個人資料保護政策

1. 110學年度個資管理專人教育訓練
個人資料清查與風險評鑑作業
上課日期/時間：110年05月19日 10：00~12：00
14：00~16：00
講師：賴東熙顧問
台南應用科技大學

2. 1
個人資料清查與風險評鑑作業
一、法令依據與個資專人責任

3. 2
個人資料保護法之法律主管機關
• 國發會於107年5月24日行政院第3601次院會報告因應GDPR施行之相關
作為後，行政院即責成國發會成立「個人資料保護專案辦公室」，以
加強跨部會因應GDPR事宜之協調整合，並負責統籌各部會向歐盟申請
適足性認定事宜。另一方面，行政院亦指示個人資料保護法制之主政
機關與跨部會協調工作由「個人資料保護專案辦公室」承接。

4. ◆ 「個人資料保護法施行細則」第十二條第二款、第三款規定
➢ 界定個人資料之範圍
➢ 個人資料之風險評估及管理機制
◆ 教育體系資通安全暨個人資料管理規範-附錄B 個人資料管理規範<B.4個人資
料之識別與風險管理>
➢ 單位應維護一份個人資料清冊，每年至少重新清查並更新一次
➢ 個人資料風險評鑑應依據本規範柒、三規劃內所建議之風險評鑑與處理流
程，與附件建議之風險評鑑方法來評估當事人因個人資料處理而可能面臨
的風險等級
◆ 本校「個人資料清查與風險管作業說明書」
個資清查與風險評鑑依據法令
3

5. 個資管理專人的責任
• 個資盤點作業：個資流程鑑別、個資清冊建立
• 個資風險評鑑作業：鑑別違法及高風險個資作業
• 個資風險處理：風險處理計畫
• 個資生命週期管理：蒐集、處理、儲存、利用、銷毀
• 個人資料保護業務之協調聯繫
• 個資事故緊急應變及通報
• 個資管理機制的推展
• 單位人員教育宣導
• 委外管理：合約、人員、合約終(中)止個資處置
4

6. 5
個人資料清查與風險評鑑作業
二、個資清查須具備之個資法律概念

7. 我國個人資料保護法架構圖
6

8. 個資法所稱之個人資料
其他
特種
個資
一般
個資
自然人
․姓名
․出生年月日
․國民身分證
統一編號
․護照號碼
․特徵
․指紋
․婚姻
․家庭
․教育
․職業
․聯絡方式
․財務情況
․社會活動
․病歷
․醫療
․基因
․性生活
․健康檢查
․犯罪前科
得以直接或間接方式
識別該個人之資料
7

9. 8
個人資料類別清單

10. 出生年月日
家庭
健康健查
基因
身分字號
職業
護照號碼
通訊地址 教育
社會活動
個人資料保護法
處理
蒐集
利用
指以任何方式取
得個人資料
指為建立或利用個人資料檔案所為資料之記
錄、輸入、儲存、編輯、更正、複製、檢索、
刪除、輸出、連結或內部傳送
指將蒐集之個人資料為處
理以外之使用
國際傳輸
將個人資料作跨國（境）
之處理或利用
個資法所指行為定義
9

11. 蒐集、處理
本法第19條符合特定情形之一者：
1.法律明文規定
2.有契約或類似契約之關係
3.當事人自行公開或合法公開
4.學術研究(基於公共利益)
5.當事人同意
6.為增進公共利益有關
7.個人資料取自於一般可得之來源
8.對當事人權益無侵害
利用
特定目的
本法第20條 - 特定目的外之利用：
1.法律明文規定
2. 增進公共利益
3.為免除當事人之生命、身體、自由或財上之危險
4.為防止他人權益之重大危害
5.學術研究(基於公共利益)
6.經當事人同意
7.有利於當事人權益
特定目的
（不得逾越特定
目的之必要範圍）
特種個資
第6條規定
應於蒐集之特定目的必要範圍內為之
蒐集、處理與利用個資之規範(非公務機關)
特種個資
10

12. 11
個人資料特定目的

13. 特種個資限制使用
•個資法第6條
•有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理
或利用。
可使用特種個資之例外情形
•法律明文規定。
•公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當
安全維護措施。
•當事人自行公開或其他已合法公開之個人資料。
•公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有
必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
•為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後
有適當安全維護措施。
•經當事人書面同意。
特種個資之蒐集、處理利用
12

14. UBER違法蒐集個人行蹤
違法蒐集個資案例
13

15. 14
合法蒐集違法利用案例
• 資訊公開的判決書，民眾下載拿來張貼，最後竟然違反「個資法」被
判刑。台北市一名許姓男子，因為跟鄰居不合，知道對方曾經犯下傷
害案件，竟然把判決書影印下來，附上照片做成海報，投放在其他鄰
居的信箱，等對方發現立刻提告。律師說，其實影印司法文書沒有問
題，但要看在「用在哪裡」，用錯地方就會面臨五年以下有期徒刑。

16. 第8條
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告
知當事人下列事項：
應告知事項 得免為告知之情況
一、公務機關或非公務機關名稱 一、依法律規定得免告知
二、蒐集之目的 二、個人資料之蒐集係公務機關執行法定職務
或非公務機關履行法定義務所必要
三、個人資料之類別 三、告知將妨害公務機關執行法定職務
四、個人資料利用之期間、地區、對象
及方式
四、告知將妨害第三人之重大利益
五、當事人依第三條規定得行使之權利
及方式
五、當事人明知應告知之內容
六、當事人得自由選擇提供個人資料時，
不提供將對其權益之影響
六、個人資料之蒐集非基於營利之目的，且對
當事人顯無不利之影響。
直接蒐集告知事項
15

17. 告知事項方式及同意意涵
1.告知方式(施行細則第16條)
以言詞、書面、電話、簡訊、電子郵件、傳真、電子
文件或其他足以使當事人知悉或可得知悉之方式為之。
2.同意意涵
個資法第七條規定：公務機關或非公務機關明確告知
當事人第八條第一項各款應告知事項時，當事人如未表
示拒絕，並已提供其個人資料者，推定當事人已依第十
五條第二款、第十九條第一項第五款之規定表示同意。
蒐集者就本法所稱經當事人同意之事實，應負舉證責任。
16

18. 17
個人資料保護法告知事項範例
• 個資告知事項範例

19. 1.查詢或請求閱覽(15天)
2.請求製給複製本(15天)
3.請求補充或更正(30天)
4.請求停止蒐集、處理或利用(30天)
5.請求刪除(30天)
當事人對
個資的權利
（不得預先拋棄或以
特約限制）
執行職務或業務所必須或
經當事人書面同意者
得拒絕
一、妨害國家安全、外交及軍事
機密、整體經濟利益或其他國家
重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之
重大利益。
得拒絕
當事人對個資的權利
18

20. 19
個人資料保護-委外管理
• 個資委外受委託單位的監督
第4條
受公務機關或非公務機關委託蒐集、處理或利用個人資料者於本法適
用範圍內，視同委託機關
施行細則—委託機關對於受託人的監督義務，委託契約中，明訂下列事項：
1.預定蒐集、處理或利用個人資料之範圍/類別/特定目的/及其期間
2.受託人應採取個資安全維護的必要措施
3.有複委託者，其約定之受託者
4.受託人違反法規或契約條款之通知事項及採行之補救措施
5.委託人保留指示之事項
6.委託關係終止或解除之個人資料載體返還及受託者履行委託契約以儲存
方式而持有之個人資料之刪除

21. 違反個資法之民刑事責任
20
行政責任(非公務機關)
•非法蒐集、處理、利用、侵害及不配合主管機關檢查罰2~50萬元罰鍰
•主管機關檢查、扣留、複製等手段查核並可為禁止、刪除、銷毀、公布等處分
•非公務機關之代表人、管理人，除能證明已盡防止義務者外，應受同一額度罰鍰
刑事責任
•意圖為自己或第三人不法之利益或損害他人之利益，違反蒐集、處理、
利用或妨害個人資料檔案之正確足生損害於他人者處五年以下有期徒
刑，得併科新臺幣一百萬元以下罰金。
民事責任
•20人以上可團體訴訟
•不能證明其實際損害額時每人每一事件新臺幣五百元以上二萬元，同一事件最高
總額以新臺幣二億元為限，可證明損害總額逾前述金額時不受限。
2022/5/20

22. 個資法施行細則明訂安全維護事項
21

23. 個資法施行細則明訂安全維護事項
22

24. 5.1 是否設立個資保護管理推動組織，且配置個人資料管理人員與適當資源？
5.2
是否明確界定個人資料範圍？是否針對個人資料檔案進行內/外部環境與作業流程分析，以鑑別與個資
有關之流程或應用系統，且落實執行個資盤點？
5.3 是否定期執行個人資料之風險評估與衝擊分析？
5.4 是否訂定個人資料蒐集、處理及利用之內部管理程序？
5.5
是否建立個人資料安全管理安控機制？機制內容是否包含存取權限、資料安全、人員管理及設備安全
管理等（如：個人資料之傳送是否採取加密等保護機密性、是否確保個人資料之完整性等)？
5.6
是否針對個人資料相關設備進行安全管理(如：相關儲存媒體、設備是否有安全處理程序及分級標示、
報廢程序等)？
5.7
是否建立個人資料事件之預防、通報及應變機制？是否訂定營運持續計畫，以因應資料外洩或違反隱
私權等事件？
5.8 是否辦理個人資料保護之認知宣導與教育訓練？
5.9
是否建立個人資料安全稽核機制(包含對委外供應商之稽核，確保委外作業建立必要的個資管理流程、
程序及安全控制措施等)？
5.10 是否建立個人資料使用紀錄、軌跡資料及證據保存相關管理機制？
5.11 是否訂定個人資料安全維護之整體持續改善方案(如：個人資料管理審查會議或PDCA流程等)？
行政院、主管機關(教育部)個資稽核檢查

25. 24
個人資料清查與風險評鑑作業
三、個資流程鑑別作業

26. ➢範圍:單位日常作業與執行業務所接觸之個人資料相關業
務及活動
➢業務主管單位：負責完整業務流程清查與風險險評鑑作業。
➢非業務主管單位：清查經手業務部份（流向只清查來源及
下一流向）。
➢作業時機
• 每年個人資料清查及風險評鑑至少一次。
• 業務有增加、變更(修訂、移轉、終止)，應同步調整
「業務流程分析表」、「個資清冊」、 「風險評鑑
表」。
個人資料清查及風險評鑑範圍
25

27. 業務流程清查
• 清查涉及個資相關業務，由下列方向清查：
• 學校、單位行事曆、個資生命週期（以各類身分）
• 業務職掌（單位、 個人）
• 學校、單位網站
• 內控文件
• 作業規定
• 資訊系統
• 卷夾、文件、電腦檔案
• 清查範圍
• 業務主管單位：完整業務流程
• 非主管單位：經手業務部份（含來源及下一流向）
• 細部流程展開：依規定、流程圖表、實際作業
26

28. 清查範例
• 以學校行事曆、個資生命週期清查（以新生）
招生
活動
招生
考試
註冊
報到
選課
健檢
…
畢業
招生
•校園參訪
•高中職招生宣傳
•升學博覽會
•境外招生
招生考試
•聯合招生
•四技獨招
•夜校招生
•在職班招生
•轉學考
註冊報到
•註冊作業
•新生報到
其他學生在校
期間各類活
動….
27

29. 個人資料管理系統
網址：http://pims.tut.edu.tw/Manager/Login.aspx
28

30. 業務流程分析表填寫操作說明
業務流程分析輸入畫面
29

31. 業務流程分析表填寫說明
• 編號：單位代碼-流程編號-次流程編號(系統自動編碼)
• 業務流程名稱：業務名稱（如即評即測及發證業務、 日間部聯合招生作業、
教師升等、 …）
• 業務流程細項名稱：業務展開後之細項流程名稱（如：即評即測及發證業務：
報名、 資格審查、 造冊及座位編排、 考試事務、 成績作業、 製證發證）
• 流程細項中之個資檔案名稱：蒐集、產製、使用之個資表單（含附件、 影
本） 、檔案、資訊系統
• 法律依據上級規定或內部規定：作業依循之規定，包含法律規定條文、上級
（政府或主關機關）之命令規定、內部規定（學校自訂之規定） 、契約或同
意書（以上可複選）
編號 業務流程名稱 業務流程細項名稱 流程細項中之個資檔案名稱 法律依據上級規定或內部規定
AAA-001-004學生成績管理 成績單申請
1.成績單自動列印申請機（連接校務系
統）
2.學期成績單
3.歷年成績單(中、英文版)
4.軍訓成績證明書
5.教育學程成績證明書
■法令：大學法、學位授予法
□上級命令、規定：
■內部規定：XXXX大學學生成績管理辦
法
□契約或同意書：
30

32. 31
法律依據找尋方法
• 先自學校內部法規、辦法、簡章、須知找到對應之依據。
• 再由上述內容之依據項上找到教育部或上級規定、或法令
• 自教育部或上級規定內之依據找到相關法令
• 如學校內部法規、辦法、簡章、須知未提列到依據，則至
Google以關鍵字+教育部查詢，找到教育部相關規定
• 或至教育部主管法規系統查詢
• 教育部法規彙編

33. 法律依據找尋方法示範
32

34. 33
個人資料清查與風險評鑑作業
四、個資清冊建立

35. 個資清冊填寫操作說明
個資清冊輸入畫面
34

36. 個資清冊填寫說明
• 編號：單位代碼-流程編號-次流程編號-檔案編號(系統自動編碼)
• 個人資料檔案名稱：由業務流程分析表帶入，原則一檔案一筆可含該檔案附件
（如xxx獎學金申請表（含成績單…））
• 業務流程名稱、業務流程細項名稱：由業務流程分析表帶入
• 個資主體：個資內容的主體群別（如在校學生、 校友、 家長、 教師、 職員、
工讀生、 廠商）
• 法律依據上級規定或內部規定：由業務流程分析表帶入區分
• 檔案形式：係指該項個人資料檔案存在之形式
流程鑑別資訊 個人資料基本資訊
編號
個人資料
檔案名稱
業務流程名稱
業務流程
細項名稱
個資主體 法律依據上級規定或內部規定
檔案
形式
AAA-001-001-
001
校務資訊系
統-資料庫
檔案
學生成績資料建立
校務資訊系統
-成績管理
學生
■法令：大學法、學位授予法
□上級命令、規定：
■內部規定：XXXX大學學生成績管理辦法
□契約或同意書：
□電子
□紙本
■資料庫
35

37. 個資清冊填寫說明
• 特定目的：依法務部制定之特定目的編號填入
• 個人資料類別：個人資料檔案內容的欄位對應到法務部制定之個人資料類別清單中之類
別
• 個人資料(欄位) ：個人資料檔案內包含欄位（如為證件類填入證件名稱）
• 個資價值：該項個人資料的敏感程度，評估方式如附表
• 保存方式：將個資紙本、電子檔案、資料庫(資訊系統)現存放單位及已保存防護方式分
別勾選(可複選)。
• 保存期限：鑑別單位保有個人資料檔案之期限是否有法源依據或內部規定，並填入年限。
• 個資數量(約) ：目前個資儲存數量
個人資料基本資訊
特定
目的
個人資料
類別
個人資料(欄位)
個資
價值
保存方式 保存期限 個資數量(約)
一○九、一五八
Ｃ○○一、Ｃ○五一、
Ｃ○五七
姓名、學號、系所、班級、
課程名稱、成績
3
保存單位：
紙本：□資料櫃 □倉庫 □檔案室 □其
他 .
電子檔案：□加密 □備份 □其他 .
資料庫：■權限管控 □其他 .
永久
□20以內
□500以內
□2000以內
■2000以上
36

38. 個資清冊填寫說明
• 管理單位：該項個人資料業務管理單位（如工讀金學務處）
• 個資處理人：該項個人資料經手處理人員（可寫職位名稱）
• 個資控管人：具該項個人資料核定、生命週期之控制人員(一般為單位主管2級)
• 個資行為：
➢ 蒐集：該項個人資料由本校以外單位取得（包含當事人）
➢ 處理：（本項必勾）該項個人資料有建立或利用個資檔案所為資料之記錄、輸入、
儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送等行為
➢ 利用：該項個人資料檔案有交付學校以外之單位、 個人（含當事人 ） 或公告、
或利用提供之聯絡方式進行聯絡。
個人資料基本資訊 行為
管理單位 個資處理人 個資控管人 個資行為
教務處註冊組 XXXX 註冊組組長
□蒐集
■處理
■利用
□國際傳輸
37

39. 個資清冊填寫說明
• 告知方式：該項個資蒐集時（間接收集於首次處理、 利用是否有告知），依
選項選擇。
• 告知名稱或文件編號：如有告知需填入告知聲明的名稱或編號（如是附在簡章、
辦法、 申請表內無特別名稱則將該簡章、 辦法、 申請表填入）
• 告知內容及時機是否符合個資法第八條或第九條規定：如完全符合勾選第1項，
如不完整將告知內容包含哪些進行勾選
告知檢查
告知方式 告知名稱或文件編號 告知內容及時機是否符合個資法第八條或第九條規定
■未告知
□言詞書面
□電話
□簡訊
□電子郵件
□傳真
□電子文件(含網頁)
□其他: .
□符合
□機關名稱
□蒐集目的
□個資類別
□利用之期間、地區、對象及方式
□個人權利及行使方式
□不提供將對其權益之影響
38

40. 個資清冊填寫說明
• 來源提供/建立者及單位：個資從哪裡取得的單位名稱（如自建、當事人、 教
育部、 聯招會、 內部單位(需寫單位名稱2級)
• 內部傳輸接收者及單位：內部會接觸該項個資檔案的單位名稱（業務主管單位
需寫出全部、 經手單位只要寫傳送出去的單位）
• 外部傳輸接收者及單位：如有將該項個資檔案或部分內容傳外部單位。
• 匯入/資料輸入之系統名稱：該項個資檔案有匯入或將內容輸入資訊系統（含
內外部系統）將該系統名稱填入 。
處理：個人資料流向(紀錄個資流向)
來源/建立單位 內部傳輸接收者及單位 外部傳輸接收者及單位
匯入/資料輸入
之系統名稱
老師 註冊組 學生 校務資訊系統
39

41. 個資清冊填寫說明
• 利用對象：個資檔案交付的第三者或當事人、或公告
• 超出特定目的外利用是否依照個資法 § 20 條：填入利用目的，並勾選適用之
依據（有目的外利用才會出現本項） ，依據未勾視同違法利用。 （如英檢未
過人員寄英語訓練班次通知給當事人）
• 是否訂定監督條款：如個資有委外填寫合約內是否一個資法施行細則訂定監督
條款
利用：利用檢查
(有利用才寫)
個資委外
(有才寫)
利用對象 特定目的外利用 是否訂定監督條款
學生
目的： .
□法律明文規定
□經當事人同意
□為免除當事人之生 命、身體、自由或 財產上之危險
□公共利益統計或學術研究
□為維護國家安全或 增進公共利益
□為防止他人權益之重大危害
□有利於當事人權益
□是
□否
40 40

42. 41
個人資料清查與風險評鑑作業
五、個資風險評鑑作業

43. 個人資料檔案風險評鑑操作說明
系統會出現個資之行為，並自動判斷適用性建議，適用者會出現紅色，該項請按
「修改」將適用性改為「適用」
42

44. 個人資料檔案風險評鑑彙整表填寫
說明
• 個人資料檔案風險評鑑彙整表：
• 依個資清冊每筆個資檔案均須列入風險評鑑表
• 個資檔案風險評鑑由個資價值、衝擊程度與發生的可能性等三個
因素來決定個資檔案的風險值
43

45. 個資風險評鑑方法
• 評鑑風險別(風險評鑑因子)：個資檔案評鑑風險別，由行政小組檢討
本校個資可能遭遇之風險因子（基本包含1.『個資被竊取、洩漏』、2.
『個資被竄改、損毀、滅失』、3.『蒐集處理未完整履行告知、同意
義務』、4.『個資利用違法風險』、5『個資委外風險』等5項）設定
於系統，各單位分別依「個資清冊」每項個資檔案針對各項風險進行
風險評鑑，如不適用擇該項因子免評。
• 個資行為與適用性對應：
• 保存：1、2適用 -不保存則不適用
• 蒐集：3適用 -無蒐集則不適用
• 利用：4適用 -無利用則不適用
• 個資委外：5適用 -個資未委外蒐集、處理、利用則不適用
44

46. 個人資料檔案風險評鑑彙整表填寫說明
• 個資價值：由個資清冊值自動帶入。
• 衝擊程度：當個資檔案發生外洩等事故時可能對個方面所產生的衝擊
影響，包含「對學校財務影響程度」、「對學校形象影響程度」、
「對法律遵循影響程度」等3個構面分別評估取最高值
• 可能性：為該個資檔案發生如外洩等事故的可能性高低（以過去以發
生之機率進行估）。
45

47. 衝擊程度評估準則
衝擊
程度
4 3 2 1
對學校
財務影
響程度
所含個資檔案
2000 筆 (含)以
上，若發生損害
賠償 對學校財
務影響非常大
（最少1百萬以
上）
個資檔案500筆(
含)以上2000 筆
以下，若發生
損害賠償對學校
財務影響範很大
（最多1百萬~4
千萬）
個資檔案 500 筆
以下，若發生損
害賠償對學校
財務有影響（最
多25萬~1千萬）
個資檔案 20 筆
以下，若發生損
害賠償對學校
財務影響輕微
（最多1萬~40
萬），或個資為
可公開或去識別
化對學校無財物
應響。
46

48. 衝擊程度評估準則
衝擊
程度
4 3 2 1
對學校
形 象影
響程 度
若發生個資安全
事故，將導 致
機關形象、信譽
受到非常 嚴重
損害，可能遭致
電視媒體及國際
媒體的負面報導，
受行政機關關切。
若發生個資安全
事故，將導 致
機關形象、信譽
受到嚴重損害，
可能遭致平面或
地方媒體的負面
報導，受教育機
關關切。
若發生個資安全
事故，將導 致
機關形象、信譽
受到輕微 損害，
僅受校內主管關
切。
對學校聲譽無影
響
47

49. 衝擊程度評估準則
衝擊
程度
4 3 2 1
對法律
遵 循影
響程 度
違反個資法規
定及要求，發
生訴訟涉及民
事求償及刑事
罰則
違反個資法規
定及要求，發
生訴訟僅涉及
民事求償未涉
及刑事罰則
符合個資法基本規定及
要求，惟處理過程尚有
小瑕疵，例如：
1.個資蒐集、處、利用
資料有過當之疑慮
2.告知聲明事項有缺漏
3.未建立當事人行使權
利之機制
符合個資法
規定及要求
48

50. 可能性評估準則
4 3 2 1
1.年 度 內 曾 發 生
類似的事件2件
以上。
2.每 年 發 生 違 失
個 資 筆 數 高 於
500筆以上。
1.年度內曾發生一
件類似的事件。
2.每年發生違失個
資筆數低於500筆。
3年內曾發生一件
類似的事件。
3年以上未曾發
生類似的事件。
49

51. 風險值計算
• 衝擊程度= MAX(衝擊構面 1，衝擊構面 2，衝擊構面 3)
• 風險值 =個資價值 * 衝擊程度 * 可能性
50

52. 風險值計算範例
• 個資價值 = 2
• 衝擊程度 = Max(2,3,2) = 3
• 可能性 = 2
• 風險值 = 2*3*2 = 12
個資價值
評定 2
衝擊程度
對學校財務影
響
對學校形象影
響
對法律遵循影響
評定 2 3 2
可能性
評定 2
51

53. 52
個人資料清查與風險評鑑作業
六、個資風險處理計畫

54. 風險管理
• 風險評估完成後由行政小組彙整各單位風險評估結果，並撰擬風險評
估報告，陳報「個人資料保護推動委員會」審查及簽呈校長核定。
• 風險值訂定：本校可接受風險值訂為16以下，及法律遵循影響程度低
於3以下，凡評估結果受風險值高於16(含)或法律遵循影響程度為4或3
者應納入風險改善。
• 各單位超出可接受風險值之高風險項目及該個資項目處於違法狀態
（『法律遵循影響程度3及4』）應擬定「風險處理計畫表」
53

55. 風險處理計畫
54

56. 55
個資作業時程
• 5/17~5/27 各單位完成個人資料管理系統中的資料之適用性(個資清冊、
個資風險評鑑、個資風險處理計畫)
• 5/28、5/29、6/4 各單位個資資料審查及個資問題諮詢(9:00~16:00在
網資中心)
• 6/3 個資演練(14:00~16:00 L807)
• 6/25召開個資管理委員會(含主官管個資宣教)

57. 2022/5/20 56
近期教育部規定宣導
• 有關「教育體系近期發生多起重大資通安全事件，導致個資外洩及機關
名譽之損害，為降低資安風險，請查照辦理。」
一. 依教育部110年06月29日臺教資(四)字第1100085899號函辦理。
二. 本(110)年教育體系已發生多起因管理不當導致之重大資通安全事件，為避免本校發生類
似資通安全事件，敬請各單位依來函附件(教育體系重大資安事件相關根因分析及建議措
施)，配合辦理以下事項：
(一)請就各自業管資通系統，檢視密碼及身分驗證機制。
(二)資通系統於上線測試階段，應進行弱點掃描，並進行中、高風險弱點修補。委外辦理
者，應明訂於委外契約中。
(三)重要資料庫應以最小權限原則進行存取授權。
三. 如因管理不當導致資通安全事件，教育部將以不遮蔽該機關、學校方式，作為教育體系
內部案例宣導。
四. 四、針對發生重大資通安全事件之機關、學校，教育部將辦理專案實地稽核，未落實稽
核缺失改善者，將循相關機制提報懲處。

58. 2022/5/20 57
近期教育部規定宣導
• 教育部來函轉知[學校使用資通系統或服務蒐集及使用個人資料注意事項]
一. 依據教育部110年9月8日臺教資(四)字第1100122001號函辦理。
二. 教育部鑒於學校使用雲端資通服務(如Google表單等)蒐集個人資料時，
可能因設定不當而增加個資外洩及資安風險，請各校使用資通系統或雲
端資通服務蒐集教職員、學生及家長個人資料者，應注意旨揭事項，以
「最小化」為原則，降低風險。
三. 處理個人資料時，應注意以下法規：
個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個
人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償
責任。」
個人資料保護法第41條第1項「違反個人資料保護法有關特種資料的蒐集、
處理或利用規定，足生損害於他人者，處五年以下有期徒刑，得併科新
臺幣一百萬元以下罰金。」

59. 2022/5/20 58
近期教育部規定宣導
• 教育部重申 落實政府資訊公開法及個人資料保護法，請各機關行文及
網站公告，如有涉及國民身分證統一編號之登載者，統一隱碼欄位為
身分證編號後4碼，請查照轉知。
一. 教育部110年9月15日 臺教資(四)字第1100125917號函。
二. 近期發生單位網站公告資訊含有國民身分證統一編號且未遮蔽造成個人資料
外洩事件，請各機關行文及網站公告，如有涉及國民身分證統一編號之登載
者統一隱碼欄位為身分證編號後4碼，如另有特殊用途則依相關規定辦理。
三. 查現行各機關針對身分證編號遮蓋欄位不宜至，民眾個人資料益遭有心人士
蒐集後直接或間接識別個人資料，恐有遭不當使用之虞。
四. 為強化個資保護，各機關爾後如需於函文、網站及郵件表單等顯示民眾身分
證編號者，請將其後4碼(即第7碼至第10碼)進行遮蓋，並以「*」取代，如
另有特殊性用途需遮蓋其他碼或顯示全碼者，則依相關規定辦理。

60. Thank You