私立學校及學術研究機構個人資料檔案安全維護計畫辦法草案.docVIP

研擬私立學校及學術研究機構個人資料檔案安全維護計畫辦法草案第2次會議紀錄 會議時間 102年5月8日（星期三）下午5時 會議地點 本部第216會議室 會議主持人 黃司長雯玲(馬副司長湘萍代) 紀錄 陳蓉慧 出席單位及人員 如會議簽到單 壹、主席致詞貳、報告事項個人資料保護法（下稱個資法）除第6條第54條外，於101年10月1日施行，法務部學術研究機構相關個人資料檔案安全。參、討論事項案由為，提請　討論。 說明：（下稱）學術研究機構相關個人資料檔案安全所稱「學術研究機構」非僅限於本部「學術研究機構設立辦法」第2條所定範圍學術研究機構依學術研究機構設立辦法核准設立之私立學術研究機構。個資法決議：法務部法務部肆、臨時動議伍、散會 私立學校及學術研究機構個人資料檔案安全維護實施辦法草案 條 文 說 明 第一條 本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。 依個人資料保護法第二十七條第二項及第三項規定明定本辦法之法源依據。 第二條 本辦法用詞定義如下： 一、私立學校：指依私立學校法核准設立之各級私立學校(以下簡稱學校)學術研究機構指依學術研究機構設立辦法核准設立之私立學術研究機構(以下簡稱機構)。(以下簡稱)：由校長、機構負責人擔任或指定，負責督導計畫規劃、訂定、執行、修訂及相關決策之人員。 四、個人資料內評人(以下簡稱)：由校長或學校、機構負責人指定，負責評核本計畫執行情形及成效之人員。 五、所屬人員：執行業務之過程必須接觸個人資料之人員，包括學校、機構之定期或不定期契約人員及派遣員工。 一、明定本所稱指依私立學校法核准設立之各級私立學校本所稱學術研究機構指依學術研究機構設立辦法核准設立之私立學術研究機構。 四、學校、機構為確保個人資料檔案安全維護管理，應指定內評人員負責評核計畫執行情形及成效。 五、為確保個人資料檔案之安全維護，凡執行業務之過程必須接觸個人資料之人員，包括學校、機構之定期或不定期契約人員及派遣員工，均應依本計畫之相關程序，執行本計畫。 第三條 私立學校、學術研究(以下簡稱)，以落實個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 前項計畫應包括業務終止後個人資料處理方法等相關個人資料管理事項。 主管機關對於第一項計畫之執行，得不定期進行業務抽查。 一、本辦法適用對象為私立學校、學術研究 第四條 學校、機構應設置管理單位或指定專責人員，並配置相當資源，負責個人資料檔案安全維護。其任務如下： 一、規劃、訂定、執行與修訂安全維護計畫，包括業務終止後個人資料處理方法。 二、定期就個人資料檔案安全維護管理情形向管理人提出書面報告。 三、依據內評人就計畫執行之評核，於進行檢討改進後，向管理人及內評人提出書面報告。 依本法施行細則第12條規定學校、機構應設置管理單位或指定專責人員，並配置相當資源，負責個人資料檔案安全維護，爰明定管理單位(人員)之任務。 第五條 學校、機構對於個人資料保護之規劃，包括下列事項： 一、訂定個人資料保護管理政策，將其所蒐集、處理及利用個人資料之依據、特定目的及其他相關保護事項，公告使其所屬人員均明確瞭解。 二、界定個人資料之範圍： （一）定期清查保有之個人資料現況。 （二）確認保有之個人資料所應遵循適用之個人資料保護相關法令現況。 三、個人資料之風險評估及管理機制：依已界定之個人資料範圍及個人資料蒐集、處理、利用之流程，分析可能產生之風險，並根據風險分析之結果，訂定適當之管控措施。 四、為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故，應建立預防、通報及應變機制： （一）採取適當之應變措施，以控制事故對當事人之損害，並通報有關單位。 （二）查明事故之狀況並以適當方式通知當事人。 （三） 第六條 學校、機構應依一般個人資料及本法第六條特種個人資料之屬性，分別訂定下列管理程序： 一、檢視所蒐集、處理及利用之個人資料是否包含特種個人資料及其特定目的。 二、檢視蒐集、處理及利用特種個人資料，是否符合相關法令之要件。 三、非特種個人資料，但具有特別管理之需要，得比照或訂定特別管理程序。 為遵守本法第八條及第九條關於告知義務之規定，應採取下列方法： 一、檢視蒐集、處理個人資料之特定目的。 二、檢視是否符合免告知之事由。 為查知蒐集、處理及利用一般個人資料行為，有無符合本法規定，宜採取下列方法： 一、檢視蒐集、處理個人資料是否符合本法第十九條規定，具有特定目的及法定要件。 二、檢視利用個人資料是否符合本法第二十條第一項規定，符合特定目的內利用；於特定目的外利用個人資料時，應檢視是否具備法定特定目的外利用要件。 學校、機構委託他人蒐集、處理或利用個人資料之全部或一部時，應對受託人依本法施行細則第八條規定為適當之監督，