个人资料管理政策 - 国立空中大学.pdf

個人資料管理 政策 壹、 目的 國立空中大學資訊科技中心 (以下簡稱本中心) 為規範個人 資料之蒐集、處理、利用，並促進個人資料之合理使用，防止 個人資料被竊取、竄改、毀損、滅失或洩漏，特訂定本個人資 料管理政策(以下簡稱本政策) ，以為遵循。 貳、 適用範圍 本中心。 參、 定義 無。 肆、 權責 管理執行小組 共同討論、編制、確認及公布本政策。 1 伍、 作業程序 一、個人資料保護政策 (一). 對於個人資料的蒐集、處理、利用，除合法及合於業務 作業目的之外，嚴禁一切非法或非行政業務作業之行 為。 (二). 僅於業務執行行政作業過程中之特定目的內蒐集個人 資料。 (三). 僅於法律規定及行政業務作業所須範圍蒐集最少之個 人資料，並且不處理過多的個人資料。 (四). 應提供明確之管道讓當事人知悉其個人資料將如何被 使用及被誰使用的清楚資訊。 (五). 僅處理與業務行政相關且適當的個人資料。 (六). 本著合法、公平、公正、公開的合理處置原則，進行蒐 集、處理、利用必要之個人資料，並建立管理制度，以 合理且適切的處理所取得之個人資料。 (七). 對於所取得之個人資料，建立個人資料檔案清冊並適當 維護相關內容。 (八). 為保持個人資料精確性，依作業性質及當事人之請求， 予以保持最新。 2 九( ). 個人資料保存期限，僅在合乎法律或規定或特定目的內 進行。 (十). 尊重當事人權利，建立相關處理流程。 (十一).為了確保個人資料的正確性和安全性，應建立適當的安 全維護措施。 (十二).僅於合法及有適當保護的狀況下傳送個人資料至其他 國家或地區。 (十三).嚴格遵守個人資料保護相關法規，包含其他法規豁免例 外應用。 (十四).適當鑑別並諮詢利害關係人，以增加利害關係人的參與 程度。 (十五). 持續發展及實施個人資料保護管理工作，以確保政策得 以落實。 (十六).確認相關人員在個人資料管理制度內之職掌及責任。 (十七).規範個人資料之蒐集、處理及利用以符合個人資料保護 法之規定，並確保當事人之人格權、隱私及促進個人資 料之合理使用，制定和實施相關個人資料保護管理制度， 並不斷進行維持和改善。 (十八).建立個人資料管理組織，制訂、推動、實施及評估改進 3 個人資料管理事項，確保本校進行有效的個人資料保護 管理工作。 二、 政策之發布 本政策應由管理階層定義並核准，且對所有員工及相關外部各 方公布及傳達。本中心管理執行小組統籌規劃政策之溝通於年 度教育訓練計畫中，透過教育訓練的方式，使內部及外部關注 者全盤了解本政策。 三、修訂 本政策應至少每年評估一次，以符合政府法令之要求，並反映 資訊科技發展趨勢，確保本中心管理作業之有效性。 4 陸、 參考文件 一、行政院及所屬各機關資訊安全管理要點_880915 二、行政院國家資通安全會報國家資通訊安全發展方案 三、行政院資通安全會報 政府機關（構）資訊安全責任等級分作 業施行計畫 四、國家標準 CNS 27001 ：2013 資訊技術－安全技術－資訊安 全管理系統－要求