| 第一條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之。 |
個人資料保護法(以下簡稱本法)第二十七條規定:「(第一項)非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(第二項)中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(第三項)前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。」爰明定本辦法之法源依據。 |
| 第二條 本辦法之主管機關為教育部。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第二條訂定。
二、明定本辦法主管機關。 |
| 第三條 本辦法用詞,定義如下:
一、個人資料管理人:指由校長擔任或指定,負責督導個人資料檔案安全維護計畫(以下簡稱安全維護計畫)訂定及執行之人員(以下簡稱管理人)。
二、個人資料稽核人員:指由校長指定,負責評核安全維護計畫執行情形及成效之人員(以下簡稱稽核人員)。
三、所屬人員:指執行業務之過程必須接觸個人資料之人員,包括定期或不定期契約人員及派遣員工。
前項第一款管理人與第二款稽核人員,不得為同一人。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第四條訂定。
二、為使個人資料檔案安全維護計畫(以下簡稱安全維護計畫)有效運作,爰於第一項第一款明定由校長擔任或指定個人資料管理人。
三、為確保境外臺校安全維護計畫落實執行,爰於第一項第二款明定應指定稽核人員負責評核計畫執行情形及成效。
四、為確保安全維護計畫有效落實,爰於第一項第三款明定本辦法所稱所屬人員為執行業務之過程必須接觸個人資料之人員,包括定期或不定期契約人員及派遣員工,均應依安全維護計畫之相關程序,執行本安全維護計畫。
五、為確保稽核制度獨立性及確實執行,爰於第二項明定管理人員與稽核人員不得為同一人。 |
| 第四條 依海外臺灣學校設立及輔導辦法設立之海外臺灣學校及依大陸地區臺商學校設立及輔導辦法設立之大陸地區臺商學校(以下簡稱境外臺校)應訂定安全維護計畫,落實個人資料檔案之安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
前項計畫,應包括業務終止後個人資料處理方法等相關個人資料管理事項。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第三條訂定。
二、第一項明定依海外臺灣學校設立及輔導辦法設立之海外臺灣學校及依大陸地區臺商學校設立及輔導辦法設立之大陸地區臺商學校(以下簡稱境外臺校),應訂定安全維護計畫,以建立並執行相關個人資料檔案管理程序或機制。
三、第二項明定前項計畫應包括業務終止後個人資料處理方法等相關個人資料管理事項。 |
| 第五條 境外臺校訂定安全維護計畫時,應視其規模、保有個人資料之性質及數量等事項,訂定適當之安全維護措施。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第四條訂定。
二、考量境外臺校規模不一,經營型態未盡相同,尚難作統一規範,且依本法施行細則第十二條第二項規定,所採行之安全措施與所欲達成之個人資料保護目的間,以具有適當比例為原則,爰明定境外臺校訂定安全維護計畫時,應參酌其規模、保有個人資料之性質及數量等事項,訂定適宜並符合比例原則之安全維護措施。 |
| 第六條 境外臺校應於本辦法發布施行之次日起一年內,完成安全維護計畫之訂定,並報主管機關備查。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第五條訂定。
二、明定境外臺校應於本辦法發布施行之次日起一年內,完成安全維護計畫訂定,並報主管機關備查。 |
| 第七條 境外臺校得指定或設管理單位,或指定專人,負責個人資料檔案安全維護;其任務如下:
一、訂定及執行安全維護計畫,包括業務終止後個人資料處理方法。
二、定期就個人資料檔案安全維護管理情形,向管理人提出書面報告。
三、依據稽核人員就安全維護計畫執行之評核,於進行檢討改進後,向管理人及稽核人員提出書面報告。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第五條訂定。
二、依本法施行細則第十二條第二項第一款規定,境外臺校得配置管理人員及相當資源(境外臺校得指定或設管理單位,或指定專人),負責個人資料檔案安全維護,爰明定其任務。 |
| 第八條 境外臺校應確認蒐集個人資料之特定目的,依特定目的之必要性,界定所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料現況。
境外臺校經定期檢視,發現有非屬特定目的必要範圍內之個人資料或特定目的消失、期限屆滿而無保存必要者,應予刪除、銷毀或為其他停止蒐集、處理或利用等適當之處置。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第七條訂定。
二、為保護個人資料及避免發生任意蒐集、處理或利用個人資料之情形,爰於第一項明定依本法施行細則第十二條第二項第二款規定界定個人資料之範圍且個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯。
三、為維護當事人權益,爰於第二項明定境外臺校對個人資料應定期檢視及清查,並為適當處置。 |
| 第九條 境外臺校於蒐集個人資料時,應檢視是否符合前條第一項所定之類別及範圍。
境外臺校於傳輸個人資料時,應採取必要保護措施,避免洩漏。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第八條訂定。
二、第一項明定境外臺校蒐集個人資料,應符合第八條第一項所定之類別及範圍。
三、第二項明定境外臺校如有傳輸個人資料之情事,應採取必要保護措施,避免洩漏。 |
| 第十條 境外臺校應依已界定個人資料之範圍與蒐集、處理及利用流程,分析評估可能產生之風險,訂定適當之管控措施。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第七條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第九條訂定。
二、依本法施行細則第十二條第二項第三款規定,安全維護措施得包括個人資料之風險評估及管理機制,爰明定境外臺校應依其相關業務流程,判斷於蒐集、處理及利用過程中可能發生之風險,並予以管控。 |
| 第十一條 境外臺校於蒐集個人資料時,應遵守本法第八條及第九條有關告知義務之規定,並區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、內容及注意事項,要求所屬人員確實辦理。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十條訂定。
二、明定境外臺校依本法第八條及第九條規定,除有例外免告知事由,應採取適當告知方式以履行告知義務。 |
| 第十二條 境外臺校利用個人資料為宣傳、推廣或行銷時,應明確告知當事人境外臺校名稱及個人資料來源。
境外臺校於首次利用個人資料為宣傳、推廣或行銷時,應提供當事人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用;當事人表示拒絕宣傳、推廣或行銷後,應立即停止利用其個人資料宣傳、推廣或行銷,並周知所屬人員。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十一條訂定。
二、依本法第八條第一項規定,非公務機關向當事人蒐集個人資料時,應明確告知當事人非公務機關之名稱,以利當事人知悉,向其為宣導、推廣或行銷之主體。爰於第一項明定境外臺校利用個人資料行銷時,應明確告知當事人境外臺校之名稱及個人資料來源。
三、為利當事人查知境外臺校利用個人資料行銷,是否符合本法第二十條第二項及第三項規定,爰於第二項明定境外臺校應提供當事人表示拒絕接受行銷之方式及拒絕效果。 |
| 第十三條 境外臺校委託他人蒐集、處理或利用個人資料之全部或一部時,應依本法施行細則第八條規定,對受託者為適當之監督,並明確約定相關監督事項及方式。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第九條訂定。
二、明定境外臺校如將個人資料之蒐集、處理或利用委託他人為之,應對受託人為適當之監督,以使資料之蒐集、處理或利用仍符合法令之要求。 |
| 第十四條 境外臺校於當事人行使本法第三條規定之權利時,得採取下列方式辦理:
一、提供聯絡窗口及聯絡方式。
二、確認是否為資料當事人之本人,或經其委託。
三、有本法第十條但書、第十一條 第二項但書或第三項但書得拒絕當事人行使權利之事由,一併附理由通知當事人。
四、告知是否酌收必要成本費用及其收費標準,並遵守本法第十三條處理期限規定。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十二條訂定。
二、明定境外臺校對於當事人行使本法第三條規定之權利,應遵守本法第三條、第十條、第十一條及第十三條規定,採取相關方式辦理,以保障當事人權利。 |
| 第十五條 境外臺校應訂定應變機制,在發生個人資料被竊取、洩露、竄改或其他侵害事故時,迅速處理以保護當事人之權益。
前項應變機制,應包括下列事項:
一、採取適當之措施,控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況,並以適當方式通知當事人。
三、研議改進措施,避免事故再度發生。
境外臺校應自第一項事故發現之日起三日內,通報主管機關,並自處理結束之日起一個月內,將處理方式及結果,報主管機關備查。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第八條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十三條訂定。
二、依本法施行細則第十二條第二項第四款規定,事故之預防、通報及應變機制為本法第二十七條第一項所稱適當之安全措施之一,爰於第一項及第二項明定個人資料被竊取、洩露、竄改或其他侵害事故發生時,應採取適當應變措施降低對當事人之損害,並通知當事人。
三、第三項明定境外臺校應於事故發現之日起三日內通報主管機關,嗣後亦需研議預防機制及報主管機關備查,以避免事故再次發生。 |
| 第十六條 境外臺校對所保有之個人資料檔案,應設置必要之安全設備及採取必要之防護措施。
前項安全設備或防護措施應包括下列事項:
一、紙本資料檔案之安全保護設施及管理程序。
二、電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統或加密機制。
三、訂定紙本資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需報廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資料。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十二條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十四條訂定。
二、明定境外臺校為確保其所保有之個人資料檔案不被竊取、竄改、毀損、滅失或洩漏,應建立個人資料檔案(包括紙本及電子資料)儲存之防護措施及銷毀程序,必要時採取加密機制,以維護資料安全。 |
| 第十七條 境外臺校為確實保護個人資料之安全,應對其所屬人員採取下列措施:
一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。
二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。
四、所屬人員離職時取消其識別碼,並應要求將執行業務所持有之個人資料(包括紙本及儲存媒介物)辦理交接,不得攜離使用,並應簽訂保密切結書。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十三條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十五條訂定。
二、第一款明定境外臺校應設定接觸個人資料之分級權限,並應定期檢視擁有權限之人員,減少個人資料外洩之可能。
三、第二款及第三款明定對個人資料採取適當之資料安全管理措施,例如加密、個人資料報廢或移轉作其他用途時,應採取適當防範措施並訂定相關使用規範。
四、第四款明定個人資料應避免不當移轉,以降低資料外洩之情形發生。 |
| 第十八條 境外臺校應訂定個人資料檔案安全維護稽核機制,定期或不定期檢查安全維護計畫之執行情形,並將檢查結果向管理人提出報告。
執行前項稽核之人員與第七條指定之專責人員,不得為同一人。
境外臺校應將第一項稽核機制,納入其內部控制及稽核項目中。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十六條、短期補習班個人資料檔案安全維護計畫實施辦法及運動彩券業個人資料檔案安全維護計畫實施辦法第十七條訂定。
二、境外臺校為確保個人資料維護安全措施發生效能,爰於第一項明定境外臺校應訂定安全維護稽核機制,定期或不定期檢查計畫之執行情形;又依本法第五十條規定,對非公務機關之代表人,因該非公務機關依本法第四十七條至第四十九條規定受罰鍰處罰時,除能證明其已盡防止義務者外,應受同一額度罰鍰處罰,並於同項明定境外臺校稽核人員應向管理人提出檢查結果報告,俾利管理人得據以監督計畫之執行事項,落實對個人資料之保護。
三、第二項明定稽核人員與負責規劃、訂定、修正及執行計畫之專責人員不得為同一人。
四、因個人資料檔案安全維護屬內部控制及稽核制度之重要一環,爰於第三項明定境外臺校應將稽核機制納入其內部控制及稽核項目中。 |
| 第十九條 境外臺校執行安全維護計畫各項程序及措施,至少應保存下列紀錄:
一、個人資料之交付及傳輸。
二、個人資料之維護、修正、刪除、銷毀及轉移。
三、提供當事人行使之權利。
四、存取個人資料系統之紀錄。
五、備份及還原之測試。
六、所屬人員權限之異動。
七、所屬人員違反權限之行為。
八、因應事故發生所採取之措施。
九、定期檢查處理個人資料之資訊系統。
十、教育訓練。
十一、安全維護計畫稽核及改善措施之執行。
十二、業務終止後處理紀錄。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十七條訂定。
二、為確認本辦法及依據本辦法所訂定之相關程序是否落實執行,及釐清個人資料於蒐集、處理與利用過程之相關權責,並證明境外臺校確實執行本安全維護計畫,且已盡防止個人資料遭侵害之義務,爰明定境外臺校應保存相關紀錄,以供日後發生問題時提供說明及查驗。 |
| 第二十條 境外臺校對於個人資料蒐集、處理及利用,應定期或不定期對其所屬人員,施以教育訓練或認知宣導,使其明瞭個人資料保護相關法令規定、責任範圍、作業程序及應遵守之相關措施。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十五條、短期補習班個人資料檔案安全維護計畫實施辦法第十八條及運動彩券業個人資料檔案安全維護計畫實施辦法第十九條訂定。
二、明定境外臺校應定期或不定期舉行教育訓練,透過認知宣導及教育訓練使所屬人員均能瞭解個人資料保護相關法令之要求、所屬人員之責任範圍及各種作業程序,以落實本辦法之執行。 |
| 第二十一條 境外臺校業務終止後,其保有個人資料之處理方式及留存紀錄如下:
一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間及地點。 |
一、參酌私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法第十四條、短期補習班個人資料檔案安全維護計畫實施辦法第十九條及運動彩券業個人資料檔案安全維護計畫實施辦法第二十條規定訂定。
二、明定境外臺校於業務終止後,其保有個人資料之處理方式及應留存之紀錄。 |
| 第二十二條 境外臺校應參酌安全維護計畫執行狀況、技術發展、法令依據修正等因素,檢視所定安全維護計畫是否合宜,必要時應予以修正。 |
一、參酌短期補習班個人資料檔案安全維護計畫實施辦法第二十條及運動彩券業個人資料檔案安全維護計畫實施辦法第二十一條訂定。
二、明定境外臺校應參酌相關因素,依據實務運作及法令變化等情形,檢視或修正安全維護計畫。 |
| 第二十三條 本辦法自發布日施行。 |
本辦法施行日期。 |