:::

校園公告

公告主旨 教育部「各級學校使用資通系統或服務蒐集及使用個人資料」注意事項
發佈日期 2021 年 9 月 15 日
發佈單位 資訊組
公告類別 行政公告
公告等級 公告
點閱次數 869
公告內容

學校使用資通系統或服務蒐集及使用個人資料注意事項

臺北市政府教育局來文110年9月10日北市教資字第1103080910號

  • 教育部為保護教職員、學生、家長之權益,特訂定學校使用資通系統或服務蒐集及使用個人資料注意事項(以下簡稱本注意事項)。
  • 各級學校為行政目的使用資通系統或服務蒐集教職員、學生、家長之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規定。
  • 學校為行政目的使用資通系統或雲端資通服務(如Google表單、Microsoft Forms等問卷調查服務)涉及蒐集個人資料者,應注意下列事項:
    • 資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
    • 存取控制:應注意檔案存取權限設定,應採最小權限原則,僅允許使用者依目的,指派任務所需之最小授權存取。
    • 使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用者作答內容(如Google表單不應勾選「顯示摘要圖表和其他作答內容」),避免使用者能瀏覽其他使用者資料,造成個人資料外洩。公佈前應確實做好相關設定檢查,並實際操作測試,確認無誤後再行發布
    • 傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用TLS 1.2以上版本傳輸。
    • 資料儲存安全:如涉及蒐集個人資料保護法第6條之個人資料或其他敏感個人資料,應以加密方式儲存。【個資6-有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。】
    • 應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
  • 各校或其主管機關得依本注意事項,訂定各校相關作業流程規定。

處理個人資料時,應注意以下法規:
(一)個人資料保護法第28條第1項「公務機關違反個人資料保 護法規定,致個人資料遭不法蒐集、處理、利用或其他 侵害當事人權利者,負損害賠償責任。」
(二)個人資料保護法第41條第1項「違反個人資料保護法有關 特種資料的蒐集、處理或利用規定,足生損害於他人 者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」
相關附件