個人資料保護管理政策


2.0版   108年4月12日
  1. 目標

    為規範本校個人資料之蒐集、處理及利用等行為,以避免人格權受侵害,並促進個人資料之合理利用,以符合「個人資料保護法」及「個人資料保護法施行細則」之要求,及落實個人資料之保護及管理,特訂定個人資料保護管理政策(以下簡稱本政策),作為有效評估本校遵循法律及優良實務的狀況。


  2. 適用範圍

    本校個人資料管理制度導入範圍內所有與個人資料之蒐集、處理與利用等作業相關之單位、人員、業務流程與系統。


  3. 依據
    1. 中華民國個人資料保護法。
    2. 中華民國個人資料保護法施行細則。
    3. 教育體系資通安全暨個人資料管理規範。

  4. 個人資料保護管理目標
    1. 本校依個人資料保護法及個人資料保護法施行細則之要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
    2. 本校為管理個人資料之需求,建立管理組織,制訂、推動、實施個人資料保護管理。
    3. 保護本校個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
    4. 提升同仁個人資料保護與管理能力,定期辦理個人資料保護宣導教育訓練,以降低營運風險並創造可信賴之個人資料保護及隱私環境。
    5. 本校依相關法律要求及規定,克盡個人資料保護之目標及義務,並且維護及落實個人資料管理制度。
    6. 依適用的法律、規定、契約及或專業責任,以及個人及其他主要利害關係人的利益,適時改進個人資料管理制度。
    7. 定期針對個人資料之作業流程進行風險評鑑,鑑別可承受之風險等級,並針對不可接受之風險進行風險處理。

  5. 個人資料保護原則
    1. 公平及合法及透明的處理。
    2. 僅為了特定合法的目的取得。
    3. 適當、相關及有限制,以符合資料在有限範圍內蒐集、處理及利用原則。
    4. 正確並適時更新,避免超過法律、本校規範要求之應刪除或修正時限。
    5. 以法律、本校規範允許的方式作儲存,並且不可超過所需時間。
    6. 以技術和組織管理需求的量測方式確保個人資料適當的安全、誠信及隱私。
    7. 不將資料傳輸到法令所不允許及沒有足夠保護的國家。

  6. 政策內容
    1. 本校只基於法律規範要求及合法之目的,且在確實必要範圍內使用個人資訊。
      1. 個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個人資料,應遵循我國個人資料保護法等法令。
      2. 不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
      3. 在校務活動的過程中僅於特定目的及個人資料類別內取得個人資料,並且只進行合於組織目的之蒐集、處理及利用。
      4. 本校之委外廠商或合作廠商與本校業務合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
      5. 僅在法律規定及本校校務活動內進行個人資料最少量之蒐集、處理及利用。
      6. 本校因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第十六條及相關法令規定,除校內作業流程查詢外,本校不得對第三人揭露:
        1. 司法機關、監察機關、檢察機關、調查機關或警政機關因偵查犯罪或調查證據所需者。
        2. 其他政府機關因執行公權力並有正當理由所需者。
        3. 與公眾生命安全有關之機關(構)為緊急救助所需者。
    2. 本校僅使用目的所需之最低限度的個人資訊

      僅蒐集最少量的個人資料,不處理過多的個人資料,且僅依原始蒐集之特定目的使用個人資料。

    3. 將如何使用個人資訊及處理者資訊,清楚提供給當事人(包含未成年人)。
      1. 對於個人資料之保護,將明確告知並設置諮詢管道,提供當事人有關個人資料將如何被使用及被誰利用的清楚資訊。
      2. 為保持個人資料正確性,依作業性質及個人資料主體之請求,予以保持最新,確保當事人權利。
    4. 在直接蒐集個人資訊時,應有安全防護措施。
    5. 公平且合法的使用處理個人資訊。

      本著合法、公平、公正、公開的合理處置原則,進行蒐集、處理及利用必要之個人資料,且建立相關管理制度合理地處理所取得之個人資料。

    6. 應維持一份列有本校所使用之個人資訊類別的文件化清單。
    7. 維持正確的個人資訊,在必要時保持更新。
    8. 對於所取得之個人資料,應建立個人資料檔案清冊並適當維護相關內容。
    9. 只有在基於法律或法規的要求或合法的組織目的時留存個人資訊,且確保及時與適當的處置。

      個人資料保存期限,僅在合乎法律或組織規範、目的內進行。

    10. 尊重自然人對其個人資訊的權利。
      1. 本校應依個資法、教育體系資通安全暨個人資料管理規範及本公校所訂之程序,於合法、標準規範範圍內接受當事人行使請求查詢、閱覽、複製、補充、更正、傳輸電子檔、刪除、停止蒐集、處理、利用、反對特定用途、可攜帶至其他組織、限制處理及利用(發生爭議、不合法待釐清前暫時停止處理及利用)權利,並依個資法規定時限內完成辦理。
      2. 尊重當事人權利,建立相關處理流程。
    11. 保障所有個人資訊的安全。
      1. 確保所有個人資料安全,建立相關安全控管措施。
      2. 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
      3. 為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立安全保護機制,並定期查核。
      4. 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
      5. 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
      6. 本校各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施,並依本校緊急應變通報程序辦理。
      7. 本校係以嚴密之措施、政策保護當事人之個人資料,包括本校之所有教職員,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
    12. 僅在個人資訊受到適當保護的情況下,才得以將該資訊傳輸至境外國家。
      1. 本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第十六條之規定辦理;倘有需取得當事人同意之必要者,本校應依法取得當事人之同意。
      2. 本校所蒐集、處理之個人資料,應遵循我國個資法及本校個人資料管理制度之規範,且個人資料之使用為本校營運或業務所需,方可為本校承辦同仁利用。
      3. 本校取得之個人資料,如有進行國際傳輸之必要者,有以下情形應給予適當保護且配合主管機關辦理:
        1. 涉及國家重大利益。
        2. 國際條約或協定有特別規定。
        3. 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
        4. 以迂迴方法向第三國(地區)傳輸個人資料規避個人資料保護法。
      4. 僅在合法及有適當保護的狀況下傳送個人資料至其他國家或地區。
    13. 接受本校教職員生若為海外其他國家人民時,需有其他的因應策略。
    14. 個人資料保護法所允許的各種例外狀況之適用。
      1. 遵守個人資料保護相關法規,包含其他法規豁免例外應用。
      2. 依據個資法第六條之規定,有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
        1. 法律明文規定。
        2. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
        3. 當事人自行公開或其他已合法公開之個人資料。
        4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
        5. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
        6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
      3. 依據個資法第十六條之規定,本校對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
        1. 法律明文規定。
        2. 為維護國家安全或增進公共利益。
        3. 為免除當事人之生命、身體、自由或財產上之危險。
        4. 為防止他人權益之重大危害。
        5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
        6. 經當事人同意。
        7. 有利於當事人權益。
    15. 發展並實施個人資訊管理系統以落實PIMS政策。
      1. 本校應建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體員工及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
      2. 持續發展及實施個人資料保護管理工作,以確保政策得以落實。
    16. 識別內部及外部的利害關係者,並確認該關係者所涉及組織PIMS治理程度。
      1. 適當鑑別並諮詢利害關係人,以增加利害關係人的參與程度。
      2. 利害關係人之參與及期許。
      3. 為確保本校矯正預防措施之有效運作,應落實管理審查機制,本校每年須由個人資料保護推動委員會至少召開一次管理審查會議。
    17. 識別對PIMS有特定職責且承擔責任之人員。
      1. 為有效執行個人資料保護與管理各項工作,應成立「個人資料保護推動委員會」(委員會成員應包含高階主管),規範本校內所有成員之責任與義務,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並遵循法令法規及持續有效地落實個人資料保護最佳實務。
      2. 確認相關人員在個人資料管理制度內之職責及責任。
    18. 維持個人資訊處理使用之紀錄。
  7. 政策之評估與審查
    1. 本政策每年至少評估及檢討一次,以反映本校個人資料保護需求、政府法令法規、技術及國際標準要求等最新發展現況,確保個人資料管理實務作業之時效性。
    2. 本政策如遇時勢變遷或法令修正等事由,應予以適當審查及修訂,以確保其適當性與有效性。
  8. 公佈與施行
    1. 本政策應經由公告程序,使人員了解個人資料管理政策相關規定,俾利其遵循。
    2. 本政策經「個人資料保護執行小組」修訂及「執行秘書」審查後,送呈「個人資料保護推動委員會」核可後,以書面、傳真、電子郵件或其他適當方式通知本校所屬員工、與本校業務往來及契約關係之廠商,以利共同遵守,修正時亦同。