臺中市立霧峰國民中學個人資料保護管理要點

壹、總則

一、依據：

(一)  中華民國刑法、民法、「個人資料保護法」、「個人資料保護法施行細則」及「行政院及所屬各機關資訊安全管理要點」。

(二)  臺中市政府一百年一月六日中市法諮字第1000000117號函。

(三)  臺中市政府一百年三月十四日中市教秘字第1000000117號函。

二、目的：

為規範本校各處室辦理個人資料保護法(以下簡稱個資法)規定之個人資料之管理、維護與利用，加強個人資料保護措施，規範電腦及文書處理個人資料方式，並促進個人資料之合理利用，防止教職員生人格權及隱私權受侵害，以維全體教職員工及學生身家財產安全與權益，特訂定本要點。

三、定義：

(一) 本要點所稱個人資料，係指個資法第二條第一款之資料。

(二) 個人資料之蒐集、處理或利用，應依個資法第五條規定辦理。

(三) 本要點所稱「校務行政系統」及「相關網站」、「網頁之個人資料」，係指學籍資料、個人成績、各項申請資料或其他有關個人於校園活動所產生之相關資料等。

(四) 本要點所稱「業務執行單位」係指因業務需求而執行校務行政系統及相關網站、網頁之單位。

貳、相關編制

一、成立「個人資料保護執行小組」，並訂定設置要點。

二、指定專人辦理下列事項：

(一)    個資法第十八條所定個人資料檔案安全維護由人事及各處室辦理。

(二)    個人資料保護法之諮詢由人事室辦理。

(三)    個人資料保護事項之協調聯繫由人事室辦理。

(四)    單位內職員工個人資料保護意識之提升及訓練由資訊組辦理。

(五)    損害之預防及危機處理應變之通知由教務處辦理。

三、設置個人資料保護聯絡窗口，辦理事項如下：

(一) 本校與各處室間個人資料保護業務之協調聯繫及緊急應變通報。

(二) 本校發生重大個人資料外洩事件聯繫窗口。

(三) 本校各處室之其他重大個人資料保護管理事項聯繫處理。

(四) 本校教職員個人資料保護聯絡窗口辦理事項，由人事室辦理，工友警衛及家長會由總務處辦理，學生由教務處、學務處及輔導室辦理。

參、使用範圍

一、本校蒐集、處理或利用個人資料之特定目的項目如下：

(一) 001人身保險業務 (依保險法令規定辦理之人身保險相關業務)

(二) 002人事行政管理。

(三) 005公共衛生

(四) 020存款與匯款業務管理。

(五) 026兵役行政

(六) 028社會服務或社會工作

(七) 043退撫基金或退休金管理

(八) 053教育或訓練行政。

(九) 058採購與供應管理

(十) 060統計調查與分析

(十一) 063會計與相關服務。

(十二) 065資訊與資料庫管理。

(十三) 077僱用服務管理。

(十四) 079學生資料管理。

(十五) 081學術研究。

(十六) 082選舉、罷免事務

(十七) 083衛生行政

(十八) 087環境保護

(十九) 089保健醫療服務

(二十) 094其他公共部門

前項特定目的之項目，應依本校業務調整，適時修正之。

二、本校蒐集當事人個人資料時，除符合個資法第八條第二項規定情形之一者外，應明確告知當事人下列事項：

(一) 機關或單位名稱。

(二) 蒐集之目的。

(三) 個人資料之類別。

(四) 個人資料利用之期間、地區、對象及方式。

(五) 當事人依個資法第三條規定得行使之權利及方式。

(六) 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

本校得製作定型化表格，載明應告知事項並經由當事人簽名之方式，辦理前項告知。

三、個人資料之利用，有下列情形之一者，得為特定目的外之利用：

(一) 法令明文規定職掌必要範圍內者。

(二) 為維護國家安全或增進公共利益。

(三) 有正當理由而僅供內部使用者。

(四) 為免除當事人之生命、身體、自由或財產上之危險。

(五) 為防止他人權益之重大危害而有必要者。

(六) 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

(七) 有利於當事人權益。

(八) 經當事人書面同意。

肆、安全維護

一、電子檔案部分：

(一) 個人電腦規範：

1. 個人電腦當事人應妥善保管個人密碼，應設置適當安全度之密碼，加強資料存取控制。教室的電腦，非必要勿讓學生使用。
2. 學務管理系統及網路硬碟使用後，請記得登出，也勿將帳號、密碼記錄在電腦內。
3. 電腦連上網路時須開啟「本機防火牆」，並安裝「系統還原軟體」、「防毒軟體」等，以防駭客入侵或植入木馬程式竊取相關資料。
4. 因業務須要保存個人資料檔案者，應加強安全保護措施，非必要勿存放於硬碟內，若必要時資料檔案須以加密方式儲存，切不可上傳至網路上。
5. 導師、專任教師及特教教師辦公室之公用電腦，禁止儲存個人資料檔案。
6. 電腦及伺服器報廢時須將硬碟等資料儲存設備拔除後方可交由廠商回收。

 (二) 網站伺服器規範：

1. 加強網站伺服器及主機系統安全管理，應設置適當安全度之密碼，設置防火牆封鎖，依職務需求分別設定資料存取權限，並於職務調整或離(休)職時立即修改或取消其權限。
2. 機關網站，未經當事人同意之個人隱私資料及文件，不得上網公布。
3. 機關網站將下列事項公開供公眾查閱：

1. 個人資料檔案名稱。
2. 保有機關名稱及聯絡方式。
3. 個人資料檔案保有之依據及特定目的。
4. 個人資料之類別。

(三) 業務執行單位如有申請個人資料相關電子檔案時，必須辦理登記手續，視情況以資料加密、自動銷毀、匯入系統後刪除等安全方式處理。

(三) 業務執行單位於執行業務時，得進行其管理之個人資料輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理工作，並應加強資料管理與維護之責任，確實遵守「個人資料保護法」及「行政院及所屬各機關資訊安全管理要點」之規範。

(四) 業務執行單位應依本要點及相關法令辦理電腦處理作業及安全維護事項，以防止個人資料被竊取、竄改、損毀、滅失或洩漏。

二、紙本資料部分：

(一) 通訊錄規範：為達成緊急聯絡目的及維持會務運作工作，製作通訊錄如下表，於學年初製作，並於下學年初由製作單位將通訊錄回收並公開銷毀，並請保管人妥為保管勿流出。

(二) 文書檔案之管理確依「檔案法」規定辦理。

(三) 已過期作廢之影印或傳真資料內含個人資料時應即銷毀(用碎紙機或撕碎後分段式丟棄)，不得作為回收紙再使用。

(四)  離開座位時勿將含有個人資料的文件散置於桌面，以防止個人資料遭不當或不法之竊取使用。

(五)  導師對於帶領班級的學生基本個人資料應善盡保管責任，勿輕易外洩。

三、對外機關部分：

 (一) 提供外機關個人資料前，應具有法源依據、遵循主管機關，或是契約規定，並於簽陳　校長核准後傳遞，為避免造成資料外洩、遺失之風險，紙本及電子檔案應加密處理。

 (二) 業務執行單位如辦理教職員工或學生集體活動時，報名表應儘量填寫學校地址和電話；簽訂契約時務必加註「針對個人資料之收集與利用，應遵循處理個人資料保護法之規範」條款，或請其出具「個人資料保護切結書」。

伍、附則

一、本校保有之個人資料有誤或缺漏時，應主動更正或補充之。因可歸責於本校之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。

二、本校保有之個人資料正確性有爭議者，應主動停止處理或利用該個人資料。但符合因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在此限。前項經停止處理或利用之個人資料，保有單位應以書面記錄刪除、停止處理或利用原因及處理情形。

三、 本校保有個人資料蒐集之特定目的消失或期限屆滿時，應主動刪除、停止處理或利用。但符合因執行職務或業務所必須或經當事人書面同意 者，不在此限。前項經刪除、停止處理或利用之個人資料，保有單位應以書面記錄刪除、停止處理或利用原因及處理情形。

四、 本校違反個資法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。前項經刪除、停止蒐集、處理或利用之個人資料，保有單位應以書面記錄刪除、停止蒐集或利用原因及處理情形。

五、 當事人請求就本校蒐集之個人資料，答覆查詢、提供閱覽或製給複製本，應於十五日內作成決定。必要時得予延長，延長期間不得逾十五日，並應於原處理期間屆滿前將其原因以書面通知當事人。當事人經本校核准閱覽其個人資料時，保有該資料處室應派員在場陪同之。

六、個人資料檔案，其性質特殊或法律另有規定不應公開其檔案名稱者，得依政府資訊公開法或相關法律規定，限制公開或不予提供。

七、人事室應針對本校個人資料之保存、遞送，定期進行檢查，並針對可能造成個人資料遺失、外洩、不當使用之作業，要求受檢單位進行改善。

八、資訊組應針對各單位使用之網路磁碟，檢查個人資料電子檔案分享情形，針對可能造成外洩之風險進行稽核作業。

九、個人資料檔案安全維護工作，應符合個人資料保護法及行政院其他相關資訊作業安全與機密維護規範。

十、本校依個資法第四條委託蒐集、處理或利用個人資料者，適用本要點。

十一、發現違法情事，將依中華民國刑法、民法及個人資料保護法等相關罰則辦理，並追究行政責任。

十二、本要點陳奉　校長核可後實施，修正時亦同。