人,以增加利害關係人的參與程度。
6.20.2 為確保本校矯正預防措施之有效運作,應落實管理審查機制,本校每年至少舉行一次管理審查會議。
6.21 對於所取得之個人資料,應建立個人資料檔案清冊並適當維護相關內容。
6.22 對於個人資料之保護,將明確告知並設置諮詢管道,提供當事人有關個人資料將如何被使用及被誰利用的清楚資訊。
6.23 為保持個人資料正確性,依作業性質及個人資料主體之請求,予以保持最新,確保當事人權利。
6.24 個人資料保存期限,僅在合乎法律或規定或組織目的內進行。
6.25 尊重當事人權利,建立相關處理流程。
6.26 持續發展及實施個人資料保護管理工作,以確保政策得以落實。
7. 政策之評估與審查
7.1 本政策每年至少評估及檢討一次,以反映本校個人資料保護需求、政府法令法規、技術及國際標準要求等最新發展現況,確保個人資料管理實務作業之時效性。
7.2 本政策如遇時勢變遷或法令修正等事由,應予以適當審查及修訂,以確保其適當性與有效性。
8. 公佈與施行
8.1 本政策應經由公告程序,使人員了解個人資料管理政策相關規定,俾利其遵循。
8.2 本政策經「IMS推動小組」修訂及「執行秘書」審查後,送呈「資通安全暨個人資料保護推動委員會」核可後,以書面、傳真、電子郵件或其他適當方式通知本校所屬員工、與本校業務往來及契約關係之廠商,以利共同遵守,修正時亦同。