私立专科以上学校及学术研究机构个人资料档案安全维-研究发展处.docVIP

私立專科以上學校及學術研究機構個人資料安全維護 實施辦法草案 條 文 說 明 第一章 總則 第一章章名 第一條 本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。 依個人資料保護法第二十七條第二項及第三項規定明定本辦法之法源依據。 第二條 本辦法用詞定義如下： 一、私立專科以上學校：指依私立學校法核准設立之專科以上學校(以下簡稱學校)學術研究機構指依學術研究機構設立辦法核准設立之私立學術研究機構(以下簡稱機構)。(以下簡稱)：由校長、機構負責人擔任或指定，負責督導個人資料檔案安全維護計畫（以下簡稱本計畫）規劃、訂定、執行、修訂及相關決策之人員。 四、個人資料稽核人員(以下簡稱)：由校長、機構負責人指定，負責評核本計畫執行情形及成效之人員。 五、所屬人員：執行業務之過程必須接觸個人資料之人員，包括學校、機構之定期或不定期契約人員及派遣員工。 前項第三款管理人與第四款稽核人員不得為同一人。 一、明定本所稱指依私立學校法核准設立之專科以上私立學校本所稱學術研究機構指依學術研究機構設立辦法核准設立之私立學術研究機構。 四、學校、機構為確保個人資料檔案安全維護管理，應指定稽核人員負責評核計畫執行情形及成效。 五、為確保個人資料檔案之安全維護，凡執行業務之過程必須接觸個人資料之人員，包括學校、機構之定期或不定期契約人員及派遣員工，均應依本計畫之相關程序，執行本計畫。 第三條 學校、機構應訂定本計畫，以落實個人資料檔案之安全維護與管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 前項計畫應包括業務終止後個人資料處理方法等相關個人資料管理事項。 一、本辦法適用對象為專科以上私立學校、學術研究 第四條 學校、機構得設置或指定管理單位或指定專人，並配置相當資源，負責個人資料檔案安全維護。其任務如下： 一、規劃、訂定、執行與修訂安全維護計畫，包括業務終止後個人資料處理方法。 二、定期就個人資料檔案安全維護管理情形向管理人提出書面報告。 三、依據稽核人員就計畫執行之評核，於進行檢討改進後，向管理人及稽核人員提出書面報告。 依本法施行細則第十二條規定學校、機構得設置管理單位或指定專責人員，並配置相當資源，負責個人資料檔案安全維護，爰明定管理單位(人員)之任務。 第二章 個人資料保護規劃 第二章章名 第五條 學校、機構應訂定個人資料保護管理政策，公告周知，使所屬人員均明確瞭解及遵循。 前項管理政策至少應包括下列事項之說明： 一、 遵守我國個人資料保護相關法令規定。 二、 其所蒐集、處理及利用個人資料之依據、特定目的及其他相關保護事項。 三、以合理安全之方式，於特定目的範圍內，蒐集、處理及利用個人資料。 四、採用安全技術保護其所蒐集、處理、利用之個人資料檔案。 五、設置聯絡窗口，供個人資料當事人行使其個人資料相關權利或提出相關申訴與諮詢。 六、規劃緊急應變程序，以處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故。 七、委託蒐集、處理及利用個人資料者，應妥善監督受託機關。 八、持續維運本計畫之義務，以確保個人資料檔案之安全。 一、為使學校、機構所屬人員對於個人資料之保護能有所體認，進而能落實本計畫，故學校、機構應訂定個人資料保護管理政策，將本計畫相關重點事項於政策內闡明。為達上述目的，該等政策應加以公開周知，以明示保護個人資料之旨。 二、政策相關重點事項包括：遵守我國個人資料保護相關法令規定、合法正當蒐集、處理及利用個人資料；應以適當之技術保護個人資料；應提供當事人行使權利之方式；規劃緊急應變程序以處理事故；監督受託機關之責任；持續維運本計畫之義務。 第六條 學校、機構應依個人資料保護法令，盤點所保有之個人資料檔案，界定其範圍，納入本計畫並建立清冊，並定期確認其變動情形。 依本法施行細則第十二條第二項第 二款之規定，安全維護計畫中得就界 定個人資料範圍相關事項加以規 定，爰明定學校、機構應清查個人資 料之種類與數量並建立清冊，方能有 效對其所保有之個人資料加以保護。 第七條 學校、機構應依前條界定之個人資料範圍與個人資料蒐集、處理、利用及其相關業務流程，分析可能產生之風險，並依據風險分析結果，訂定適當管控措施。 依本法施行細則第十二條第二項第 三款之規定，安全維護計畫得就個人 資料之風險評估及風險管理加以規 定，爰明定學校、機構應依據其相關 業務流程，判斷於蒐集、處理及利用 之過程中，個人資料安全可能發生之 風險，以及其風險性之高低，方能進 一步以適當之方式保護個人資料並 降低其風險。 第八條 學校、機構為因應所保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故，應建立預防、通報及應變機制，並就下列事項建立相關程序： 一、採取適當之應變措施，以降低或控制事故對當事人之損害。 二、查明事