2022年11月21日 星期一

強化資安推動作為

 府教發字第1110281048號

(一)辦理各項委外契約或場地租借使用事項時,應規範承攬廠商或承租人遵守有關大陸廠牌軟體丶硬體及服務之使用限制規定。
(二)請全面清查貴校網站及相關公開資訊所包含之個資檔案,如有未遮罩個人資料,應立即下架並移除搜尋引擎歷史紀錄。(參閱 學校事務、活動涉及個人資料得否公開(利用)之檢視流程及說明)
(三)請於11月底前清查全校物聯網設備(包含但不限於連接校園網路之監視系統主機丶網路攝影機丶網路印表機/影印機丶網路儲存設備丶網路IP分享器)並建立管理清冊,並於112年3月底前改善資安控管情形,包含連線控管(限制於校內存取)丶變更預設帳密丶修補漏洞等措施,否則應禁止連網。

重要資訊系統(包含學校網站丶校務系統等)應遵循教育部資訊資源向上集中規定,由縣網中心提供服務,並請縣網中心建立網頁遭竄改應變機制且納入資安演練。

學校事務、活動涉及個人資料得否公開(利用)之檢視流程及說明

一.背景說明:
各級學校校務行政中,諸如招生考試放榜、競賽成績公布、活動績優表揚、獎懲紀錄公布、相關人事異動等,往往皆以紙本或電子方式公開(利用)相關學生、教師或職員之個人資料。個人資料保護法(以下簡稱個資法)自中華民國101年10月1日施行後,上述個人資料得否公開(利用),應依該法法規辦理。為提供各級學校可資適用之依循,本部研訂個人資料公開(利用)之檢視流程及步驟。
二.個人資料公開 (利用)之檢視流程圖及步驟說明:
(一)流程圖:

(二)步驟說明:
1.步驟一:判斷現行法規是否有明文規定,如有,則依法規規定辦理。(例如依典試法第21條授權訂定之試場規則第8條第1項規定)。
2.步驟二:於無法規明文規定時,則區分公立學校屬公務機關,非由各級政府設置之私立學校屬非公務機關,分別依後列步驟適用個資法相關規定。(法務部101年11月1日法律字第10103109040號函)。
3,步驟三:如屬公務機關(即公立學校,下同)應判斷是否符合個資法第16條規定,如不符,則不予公開(利用)。
4.步驟四:如屬非公務機關(即私立學校,下同)應判斷是否符合個資法第20條第1項規定,如不符,則不予公開(利用)。
5.步驟五:公務機關如符合個資法第16條,非公務機關如符合個資法第20條第1項,則其個人資料之公開(利用)應注意比例原則,不得逾越特定目的或目的外利用之必要範圍,並具有正當合理之關聯。

三.適用法規說明:
(一)按法務部就有關各級公立學校於個資法,究屬公務機關或非公務機關疑義一案,於101年11月1日以法律字第10103109040號函釋「按本法所定之公務機關,係指依法行使公權力之中央或地方機關或行政法人(本法第2條第7款參照)。準此,公立學校如係各級政府依法令設置實施教育之機構,而具有機關之地位,應屬本法之公務機關。至於非由各級政府設置之私立學校,則屬本法之非公務機關」。
(二) 個資法與蒐集、公開(利用)相關之規定:
1.個資法第5條:個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
2.個資法第16條:公務機關對個人資料之利用,除第6條第1項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
(1)法律明文規定。
(2)為維護國家安全或增進公共利益。
(3)為免除當事人之生命、身體、自由或財產上之危險。
(4)為防止他人權益之重大危害。
(5)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(6)有利於當事人權益。
(7)經當事人書面同意。
3.個資法第20條第1項:非公務機關對個人資料之利用,除第6條第1項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
(1)法律明文規定。   
(2)為增進公共利益。
(3)為免除當事人之生命、身體、自由或財產上之危險。
(4)為防止他人權益之重大危害。
(5)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(6)經當事人書面同意。
(三)依個資法第16條本文所稱「法定職務」,就中央而言,依同法施行細則第10條第1款係指「法律、法律授權之命令所定公務機關之職務」;另個資法第16條第1款、第20條第1項第1款所稱「法律」,依同法施行細則第9條係指「法律或法律具體明確授權之法規命令」。
 (四)依個資法第5條、第16條本文及第20條第1項本文規定,應注意個人資料之利用須在「必要範圍」內為之。
(五)法務部網站公布與學校事務相關之問題函示詳如附錄。

附錄:法務部個資法適用相關問題函示:
一、個資法施行後,考生參加考試發生違規事件,一律不得公布違規考生姓名?
公務機關如係依特別法應公布之個人資料類別,尚無庸依個資法衡酌公布個人資料範圍。例如:依典試法第21條規定訂定之「試場規則」,應考人若有違反者,查該規則第8條第1項規定,由辦理試務機關在試區公告違規者之試場、姓名、座號、違規事實及處分。
二、個資法施行後,學校張貼榮譽榜,一律需匿學生姓名?
學校為達成教育或訓練行政目的,於其必要範圍內所為獎勵學生行為,如張貼榮譽榜揭示姓名,符合個資法第16條、第20條利用規定,無需過度遮掩姓名,否則有違個資法第1條規定所稱「促進個人資料之合理利用」意旨。
三、公務或非公務機關可否將員工資料提供供予其他內部員工查詢使用?
機關將員工編號、公務電子郵件信箱等資料提供予其他員工,或供相關員工查詢系統登錄帳號等資料,係屬原蒐集個人資料之特定目的(人事管理)必要範圍內之利用行為。惟提供查詢個人資料時,仍應注意比例原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
四、民意代表基於問政需要,要求公務機關提供資料,公務機關可否提供?
(一)民意代表要求提供受公務機關補助之法人資料:
行政機關及其內部單位有關法人之資料,並非個資法所欲規範之個人資料,不適用個資法。另公務機關有關支付或接受補助之資料,屬於政府資訊公開法所定應主動公開之政府資訊,自應予以公開之。
(二)民意代表或民意機關要求公務機關提供聘用人員名單:
公務機關將已聘用人員名單,提供民意代表作為審查公務機關預算使用時,雖屬特定目的外之利用,惟係為落實民意機關之監督,符合為增進公共利益之必要,公務機關並無違反個資法。
(三)民意代表或民意機關要求公務機關提供懲處人員名單:
公務機關將其懲處人員名單,提供民意代表作為監督公務機關施政使用時,係為增進公共利益,屬於個人資料之合理利用,應符個資法。
(四) 惟民意機關或民意代表就所取得(蒐集)之上開個人資料,仍應在使用(處理、利用)手段、方式等層面,注意比例原則,避免無端外洩,以符個人資料保護目的。


沒有留言:

張貼留言