個人資料保護法基本觀念介紹及 校務行政 因應規劃

個人資料保護法基本觀念介紹及 校務行政因應規劃

南崗國中 資訊組 整理 101.06.14

參考資料 :

1. 鍾沛原：個資法簡介2. NII 產業發展協進會：教育部 100 年提升校園資訊安全服務計畫

1

2

個人資料保護法

Introduction

第五章結 論

第三章個資法基本介紹

第四章學校可能接觸到的

個人資料

第一章前 言

Contents

第二章什麼是個人資料

【 2010.04.27三讀通過】【 2010.05.26總統公佈】【 2012年 7 月由行政院公布實行】

個人資料保護法源起

4

個人資料保護法源起 (cont.)

電腦處理個人資料保護法 → 個人資料保護法 （以下簡稱舊法） （以下簡稱新

法） 個資法保護對象：包括數位化資料 + 人工資料

84.08.11舊法

99.05.26新法

姓名 :王小明生日 :06月 06日

姓名 :王小明生日 :06月 06日

姓名 :王小花生日 :89.06.15班別 :204

施行日期 :待行政院公佈( 估計 2012年 7月 )

http://www.hudong.com/versionview/uAwgHUUNYUlFfWVsEDwJWRg**, 檢索日期 :2010.06.15

姓名 :王小花生日 :89.06.15班別 :204

輔導訪談紀錄輔導訪談紀錄

國內新聞：彰化縣府網站，洩原民學生個資

壹、前言

國內新聞：教官陳情個資曝光，教育部判賠

7

國內新聞：病歷當廢紙賣，醫院可能觸犯個資法

http://news.cts.com.tw/cts/society/200603/200603270195607.html，檢索日期 :2010.06.15

8

國內新聞：學生駭客修改網站，可能影響個資防護

http://video.chinatimes.com/video-bydate-cnt.aspx?cid=4&nid=21168, 檢索日期 :2010.06.14

9

國內新聞：學校網站洩露師生個人資料

10

國內新聞：非病患調閱病歷，醫院應加以確認

http://www.libertytimes.com.tw/2009/new/jun/28/today-south3.htm ，檢索日期： 2010.06.14

11

貳、什麼是個人資料 個人資料是一種可以讓大家更加了解我的資訊

WHEN

WHAT

HOW

WHO 王小花，女生

今年 7 歲

1. 家中有爸爸、媽媽和我2. 就讀 oo 國小一年級3. 身高 120 公分 , 體重 40 公斤

電話 :2577-4249地址 : 台北市八德路 3 段 2 號 3F

12

貳、什麼是個人資料 (cont.)

個人資料保護法修正後的個人資料範疇

自然人的•姓名•出生年月日•身分證號碼•護照號碼•特徵•指紋•婚姻•家庭•教育•職業•病歷•聯絡方式•財務情況•社會活動

一般資料一般資料

• 醫療• 基因• 性生活• 健康檢查• 犯罪前科

• 得以直接或間接方式識別該個人之資料

特種資料特種資料

其他資料其他資料

13

肆、個資法說明

14

肆、個資法說明 (cont.)

15

肆、個資法說明 (cont.)

16

肆、個資法說明 (cont.)

17

肆、個資法說明 (cont.)

18

肆、個資法說明 (cont.)

19

肆、個資法說明 (cont.)

20

肆、個資法說明 (cont.)

21

肆、個資法說明 (cont.)

22

1. 我方查明後應以適當方式通知當事人 ( 新法第 12條 )

2. 建議為降低個資外洩所造成之損害，仍應於事故發生當下先行通知當事人

個資外洩 我方因應 訴訟程序

肆、個資法說明 (cont.)

罰則—加重任民事、刑事、行政責任 企業、團體或個人若違反個資法，最重受刑法處罰為 5年以下有期徒刑；民事賠償最高達新台幣 2 億元

1. 公務機關 : 無過失損害賠償責任 ( 第 28條 )2. 非公務機關 : 舉證責任倒置之過失責任 ( 第 29條 ) 同一原因事實應對於當事人負損害賠償責任者， 原則上依實際能證明損賠額賠償 如無法證明時，每人每一事件 500-20000元， 最高賠償額新台弊２億元為限 行為人是否有故意過失之判斷應由公正第三人判斷之

1. 公務機關 : 無過失損害賠償責任 ( 第 28條 )2. 非公務機關 : 舉證責任倒置之過失責任 ( 第 29條 ) 同一原因事實應對於當事人負損害賠償責任者， 原則上依實際能證明損賠額賠償 如無法證明時，每人每一事件 500-20000元， 最高賠償額新台弊２億元為限 行為人是否有故意過失之判斷應由公正第三人判斷之

刑事處罰：最重刑責 5 年 ( 第 41 、 42 條 )1.犯罪行為 無營利行為 ：處 2 年以下有期徒刑 拘役或併科 NT20萬元以下罰金 意圖營利行為：處 5 年以下有期徒刑 拘役或併科 NT100萬元以下罰金2.告訴乃論之罪3.處罰對象 中華民國境內或外之中華民國人民 公務人員假借職務上之權力機會或方法犯本章之罪者，加重其刑至 1/2

刑事處罰：最重刑責 5 年 ( 第 41 、 42 條 )1.犯罪行為 無營利行為 ：處 2 年以下有期徒刑 拘役或併科 NT20萬元以下罰金 意圖營利行為：處 5 年以下有期徒刑 拘役或併科 NT100萬元以下罰金2.告訴乃論之罪3.處罰對象 中華民國境內或外之中華民國人民 公務人員假借職務上之權力機會或方法犯本章之罪者，加重其刑至 1/2

23

肆、個資法說明 (cont.)

24

肆、個資法說明 (cont.)

25

参、學校所可能接觸到的個人資料 學校可能接觸到的個人資料，舉例有：

學生個資班級通訊錄：（ ex ：學生姓名、生日、血型、家長姓名、家庭成員、電話、地址等資料 ）

學務系統：（ ex ：同上內容 +缺曠紀錄、成績記錄、輔導紀錄、家庭狀況等資料）

紙本個人資料電子個人資料

學生輔導記錄表、學生健康管理系統教職員個資： （ ex ：教職員工基本資料）

校務行政相關的個人資料 (cont.)

26

教職員人事資料

家長聯絡方式

家庭狀況

學生學業與操行成績資料

健康檢查

學生輔導紀錄表之 AB卡資料

學生基本資料

獎懲及違規紀錄

病歷紀錄

學生申請補助

教職員出缺勤紀錄

清寒家庭身分

導師 行政人員 司法單位 ( 調閱輔導紀錄 )

導師 行政人員 司法單位 ( 調閱輔導紀錄 )

導師行政人員

協助作業的學生

導師行政人員

協助作業的學生

27

將個資移轉至其他單位如：學測承辦學校、

體育競賽官網

將個資移轉至其他單位如：學測承辦學校、

體育競賽官網

受託代為維護委外電腦廠商指定資料管理(學生健康管理系統 )

受託代為維護委外電腦廠商指定資料管理(學生健康管理系統 )

接觸人員 調閱 / 函調

其它 委外

學生個資學生個資

参、學校所可能接觸到的個人資料 (cont.)

1. 個資保護守則

一、個人資料檔案應定期備份，並防止個人資料被竊取、竄改、毀損、滅失或洩漏。

二、個人資料輸入、輸出、更新或註銷時，應該釐定使用範圍，以及調閱或存取的權限。

三、個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼。個人資料檔案使用完畢後，應即退出應用程式，不得留置於電腦中。

28

定期備份

設定範圍

帳號密碼

校務行政因應 - 個資保護守則

1. 個資保護守則 ( 續 )

四、 含有個人資料的紙本，運用於申請、列印、存檔、轉交及銷毀等行為，應建立相關之授權、監督及行為記錄的機制。

五、 內部傳遞或與其他機關交換個人資料時，應在實體文件封袋上，加上彌封；或對電子資料檔案壓縮加密，並加以記錄檔案的流向。

六、 對於調閱個人資料的人，加以記錄其調閱身分及行為。調閱紀錄可視機關實際需求存檔，以利後續人員查詢及追蹤。

七、 機關學校單位管理之網站或網頁內容，於確有必要公布個人資料時，需經所屬單位主管核准，且依相關法律及規範處理，才能公布。

29

建立程序

彌封加密

紀錄追蹤

審核公布

校務行政因應 - 個資保護守則 (cont.)

3. 人員管理

一、 機關學校應對處理個人資料的人員，施予教育訓練，並定期於單位內宣導個資隱私保護之重要性。

二、 處理個人資料之人員，其職務如有異動，應將所保管之資料移交。而接辦人員應重置通行碼，也應視需要更換使用者識別帳號。

三、 處理個人資料的人員，應簽訂保密切結書，並確認於離職或合約終止時，取消其使用者識別帳號，且收繳其通行證及相關證件。

30

持續訓練

帳密更換

權限取消

校務行政因應 - 人員管理 (cont.)

31

伍、結論

個人資料

個人資料

個人資料

個人資料 學生

個人資料

個資法帶來的影響1. 只要擁有個人資料，就有責任。2. 確立握有個人資料的行政處室、管理者必須善盡保管之責。

3. 不單是執行部門的守護，應提昇所有人共識，正視個人資料的保護。