國立後壁高級中學個人資料安全保護管理要點

115.5.11行政會議訂定

一、目的：

為使本校個人資料管理與保護符合政府法令相關規範，以確保本校個人資料安全，避免個人資料被竊取、竄改、毀損、滅失或洩漏等風險，特訂定本要點。

二、依據：

(一)個人資料保護法。

(二)個人資料保護法施行細則。

(三)教育部個人資料保護管理要點。

三、適用範圍：

本校所有有關個人資料保護相關作業均適用之。

四、本指引用詞定義：

個人資料範圍包含自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

五、本校依個資法第8條規定向當事人蒐集個人資料時，應明確告知當事人以下事項：

(一)機關或單位名稱。

(二)蒐集之目的。

(三)個人資料之類別(例如：姓名、電話、地址等)。

(四)個人資料利用之期間、地區、對象及方式。

(五)當事人依個資法第三條規定得行使之權利及方式：

1.查詢或請求閱覽。

2.請求製給複製本。

3.請求補充或更正。

4.請求停止蒐集、處理或利用。

5.請求刪除。

(六)當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

六、有下列情形之一者，免為前項之告知：

(一)依法律規定得免告知。

(二)個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。

(三)告知將妨害公務機關執行法定職務。

(四)告知將妨害公共利益。

(五)當事人明知應告知之內容。

(六)個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

七、新進人員與職務調動安全管理與訓練：

(一)新進人員需填寫新進人員資安宣導單與保密切結書，保密切結書涵蓋期間包括從業期間與離職後，均應有保密之責任，任何因未遵守本管理規範導致之資料安全意外事件將依相關規定處理。

(二)新進人員應由業務單位施以適當的系統操作訓練，避免資訊不當之誤用等狀況。

(三)處理個人資料檔案之人員，其職務如有異動，應將所保管之儲存媒體及有關資料列冊移交，接辦人員除應於相關系統重置通行碼外，應視需要更換使用者識別帳號。

八、檔案資料之安全管理：

(一)處理含個人資料時，應依據個人資料保護法及相關規定謹慎處理，不得私自蒐集或洩漏，非公務用途嚴禁調閱使用。

(二)各處室個人資料檔案應指定專人負責，以避免個人資料被竊取、竄改、毀損、滅失或洩漏。

(三)個人資料檔案(電子檔案)請依個資法規範，在傳輸與儲存時，必須採取適當的加密機制。

(四)個人資料檔案(紙本)或是儲存資料設備應至於實體安全區域(櫃子上鎖、門禁管控、機房)，避免有心人士或非授權人員存取。

(五)本校以外其他機關或個人索取資料應由正式公文，主管單位應依據個人資料保護法及相關規定予以審查，並簽奉本校首長核准後可提供資料。

(六)依前款所提供之電腦資料，應做成紀錄，並應請該機關確實依照「個人資料保護法」及相關規定，審慎應用處理取得之資料；另提供電腦列印之資料者，應於所提供之資料上須有「本資料僅供參考，請妥慎保管，嚴禁外流」等字樣。

(七)網路公告或引用資料時，應避免公告當事人全名或其敏感資料。

九、委外作業之安全管理：

(一)資訊作業委外時，需與廠商簽訂適當的資訊安全協定及規範相關安全管理責任，並納入契約條款中。

(二)委外廠商需簽訂保密切結書。

(三)維護服務人員須由承辦人員或單位主管陪同並登記，方得進出管制區域。

十、本要點經行政會議討論通過，陳校長核定後實施，修正時亦同。