依教育部台教资(四)字第1100122001号函办理。
增列第16项-学校使用资通系统或服务蒐集及使用个人资料注意事项,作为外来文件参考
说明:
一、鉴于学校使用云端资通服务(如Google表单等)蒐集个人资料时,可能因设定不当而增加个资外洩及资安风险,请各校使用资通系统或云端资通服务蒐集教职员、学生及家长个人资料者,应注意以「最小化」为原则,降低风险。
二、另提醒教职员工在处理个人资料时,应注意以下法规:
(一)个人资料保护法第28条第1项「公务机关违反个人资料保护法规定,致个人资料遭不法蒐集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。」
(二)个人资料保护法第41条第1项「违反个人资料保护法有关特种资料的蒐集、处理或利用规定,足生损害于他人者,处二年以下有期徒刑、拘役或科或并科新台币二十万元以下罚金。」
三、学校为行政目的使用资通系统或云端资通服务(如 Google 表单、Microsoft Forms 等问卷调查服务)涉及蒐集个人资料者,应注意下列事项:
(一)资料蒐集最小化:仅蒐集适当、相关且限于处理目的所必要之个人资料,处理及利用时,不得逾越特定目的之必要范围,并应与蒐集之目的具有正当合理之关联。
(二)存取控制:应注意档案存取权限设定,应采最小权限原则,仅允许使用者依目的,指派任务所需之最小授权存取。
(三)使用云端资通服务者,应详阅设定内容,不宜使用者共同编辑个人资料档案清册,并应注意避免设定允许显示其他使用者作答内容(如 Google 表单不应勾选「显示摘要图表和其他作答内容」),避免使用者能浏览其他使用者资料,造成个人资料外洩。公布前应确实做好相关设定检查,并实际操作测试,确认无误后再行发布。
(四)传输之机密性:网络传输应采用网站安全传输通讯协定(HTTPS)加密传输,并使用 TLS 1.2 以上版本传输。
(五)资料储存安全:如涉及蒐集个人资料保护法第 6 条之个人资料或其他敏感个人资料,应以加密方式储存。
(六)应订定个人资料保存期限,并于期限或业务终止后将蒐集之个人资料予以删除或销毁,避免个人资料外洩。
详细清单请参阅 外部文件一览表[校内限阅]
文件档案请参阅 110-003-外部文件[校内限阅]
教育部台教资(四)字第1100122001号函 [校内限阅]
